گاهی بعضی دوستان که با پرداخت آنلاین آشنایی کافی ندارند به بخش پشتیبانی ما پیام میدهند و می پرسند آیا پرداخت آنلاین در سایت شما امن است و از کجا بدانیم که از اطلاعات کارت ما سو استفاده نمی شود؟

این سوال و سوالات مشابه اغلب به علت بی اطلاعی برخی عزیزان از روند پرداخت الکترونیکی پرسیده می شود که ما سعی داریم در این مقاله کوتاه این روند را شفاف سازی کنیم. همچنین دقت کنید که این مقاله نه فقط در مورد راستمرد بلکه سایر وبسایت های معتبر هم صدق می کند پس اگر نگران امنیت کارتتان هستید لطفا این مقاله را تا انتها مطالعه کنید:

فرایند خرید از یک فروشگاه آنلاین معتبر مثل راستمرد به چه شکل است؟

فرایند خرید آنلاین در راستمرد
1. ابتدا محصول مورد نظر را انتخاب می کنید ===> 2. اطلاعات مورد نیاز را در سایت پر می کنید ====> 3. به درگاه شاپرک (درگاه 100% امن بانک مرکزی منتقل می شوید) ====> 4. بانک مرکزی اطلاعات شما را دریافت و پردازش می کند ====> 5. در صورت موفق بودن عملیات کدی مبنی بر موفق بودن به وبسایت مرجع (مثلا راستمرد) ارسال می شود ====> 6. راستمرد فایل یا دوره مورد نظر را در اختیار مشتری قرار می دهد

دقت کنید که در این پروسه تمام اطلاعات حساس شما مثل شماره کارت و رمز و… فقط توسط بانک مرکزی پردازش می شود و ما هیچ کدام از اطلاعات شما حتی شماره کارت کامل شما را هم دریافت نمی کنیم. پس احتمال سو استفاده از این اطلاعات در این میان صفر است و پرداخت شما صد در صد امن است. به علاوه اینکه راستمرد از لینک امن یا https با بالاترین حالت ممکن در رمزگذاری در تمام صفحات خود استفاده می کند که این باعث می شوند تمام اطلاعات و فعالیت های شما در سایت رمزگذاری شود و هیچ کس قادر به دزدی اطلاعات یا مطلع شدن از فعالیتهای شما نخواهد بود.

حالا ممکن است بپرسید اگر اینطور هست چطور بعضی افراد در حین خرید اینترنتی مورد سو استفاده قرار میگیرند؟ برای اطلاع از این مورد و نکات امنیتی بخش بعدی را مشاهده کنید.

چطور بعضی افراد طعمه کلاهبرداران اینترنتی قرار میگیرند؟

معمولا کلاهبرداری های اینترنتی به چند شکل انجام می شوند. که در زیر روش های معمول آنها را برای شما شرح داده ایم:

دستکاری و تقلب در لینک‌ها و آدرس ها

یکی از شیوه های متداول و رایج در فیشینگ ارسال لینک ها و آدرس های متعلق به سازمان های غیر واقعی و جعلی از طریق ایمیل است. آدرس هایی که تنها تفاوت آنها با آدرس اصلی یک یا دو حرف است یا از دامین های فرعی گمراه کننده برای ایجاد آنها استفاده شده است. مثلا بجای سایت بانک ملی که bmi.ir است هکر برای شما سایتی با آدرس bmii.ir ارسال می کند که تنها یک i آضافه دارد و با پیشنهاد وسوسه کنه ای شما را به وارد کردن اطلاعات شخصی تان در آن سایت و صفحه ترغیب می کند. دقت کنید معمولا این سایت های لینکشان با http شروع می شود و نه لینک امن یا https. در حالی که سایت های معتبر از جمله راستمرد تمام صفحاتشان با لینک امن https رمزپردازی شده و اطلاعاتشان قابل دزدیدن نیستند.

فیشینگ با درگاه بانکی جعلی

شخص هکر در این روش صفحه ای مشابه درگاه پرداخت آنلاین بانک ها طراحی می کند و با قرار دادن این صفحه جعلی در فروشگاه های صوری و با ارائه پیشنهاد های وسوسه کننده سعی می کند شما را وادار کند وارد صفحه پرداخت جعلی که طراحی کرده بشوید و اطلاعات کارتتان را وارد کنید؛ در مثال بالا درگاه جعلی ای را مشاهده میکنید که درست شبیه درگاه بانک ملت طراحی شده اما آدرس آن myawards.ir است که یک آدرس جعلی است.

