هکرها به ویترین بانک‌های سپه و مسکن حمله کردند

خدشه بر امانت مشتری

حمله هکرها به سیستم های اطلاعاتی همواره نگرانی هایی را برای کاربران فراهم کرده است . حال اگر پای حساب های بانکی و اطلاعات مخابراتی در میان باشد اوضاع بدتر هم خواهد شد. روز گذشته خبرگزاری های از حمله هکرها به دو بانک سپه و مسکن  و دسترسی غیرمجاز به اطلاعات این بانکها خبر دادند.

  1. ۴ ماه،۳ هفته قبل
  2. ۰
هک بانک
نوآوران -

هرچند که پلیس فتا اعلام کرده هکرها تنها به ویترین سایت های این دوبانک دسترسی پیدا کرده اند اما کارشناسان حوزه اطلاعات و امنیت شبکه می گویند دسترسی هکرها به ویترین سایت های بانکی می تواند هشداری برای به روز رسانی عملیات حفاظت از اطلاعات کاربران در شبکه های بانکی کشور باشد. سجاد سید احمدیان کارشناس امنیت شبکه در گفتگویی با نوآوران ضمن بیان این مطلب که حمله صورت گرفته به بانک مسکن و سپه  در واقع روی قسمت ویترین بانکها صورت گرفته و بعید به نظر می رسد حساب های کاربری دچار مشکل شده باشد می گوید: عملیات "دی فیس" ویترین سایت ها معمولا در دسترس خیلی از هکرهاست و باید مشاوران امنیتی بانکها در این خصوص عملیات های ضد نفوذ را به روز رسانی کنند.

سابقه هک بانکی

روز یکشنبه  27 تیرماه، معاون امور بین‌الملل و حقوقی پلیس فتا از حمله هکری به سایت‌های بانک «سپه» و «مسکن» خبر داد و با اشاره به همکاری مسئولان بانک سپه با متخصصان پلیس، از عدم همکاری بانک مسکن به شدت انتقاد کرد.

ظاهرا هکرها توانسته بودند عملیات «دی‌فیس» را روی وب‌سایت‌های این دو بانک انجام دهند و در بررسی‌های پلیس مشخص شده خسارت خاصی به اطلاعات و وب‌سایت‌های این دو بانک وارد نشده است.

حکایت وجود باگ های امنیتی در سیستم بانکی کشور چندان تازه نیست. از کارمند بانکی که سیستم شاپرک را هک کرد تا نوجوان 14 ساله ای که سه سال پیش سیستم های امنیتی چند بانک دولتی و غیردولتی نفوذ کرد همه می خواستند به بانکها بفهمانند راههای رسیدن به اطلاعات آنها به تعداد هکرهاست و حفره های امنیتی آنها بیش از آن چیزی است که خودشان برآورد می کنند.

چند سال پیش بود که اطلاعات حساب ده ها تن از کاربران سیستم شاپرک که مربوط به کارتهای اعتباری صاحبان این حساب ها می شد هک شد و مسولان بانکی را به فکر استفاده از مشاوران متخصص تامین امنیت شبکه در سیستم بانکی انداخت. با این حال حمله هکرها به دو بانک مسکن و سپه نگرانی بسیاری از مشتریان این دوبانک را  نسبت به دسترسی به حساب های شان بیشتر کرده است.

سجاد سید احمدیان کارشناس امور شبکه در خصوص حمله هکرها به سایت های بانکی می گوید: هک انجام شده در واقع روی قسمت ویترین بانکها صورت گرفته و بعید به نظر می رسد حساب های کاربری دچار مشکل شده باشد و مورد دسترسی هکرها قرار گرفته باشند.

او ادامه می دهد: باگ های امنیتی فقط مربوط به سیستم های ما نمی شود. به طور کلی تمام سیستم های اینترنتی آسیب پذیر هستند . به روز رسانی و نحوه چینش اطلاعات از جمله تمهیداتی است که در صورت نفوذپدیر شدن و هک شدن سایت ، هکرها به تمام اطلاعات دسترسی پیدا نکنند و تنها توانایی اطلاعات جزئی را داشته باشند.

سید احمدیان می افزاید: در مورد سایت های بانکی یک قسمت ویترین دارند که اطلاعات بانک ها و شکل های مختلف ارائه خدمات بانکی را به کاربران نشان می دهد و قسمت دیگر مربوط به اینترنت بانک یا خدمات اینترنتی بانک می شود که این دو سرویس بنابر تجربه ای که من در بانکهای ایرانی داشتم همواره جدا از هم بوده اند.

دست هکرها به اطلاعات مهم نرسید

این کارشناس امور شبکه در خصوص جزییات حمله اخیر هکرها می گوید: اگر واقعا عملیات دی فیس روی ویترین سایت انجام شده باشد بعید است که به اطلاعات خاصی دسترسی پیدا کرده باشند. نهایتا کاری که می توانند انجام دهند برداشتن اطلاعات بانک از ویترین سایت و یا جایگزین کردن اطلاعات خودشان به جای اطلاعات اصلی بانک است و در این حالت امکان دسترسی به حساب های کاربران و جزییات دیگر وجود ندارد. اما اگر به بخش دوم بانک که همان بخش ارائه خدمات اینترنتی بانک ها دسترسی پیدا کنند وضعیت به گونه ی دیگری قابل تحلیل است. معمولا مشاورین امنیتی سایت های بانک های ایرانی تلاش می کنند این قسمت را از حیث ضریب نفوذ امنیتی امن و غیرقابل نفوذ نگه دارند. اما اگر این قسمت در معرض نفوذ قرار گیرد می تواند به اطلاعات مشتریان دسترسی پیدا کند.

