سامانه آنتی فیشینگ

راه کار جامع آنتی فیشینگ شرکت رجاء

در سال­های اخير، تحولات عظيمي در دنیای فناوري­هاي الكترونيكي پدید آمده است. افزايش نفوذ اينترنت در زندگي افراد و جوامع استفاده روزافزون از رايانه و اينترنت را به جزء جدانشدنی زندگی امروز تبدیل کرده است که یکی از جنبه­های تأثیرگذار آن توسعه استفاده از ابزارها و خدمات بانکداری و پرداخت الکترونیکی است که شرايط و بستر مساعدي براي ظهور جرائم سايبري به وجود آورده است.  ماهيت ویژه جرائم سايبري از جمله داشتن ابعاد جهاني، عدم توافق جهاني پيرامون تعريف واحد، بالا بودن سرعت ارتكاب اين نوع از جرائم، متنوع بودن روش­های ارتکاب جرم، استفاده از روش­های بدیع تقلب،  وجود دشواري در اندازه­گيري جرائم سايبري و بالا بودن هزينه هاي كشف اين جرائم، مراجع قضايي و نظارتی را با چالش­هاي جديدي مواجه كرده است.

ریشه اصلی این جرائم، دسترسی غیرمجاز متخلفان و مجرمین به اطلاعات حساس بانکی و پرداخت کاربران و همچنین احراز هویت‌های ضعیف و بعضاً ناکافی ارائه‌دهندگان خدمات و همچنین عدم وجود قوانین سخت­گیرانه در مقابله با مجرمان اینترنتی است. شیوه ارتکاب این جرائم با فاصله و بدون ارتباط جسمی مستقیم با بزه است. فهرست این جرائم به نوع خاصی از رفتارهای مجرمانه محدود نبوده و تقریباً می‌توان گفت همه حوزه‌های جنایی را دربر می‌گیرد. بزهکاری سایبری افزون بر جدید بودن، از قابلیت بالای تحول‌پذیری و تحول بخشی برخوردار است. این تحول از یک‌سو ناشی از پیدایش جرائم جدید و در ارتباط مستقیم با شکل‌گیری شبکه بوده و از سوی دیگر ناشی از تحول در شیوه ارتکاب بسیاری از جرائم سنتی است، بنابراین تضعیف علل این جرائم از طریق از بین بردن ریشه‌های آن‌ها فعالیتی مستمر و بلندمدت است که باید در تمامی لایه‌های کارکردی ازجمله قانون‌گذاری، ترجمان قانون و مقررات به اقدامات و شیوه‌های عملی، پیاده‌سازی آن‌ها در مبادی ارائه‌دهنده خدمات و همچنین آموزش و آگاهی‌رسانی به استفاده‌کنندگان از خدمات صورت پذیرد.

یکی از مهمترین مصادیق جرایم سایبری در نظام بانکی، فیشینگ[1] نام دارد. حملات موسوم به فیشینگ به آن دسته از حملات اینترنتی گفته می‌شود که معمولا طراحان آن‌ها به روش‌های مختلف تلاش می‌کنند به اطلاعات بانکی افراد از طریق روش‌های متنوع مهندسی اجتماعی مانند ایمیل، تماس تلفنی، صفحات جعلی پرداخت، پیامک، انواع مدل‌های ربات‌های تلگرام و انواع روش‌های جدیدی که انتظار آن نمی‌رود دست یابد. در این‌گونه حملات، فیشر با ارسال یک ایمیل، خود را به جای فرد یا شرکت معتبر و حتی بانک‌های معتبر جا می‌زند و با تکنیک‌های گول‌زننده سعی می‌کند تا اطلاعات حساس را از قربانی بگیرد. مهمترین عامل موفقیت حملات فیشینگ سهل‌انگاری و نداشتن آگاهی کاربران سیستم های IT است. گرچه استفاده از حملات فیشینگ تهدید بالقوه برای انواع صنایع مختلف است، آمار نشان می‌دهد که بیشترین قربانی این حملات در صنعت بانکداری الکترونیکی می‌باشد. به طور کلی تعریف فیشینگ در نظام پرداخت الکترونیکی عبارتست از «فریب افراد از طریق ابزارهای فریبنده مبتنی بر رایانه به‌منظور افشای اطلاعات».

برای مقابله با این فریب‌کاری که به عنوان یک جرم مهندسی اجتماعی تعبیر می‌شود تدابیر ضد فیشینگ (Anti Phishing) متعددی اندیشیده شده‌ است. با توجه به تنوع زیاد این تهدیدات، یک راه‌کار قطعی برای تشخیص فیشینگ با چالش‌های جدی مواجه است. از مهمترین چالش‌های پیش رو برای تشخیص حملات فیشینگ می‌توان به موارد زیر اشاره نمود: استفاده روز افزون از فناوری‌های موجود برای فیشرها، افزایش تنوع در خدمات دیجیتال در نظام بانکی، افزایش ضریب نفوذ مشتریان بانکی در استفاده از این خدمات بدون آگاهی و دانش کافی، محدودیت‌های قانونی برای تعریف جرایم سایبری نوین در نظام قانونی کشور، عدم تعریف مناسب مسولیت‌های اجتماعی برای مراقبت از مشتریان بانکی در مقابل حملات فیشینگ و رشد ناکافی فرهنگی و اجتماعی برای درک آسیب‌های موجود در جرایم سایبری در نظام بانکی.