برای جلوگیری از چنین کلاهبرداری هایی اولا به پیشنهادهای عجیب و غریب و وسوسه کننده ای که با اس.ام.اس یا ایمیل و… برایتان ارسال می شود قدری مشکوک باشید. دوم، حتما مجوز ها و سابقه سایتی که از آن خرید میکنید را بررسی کنید. معمولا وبسایت های واقعی هزاران صفحه و مقاله دارند و چندین سال از قدمت آنها می گذرد (شبیه به وبسایت راستمرد) اما وبسایت های دروغین فقط چند صفحه کوچک دارند و برای گول زدن شما طراحی شده و از عمر وبسایت مدت کوتاهی میگذرد. برای بررسی این موضوع میتوانید در گوگل website whois را سرچ کنید و سپس در یکی از وبسایت های مورد نظر اسم وبسایتی که میخواهید بررسی کنید را وارد کنید. به طور مثال عکس زیر اطلاعات whois وبسایت راستمرد میباشد که نشان می دهد از سال 2015 ثبت شده و تا انتهای 2020 تاریخ دارد:

اطلاعات whois وبسایت راستمرد همینچنین دقت کنید که آدرس درگاه پرداخت بانک مرکزی که به اسم  psp معروف است، حتما باید نام یکی از زیر مجموعه های شاپرک به شکل https://xxx.shaparak.ir  (شرکت های پرداخت الکترونیک) درج شده باشد  و دارای تاییده‌های امنیتی و همچنین نام وبسایت پذیرنده باشد.

مشاهده تمامی درگاه های مورد تایید در وبسایت پلیس فتا در انتهای مقاله[i]

در زیر متوانید نمونه یک درگاه واقعی که متعلق به سایت خودمان هست را مشاهده کنید:

درگاه پرداخت واقعی وبسایت راستمردفیشینگ با دستگاه های POS و ATM تقلبی

برخی کلاهبرداران با استفاده از POS و ATM تقلبی کارت‌های بانکی طعمه های خود را کپی کرده و به بهانه فروش محصول و کالا رمز عبور آنها را می پرسند و سپس به راحتی حساب بانکی افراد را خالی می کنند. برای جلوگیری از این نوع کلاهبرداری از استفاده از ATM های مشکوک و در جاهای دور افتاده یا خرید با کارت بانکی از دستفروش ها و افرادی که مکان ثابتی ندارند جدا خودداری کنید.

فیشینگ از طریق کدهای دستوری یا ussd در موبایل

فیشینگ صرفا به حوزه فضای سایبری و درگاه‌های پرداخت الکترونیکی محدود نیست؛ فیشینگ از طریق کدهای دستوری یا تلفن یکی از انواع محبوب فیشینگ در میان مجرمان سایبری است که با وجود کاهش قربانی در دنیا بر اساس آمارهای پلیس فتا به دلیل محبوبیت کدهای دستوری در ایران دارای رشد فزاینده‌ای است.

این نوع از فیشینگ شامل پیامی از سوی بانک، شرکت‌ها و یا حتی جوایزی است که ادعا می‌کند باید با شماره گیری و تماس با یک کد ستاره مربع نسبت به رفع مشکل بانکی یا دریافت جایزه اقدام کنید اما در همان لحظه اطلاعات کارت بانکی فرد از جمله شماره حساب و  رمز دوم درخواست می‌شود که در صورت ارائه این اطلاعات توسط کاربر، فیشر می‌تواند تا به سرعت حساب فرد مورد نظر را تخلیه و از آن برداشت وجه غیرمجاز داشته باشد. برای جلوگیری از این نوع کلاهبرداری قبل از وارد کردن اطلاعات کارت بانکی با مرجع ارسال کننده کد دستوری مثلا با بانک خود تماس بگیرید و از صحت پیام مطمئن شوید.

فیشینگ به وسیله ربات‌های تلگرامی

تلگرام محبوبترین پیام رسان در ایران محسوب می‌شود و امکانات گسترده‌ای دارد که از جمله آنها باید به ربات اشاره داشت؛ ربات های تلگرام این روزها به بسیاری از کارهای ما سرعت بخشیده اند، شرکت های معتبر فین‌تک هم در این خصوص خدمات خوبی را ارائه می دهند که گزارش گیری انتقال وجوه را ساده تر کرده است. اما به هر روی تلگرام بستر مناسبی برای انتقال وجه نیست و دیده شده به بهانه انتقال وجه اطلاعات بانکی افراد از این طریق سرقت شده است. برای جلوگیری از این نوع کلاهبرداری اطلاعات کامل بانکی خود را در تلگرام چه برای اشخاص و چه برای ربات ها وارد نکنید. مثلا با اینکه راستمرد در تلگرام هم ربات دارد اما در حین خرید از ما به همان درگاه بانکی امن با ادرس شاپرک منتقل می شوید و هیچ اطلاعاتی از شما از طریق تلگرام خواسته نمی شود. پس به این مورد هم توجه کنید.