او در خصوص چگونگی دسترسی هکرها به بخش خدمات اینترنتی بانکها هم نظر جالبی دارد."دسترسی به این قسمت هم به راحتی انجام پذیر نیست و به صورت مستقیم صورت نمی گیرد. در واقع به این دلیل که قسمت ارائه خدمات اینترنتی چه در ایران و چه در سایر نقاط دنیا به صورت دولایه طراحی شده ، پس از هک کردن تازه هکر به جایی دسترسی پیدا می کند که باید نام کاربری و رمز ورود را وارد کند تا به این وسیله بتواند وارد حساب کاربری مشتریان شود. در اینصورت باید تمام نام های کابری و  رمزهای ورود را وارد کند تا به این شکل به دیتا بیس یا داده های اولیه دسترسی پیدا کند. "

انواع هکر

سید احمدیان در خصوص این مسئله که حملات هکری به سایت های بانکی توسط کدام دسته از هکرها اتفاق می افتد می گوید: دی فیس ویترین سایت ها معمولا در دسترس خیلی از هکرهاست. معمولا قسمت ویترین از سیستم های آماده تحت عنوان فارسی مدیریت محتوا استفاده می کنند که به هر حال یک سری باگ های امنیتی دارند و امکان هک شدن انها بالاست. کافی است که تصمیم بگیرند مثلا ورد پرس را هک کنند و بعد متوجه شوند فلان بانک هم ویترینش را با ورد پرس کار کرده و به این شکل ورد پرس را هک می کنند و به این شکل ویترین بانک را دی فیس می کنند. اما اینکه به قسمت دوم دسترسی پیدا کنند این کار هکرهای عادی نیست.

او ادامه می دهد: معمولا هکرهای حرفه ای باگ های سیستم را پیدا می کنند و خودشان راه نفوذ را ایجاد می کنند و هکرهای عادی توانایی نفوذ به بخش دوم که امنیتی تر و پیچیده تر هست را ندارند. آخرین مورد این هکهای بانکی مربوط به هک سیستم شاپرک در کارتهای بانکی می شد که توسط یکی از کارمندان همان سیستم اتفاق افتاد و به نوعی هک اجتماعی بود. همان موقع هم یکی از کارمندان آن بانک هشدار داده بود که متوجه باگ امنیتی در سیستم شاپرک شده و پس از آن وقتی از کشور خارج شد به دلیل اینکه همچنان سیستم با همان باگ امنیتی کار می کرد اقدام به هک کرد اطلاعات حساب کاربران شاپرک کرد و به این شکل به نظام بانکی هشدار داد که باگ امنیتی می تواند مشکلات جدی برای سیستم شاپرک ایجاد کند. پس از این مورد دیگر اتفاق قابل ملاحظه ای در سیستم بانکی اتفاق نیفتاد.

هشدار درباره آینده

سید احمدیان در ادامه می گوید: اگر اینترنت بانکها آسیب دیده بودند قطعا تا الان هشدار داده بودند که مشتری ها رمزهای ورودشان را تغییر دهند اما چون هشداری داده نشده به احتمال زیاد موضوع تنها مربوط به هک ویترین بانکی می شود . بانکها رویکردهای متفاوتی در خصوص هک دی فیس دارند . شاید برای بانک مسکن مهم نبوده که ویترین بانک مورد حمله هکری قرار گرفته و بانک سپه در این مورد حساسیت بیشتری داشته اما به هر حال باید در برابر حملات هکری حتی در ابعاد خفیف آن هم حساس بود و سیستم بانکی باید هوشمندانه در این خصوص عمل کند.

او در خصوص حفظ امنیت شبکه در سایت های مختلف می گوید: به هر حال وقتی در فضای مجازی هستید احتمال نفوذتان هرگز صفر نمی شود. خوشبختانه بانکهای ما در خصوص حفاظت از اطلاعات امنیتی خوب عمل کرده اند و ضریب نفوذ را با توجه به طبقه بندی شدن سیستم ها و لایه های مختلفی که دارند پایین آورده اند. مشاوران امنیتی متخصصی در بانکها وجود دارند که می توانند امنیت سیستم های اطلاعاتی را تا حد زیادی استاندارد کنند. امنیت تنها نباید محدود به firewall ها شود . امنیت شامل حوزه وسیعتری از جمله آموزش پرسنل ، دسترسی های آنها و دسترسی افراد عادی و ضربه های فیزیکی که افراد می توانند به سیستم بزنند باید جز امنیت اطلاعات حساب شود. علم امنیت و حفاظت از اطلاعات در فضای اینترنت به شدت در حال پیشرفت است و مرتب به روز رسانی می شود و تنها به این شکل است که می توان از پس جنگ های سایبری برآمد.