به گزارش خبرنگار ایمنا، در فروردینماه سال ۹۱ خبری داغ از دل نظام بانکی ایران بر تن رسانه ها زبانه کشید: "اطلاعات سه میلیون کارتبانکی لو رفت!" هرچند گفته شد این اتفاق نتیجه خیانت فردی در یک شرکت بود، اما مقامات کشوری و مردم، بانک مرکزی را به علت نداشتن نظارت کافی مقصر دانستند و این اتفاق باعث تغییرات زیادی در سازوکارهای نظارتی بانک مرکزی شد.
در روزهای گذشته دوباره اخبار متفاوتی از هک شدن اطلاعات حساب مشتریان بانکها تا باجخواهی افراد و فیشینگ و حمله سایبری توسط دشمنان به گوش میرسد اما ماجرا از کجا شروع شد؟
۱۸ آبان ۹۸ خبرنگاری در توییتر خود نوشت که حسابش در یکی از بانکها هک و سه میلیون تومان از آن کسر شده است!
او افزود که پس از مراجعه به دادسرا با ۷۰۰ نفر روبرو شد که وضعیتی مشابه وی داشتند و بهاینترتیب احتمال حمله بزرگ هکرها و ضعف امنیتی بانکها مطرح شد، رسانههای مختلف این خبر را در همان روز پوشش دادند، همزمان رضا رشیدپور در توییتر عنوان کرد حسابش در بانک تجارت هک شده و نوشت:" گمانم اخبار هجوم هکرها به حسابهای بانکی را شنیدهاید. توییت کردم تا بیشتر اطلاعرسانی شود. البته من پول چندانی در حسابم نبود. ابهام ماجرا عدم توضیح شفاف مسئولان گرامی است. منتظریم." البته مدیر روابط عمومی بانک تجارت بلافاصله به توییت رشیدپور واکنش نشان داد و برای رشیدپور نوشت "تماس گرفتم و دستگاهتان خاموش بود."
هک نیست، فیشینگ است
۱۹ آبان جواد جاویدنیا معاون دادستان کل کشور در امور فضای مجازی اعلام کرد: "هک اتفاق نیفتاده و موضوع فیشینگ است." در همان روز سرهنگ کاظمی رئیس پلیس فتای تهران نیز در شبکه خبر اظهار کرد: "اخبار منتشرشده در فضای مجازی مبنی برخالی شدن حساب مشتریان برخی بانکها که هک شده است صحت ندارد و فیشینگ اتفاق افتاده است."
به تدریج و در روزهای متفاوت افراد زیادی ایمیلی مبنی بر منتشر شدن اطلاعات حساب بانکی خود دریافت کردند، در انتهای ایمیلهای ارسالی آدرس یک کانال تلگرام بود که حاوی فایل اطلاعات حساب بانکی افراد مختلف با حجم ۵۰۰ مگابایت و این اطلاعات مربوط به مشتریان بانکهای تجارت، ملت و سرمایه بود.
۹ آذرماه و پس از تأکید معاون بانک مرکزی مبنی بر اینکه هیچگونه گزارشی مبنی بر هک حسابهای بانکی وجود ندارد، یکی از رسانهها خبری مبنی بر سوءاستفاده از حساب بانکی برخی افراد منتشر و در آن اعلام کرد: "کارتبانکی برخی از مالباختگان، رمز دوم نداشته و بهاینترتیب موضوع فیشینگ درباره این مشتریان منتفی است، به نظر میرسد که مواردی خارج از فیشینگ اتفاق افتاده باشد."
۱۶ آذرماه رشیدپور مجدداً از هک شدن حساب بانک سامان خبرمی دهد و با بیشتر شدن اخباری مبنی بر هک شدن اطلاعات مشتریان بانکی در روز ۱۷ آذر بانکهای سپه، ملت، تجارت، سرمایه و قوامین حمله بزرگ هکری را تکذیب و اعلام کردند اطلاعات مشتریان همچنان دارای امنیت کافی است. اگرچه هیچکدام از بانکها بیانیهای بهطور رسمی منتشر نکردند اما در پاسخ به سؤالهایی که از آنها شد، این موضوع را تکذیب کردند.
با ورود پلیس فتا به موضوع درز اطلاعات ۱۰ میلیون کارتبانکی در کشور مشخص شد؛ اطلاعات حسابهای بانکی صحیح هستند و در میان اطلاعات منتشرشده، اطلاعات کارتهایی موجود است که تاریخ انقضای برخی از آنان به سر آمده، بنابراین اطلاعات مذکور از مدتها پیش لو رفته است و اگر بانکها و مسئولان امنیت سرورهای آنها متوجه آن شدهاند تا به این لحظه هیچ اطلاعیه رسمی و یا غیررسمی را مبنی بر نشت اطلاعات کاربران اعلام نکردهاند.