نظر به وجود چالش‌‌های جدی برای ارائه یک سامانه جامع و خودکار برای تشخیص و مقابله با فیشینگ، استفاده از چندین سامانه موازی برای تشخیص به همراه ارائه خدمات لازم برای به روز رسانی می‌تواند راه‌کار مناسب باشد. در این مستند، پیشنهادی برای راه‌اندازی سامانه‌ای متشکل از چندین ماژول برای تشخیص فیشینگ و رسیدگی به این رخداد در بانک ملت پیشنهاد می‌گردد. لازم به ذکر است که علاوه برای استقرار ماژول‌های پیشنهادی، نیاز به خدمات به روزرسانی و نگهداری این ماژول‌ها نیاز کاملا ضروری است.

1                  راه‌کار جامع آنتی فیشینگ بانکی

راه‌کار پیشنهادی در این مستند تلاش می‌کند که با کمک تکنیک‌های مختلف اقدام به تشخیص سایت‌های فیشینگ نماید. هر کدام از تکنیک‌های موجود در قالب یک ماژول در این راه‌کار ارائه می‌گردد. به طور کلی راه‌کارهای تشخیص صفحات فیشینگ به عنوان راه‌کارهای امنیتی خارج از دامنه سازمانی بانک تعریف می‌شوند. به عبارت دیگر با کنترل‌های امنیتی مستقر در داخل سازمان قابل تشخیص نمی‌باشند. لذا پویش فضای کسب کار سازمانی در بیرون سازمان برای این منظور هدف‌گذاری می‌شود.

برای تشخیص صفحات فیشینگ بانکی باید از پویش خودکار و دائم سه منبع اطلاعاتی بهره‌مند شد. این منابع عبارتند از: شبکه‌های اجتماعی، صفحات وب و برنامک‌های موبایلی. نظر به پیچیدگی پویش کامل این منابع، یک راه‌کار موثر باید پایش موثر و کارا را در دستور کار قرار دهد. لذا با توجه به تجربه کاری ارزشمند نگارندگان این پیشنهاد در حوزه رصد رخدادهای سایبری در نظام بانکی، ماژول‌های زیر برای راه‌کار جامع آنتی فیشینگ بانکی در نظر گرفته می‌شود.

  • ماژول تشخیص زودهنگام فیشینگ
  • ماژول رصد خودکار سایت‌های قمار
  • ماژول رصد خودکار Google Ads
  • روبات خزنده صفحات وب برای تشخیص فیشینگ
  • رصد شبکه‌های اجتماعی برای تشخیص رخدادهای سایبری
  • سامانه رسیدگی به رخدادهای سایبری
  • تحلیل­گر برنامک­های موبایلی

در ادامه این بخش، هر کدام از ماژول‌های فوق به طور مختصر شرح داده می‌شود.

1-1              ماژول تشخیص زودهنگام فیشینگ

این ماژول یک موتور تحلیل رویدادنامه‌های منتشر شده از مکانیسم Certificate Transparency توسط مراکز گواهی دیجیتالی است که تلاش می‌کند دامنه‌های فیشینگ را زودتر از انتشار دامنه تشخیص دهد. برای این منظور تمامی رکوردهای CT منتشر شده توسط CAها را تحلیل نموده و با کمک الگوریتم‌های هوش مصنوعی در حوزه پردازش زبان طبیعی سعی در تشخیص مشکوک بودن دامنه جدید به فیشینگ دامنه‌های بانکی کشور می‌نماید.

1-2             ماژول رصد خودکار سایت‌های قمار

یکی از منابع مهم برای تشخیص رخدادهای سایبری در حوزه بانکداری و پرداخت الکترونیک، رصد مداوم سایت‌های قمار است. برای این منظور ماژول جهت خودکارسازی فرآیند تحلیل عملیات تارنماهای قمار و شرط‌بندی با هدف کشف و گزارش‌دهی رخدادهای سایبری بانکی ارائه می‌گردد. این ماژول با بررسی روش‌های به‌کار گرفته شده برای شارژ تارنماهای قمار و شرط‌بندی، رخدادهای سایبری مستخرج از این سایت‌ها را  رصد می‌کند. در این سامانه حدود 1000 تارنمای قمار و شرط‌بندی به طور مستمر، دوره‌ای و خودکار بررسی شده و اطلاعات لازم برای گزارش‌دهی رخدادهای فوق استخراج و آماده گزارش می‌گردد. این اطلاعات شامل جزییات کارت‌های بانکی و همچنین درگاه‌های پرداخت مورد استفاده در این تارنماها می‌باشد. بدیهی است امکان توسعه محصول برای رصد خودکار تارنماهای دیگر نیز فراهم است.