صاحبان حسابها نگران نشوند
با تمام این تفاسیر رمز کارتهای بانکی بهصورت عمومی منتشرنشدهاند و پلیس فتا اعلام کرد: "این اطلاعات شامل رمز اول و دوم کارتهای بانکی نمیشود و صاحبان حسابها بابت به خطر افتادن حساب بانکی و سرمایهشان نگران نشوند."
در این میان و باوجود تکذیب گسترده بانکهای کشور، پلیس فتا با ارسال یک ایمیل به تعداد زیادی از کاربران و دارندگان حسابهای بانکی از به خطر افتادن مشخصات میلیونها کارتبانکی خبر داد و از دارندگان کارتهای عضو شتاب درخواست کرده با مراجعه به شعب بانکهای خود، اقدام به دریافت کارتبانکی جدید کنند.
در این ایمیل تأکید میشود که دارندگان حسابهای بانکی تا زمان دریافت کارت جدید، از وجه نقد بهجای کارتهای بانکی استفاده کنند، درنتیجه به نظر میرسد که برخلاف تکذیب بانکها، سرقت اطلاعات حیاتی و مهم میلیونها حساب بانکی صحت داشته است؛ این ایمیل به برخی از مشتریان بانکهای ملت، تجارت، سرمایه، سپه و قوامین ارسالشده است.
برخی بانکها نیز ازجمله بانک تجارت در تماس با مشتریان خود عنوان کرد که اطلاعات کارت شما به حالت اولیه بازگردانده شده و با مراجعه به عابر بانک اقدام به تعیین رمز جدید کنند.
باج گیری، نه هک!
محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات در واکنش به خبر هک شدن برخی بانکهای کشور اعلام کرد: "این بانکها هک نشدهاند بلکه پیمانکار فنی سابق یکی از مجموعهها که به اطلاعات دسترسی داشته نسخه پشتیبان گرفته بود و اکنون با دسترسی به این نسخه در حال تهدید و باجگیری است. اگر برای آن سازمان مدیریت سطوح امنیتی مهم بود فکر میکنید اجازه میداد که مدیر فنی نسخهای از اطلاعات را در اختیار داشته باشد. این مجموعهها به مدیریت سطوح امنیتی دسترسی اطلاعات اهمیت نمیدهند بعد که دچار مشکل میشوند انتظار دارند که مرکز ماهر تمام مشکلاتشان را حل کند."
درحالیکه شروع ماجرای هک شدن اطلاعات حسابهای بانکی و رد کردن آن از سوی پلیس فتا و بانکها از نیمه آبان شروع شد، روزنامه نیویورکتایمز در گزارشی که روز ۱۹ آذرماه منتشر کرد، مدعی شد: "در جریان ناآرامیهای اخیر ایران اطلاعات حسابهای بانکی میلیونها شهروند این کشور هک و منتشرشده است."
در ادامه این گزارش عنوانشد: "اطلاعات ۱۵ میلیون حساب بانکی در فضای مجازی منتشرشده و این انتشار اطلاعات که حدود یکپنجم جمعیت ایران است مربوط به سه بانک ملت، تجارت و سرمایه است که همه آنها در فهرست تحریم امریکا قرار دارند."
اکنون آدرس کانال تلگرامی که در انتهای ایمیلهای ارسالی به مشتریان بانکها مبنی بر لو رفتن اطلاعات حساب آنها بود قابلدسترس نیست، این اطلاعات علاوه بر کانال، روی سایت مگا هم بارگذاری شده بود که از آنجا نیز حذفشده و شاید بتوان گفت حذف توسط کسانی بوده که اطلاعات را منتشر کردند و نه توسط تلگرام.
این روزها فعال کردن رمز پویا یا همان رمز یکبارمصرف اجباری شده و رمز دومهای ایستا یا بهاصطلاح غیر پویا تا اول دیماه اعتباردارند، پیشتر همواره از مشتریان بانکها برای رعایت نکردن موارد امنیتی انتقاد میشد.
علامت سوالهای زیادی در این بین در ذهن نقش می بندد؛ هنگامیکه مشتریان مورد حملات فیشینگ قرار میگیرند بانکها حاضر به پرداخت خسارت آنها نیستند، اما باید دید وجود حفرههای امنیتی در سامانههای بانکی و شبکههایی که بانکها بهصورت مشترک از آنها استفاده میکردند، حقیقت دارد یا نه و اگر مشتریان تمام موارد امنیتی مرتبط با فیشینگ و رمزهای یکبارمصرف را رعایت کنند، آیا باز هم ممکن است طعمه کلاهبرداران شوند؟
و سوال دیگر اینکه اگر درز اطلاعات مشتریان حقیقت داشته باشد بازهم سیستم نظارتی نظام بانکی کشور دچار تحول خواهد شد؟!
نظر شما