1-3            ماژول رصد خودکار Google Ads

یکی از روش‌های معمول که فیشرها برای قربانی کردن کاربران خود استفاده می‌کنند، تبلیغات فراوان در Google Ads است. بسیاری از کاربران برای یافتن آدرس سایت‌های بانکی خود، از جستجو در موتور جستجوی گوگل استفاده می‌کنند که در صورت هدایت نامناسب گوگل به سمت صفحات فیشینگ، امکان جذب قربانی توسط فیشر بالا خواهد رفت.

جهت استفاده از مشکل فوق برای تشخیص سریعتر صفحات فیشینگ، پویش صفحات اولیه گوگل با جستجو در کلمات مرسوم برای یافتن صفحات بانکی می‌تواند نتایج موثری داشته باشد. برای این منظور یک خزنده وب طراحی و پیاده‌سازی خواهد شد که برای تعدای از کلمات کلیدی در گوگل جستجو نموده و پیمایش لینک‌های حاصل از جستجو را تا عمق خاصی انجام می‌دهد. این سامانه تمامی صفحات حاصله از جستجو را از نظر شباهت (Similarity) با صفحات معتبر بانکی در کشور مقایسه می‌نماید. در صورتی که یک صفحه میزان شباهت قابل قبولی با یکی از صفحات بانکی کشور داشته باشد، به عنوان مشکوک به فیشینگ انتخاب شده و برای ارزیابی نهایی به اپراتور خبره ارسال می‌گردد. برای تشخیص شباهت از تکنیک‌های هوش مصنوعی در حوزه پردازش زبان طبیعی استفاده می‌گردد. همچنین این سامانه مجهز به لیست تمامی سایت‌های معتبر بانکی در کشور خواهد بود.

1-4            روبات خزنده صفحات وب برای تشخیص فیشینگ

یکی از راه‌کارهای مفید برای تشخیص فیشینگ، پویش فضای وب برای تشخیص صفحاتی است که محتوایی مشابه صفحات معتبر بانکی دارند. این سامانه مجهز به یک روبات خزنده وب است که تمامی صفحات پایش شده را از نظر شباهت (Similarity) با صفحات معتبر بانکی در کشور ارزیابی می‌نماید. در صورتی که یک صفحه میزان شباهت قابل قبولی با یکی از صفحات بانکی کشور داشته باشد، به عنوان مشکوک به فیشینگ انتخاب شده و برای ارزیابی نهایی به اپراتور خبره ارسال می‌گردد. برای تشخیص شباهت از تکنیک‌های هوش مصنوعی در حوزه پردازش زبان طبیعی استفاده می‌گردد. همچنین این سامانه مجهز به لیست تمامی سایت‌های معتبر بانکی در کشور خواهد بود.

1-5            رصد شبکه‌های اجتماعی

در این سامانه دو روبات نرم‌افزاری برای رصد دو شبکه اجتماعی تلگرام و اینستاگرام با هدف استخرام رخدادهای سایبری در فضای پرداخت طراحی و پیاده‌سازی شده است. در حال حاضر این روبات‌ها مجهز به یک کتابخانه ساده پردازش زبان طبیعی برای پالایش رخدادها می‌باشد. این مهم به کاربر امکان پیکربندی روبات‌ها با هدف تولید خروجی هدفمند را می‌دهد. استخراج انواع محتوا در یک رخداد از جمله دسته‌بندی نوع فایل‌ها، تحلیل امنیتی اولیه فایل‌ها و همچنین پردازش متون در یک رخداد از دیگر قابلیت‌های این دو روبات می‌باشد.

1-6             سامانه رسیدگی به رخدادهای سایبری

این سامانه با هدف خودکارسازی فرآیند گزارش و رسیدگی به رخدادهای سایبری در فضای پرداخت اینترنتی طراحی و توسعه داده شده است. از دیگر اهدافی که این سامانه می‌توان به تسهیل در فرایند ارزیابی و صحت‌سنجی گزارش‌های واصله از تامین‌کنند‌گان و ایجاد بستری برای تحلیل و گزارش‌گیری مدیریتی و کلان به مراجع قضایی نام برد. از قابلیت‌های اصلی این سامانه، انجام فعالیت‌های مربوط به رسیدگی به رخدادهای سایبری با توجه به کسب و کار تعریف شده در نظام بانکی کشور است.

1-7            تحلیل‌گر برنامک‌های موبایلی

این سامانه یک پلتفرم برای تحلیل امنیتی برنامک‌های اندرویدی است. در حال حاضر سه موتور تحلیل ایستا در این پلتفرم پیاده‌سازی شده است. همچنین این پلتفرم امکان ارائه API برای استفاده راه دور از موتورهای تحلیل برنامک را ارائه می‌کند. با توجه به این‌که برخی از رخدادهای سایبری از طریق ارسال برنامک‌های آلوده در شبکه‌های اجتماعی منتشر می‌گردد، امکان تحلیل امنیتی این برنامک‌ها یکی از ضروریات در یک پلتفرم رصد رخدادهای سایبری است. علاوه‌بر این امکان توسعه موتورهای تحلیل بومی‌شده از دیگر قابلیت‌های پلتفرم کاوش است. در حال حاضر در این پلتفرم بیش از 20000 برنامک موبایلی تحلیل شده است.


[1] Phishing