فیشینگ با پاپ آپ

یکی از انواع حمله‌های موفق پاپ آپ که موفقیت چشمگیری داشته است، ارجاع قربانی به صفحه اصلی بانک‌های معتبر و سپس بازشدن یک صفحه پاپ آپ به عنوان درگاه است که کاربر را دچار اطمینان خاطر می‌کند که صفحه درگاه اصلی است اما در حالی که کاربر اطلاعات حساس خود را وارد می‌کند و در نهایت قربانی خواهد بود. باز برای جلوگیری از این مورد قبل از وارد کردن اطلاعات بانکی به آدرس صفحه ای که در آن وارد شده اید توجه کنید.

فیشینگ با وای فای عمومی

دوقلوهای شر یا Evil twins از جمله روش‌های راحت برای دستیابی فیشرها به اطلاعات است؛ در حقیقت فیشر با ارائه یک شبکه وای فای عمومی و رایگان در مکان‌های معتبر مثل کافی شاپ، هتل و غیره می‌تواند نسبت به برداشت اطلاعات کاربری که به این شبکه عمومی متصل می‌شود، اقدام کند؛ همین مسئله باعث شده تا مسئولین نظارتی از جمله پلیس فتا نسبت به استفاده از وای فای عمومی بدون هویت هشدار داده‌اند چرا که ممکن است اطلاعات حساس از جمله اطلاعات بانکی فرد توسط صاحب وای فای عمومی دچار سرقت شود. برای جلوگیری از این مورد وقتی از وای فای مجانی استفاده می کنید اولا دقت کنید که هیچ چیز در دنیای امروزه مجانی نیست. دوم هم اینکه از وارد کردن اطلاعات حساس مثل اطلاعات ورود به صفحه بانکی خود با استفاده از وای فای رایگان خودداری کنید.

فیشینگ با نصب نرم افزارهای جاسوس در لپ تاپ و موبایل

متاسفانه امروزه نرم افزارها یا اپلیکیشن هایی در اینترنت منتشر می شوند که با قابلیت های جذابی مثل نرم افزار پیر و جوان کردن چهره، بازی های جذاب یا گرفتن شارژ مجانی افراد را مجاب می کنند که آنرا بروی گوشی خود نصب کنند غافل از اینکه این نرم افزارها می توانند اطلاعات بسیار محرمانه شما و حتی هر چیزی که تایپ می کنید را برای هکر ارسال کنند. برای جلوگیری از این نوع هک، هرگز نرم افزارهای نامعلوم را روی گوشی خود نصب نکنید و فقط از مراجع معتبر مثل بازار یا گوگل پلی اقدام به نصب نرم افزارهای مورد نیاز خود کنید و حتی در این موارد هم به دسترسی های مورد نیاز نرم افزار توجه کنید و اگر چیز مشکوکی دیدید از نصب نرم افزار خودداری کنید.همینطور یک آنتی ویروس بروز بروی گوشی و لپ تاپ خود داشته باشید.

نتیجه گیری:

اگر از وبسایت های معتبری مثل راستمرد، دارای نماد اعتماد الکترونیک و لینک امن https خرید می کنید و مطمئن هستید نرم افزار آلوده ای روی گوشی یا لپ تاپتان نصب نیست می توانید با خیال راحت خرید کنید. همان طور که خود ما هم خیلی از کارهایمان را از طریق خرید هایی اینترنتی انجام می دهیم. اما هنگامی که از سایت های نوظهور و بدون مدرک و هویت خرید می کنید باید خیلی مراقب باشید و در صورت امکان از افرادی که تجربه بیشتری در زمینه اینترنت و کامپیوتر دارند کمک بگیرید یا اگر چنین کاری برایتان ممکن نیست حتما به نکات امنیتی بالا توجه کنید تا انشالا خریدی امن و موفق را تجربه کنید. همین طور با دستور اخیر بانک مرکزی مبنی بر اجباری شدن استفاده از رمز دوم پویا از آغاز دی ماه، احتمال کلاهبرداری های اینترنتی بسیار بسیار کاهش می یابد.

برخی از مطالب این صفحه از وبسایت ibena.ir برداشته شده اند.

[i] لیست درگاههای مورد تایید پلیس فتا تا تاریخ 10 آذر 1398

– آسان پرداخت پرشین https:‎//asan.shaparak.ir
– پرداخت ملت https:‎//bpm.shaparak.ir
– تجارت الکترونیک پارسیان https:‎//pec.shaparak.ir
– تجارت الکترونیک پارسیان https:‎//pecco.shaparak.ir
– پرداخت الکترونیک سامان https:‎//sep.shaparak.ir
– پرداخت الکترونیک پاسارگاد https:‎//pep.shaparak.ir
– پرداخت نوین آرین https:‎//pna.shaparak.ir
– پرداخت الکترونیک سداد https:‎//sadad.shaparak.ir
– کارت اعتباری ایران کیش https:‎//ikc.shaparak.ir
– فن آوا کارت https:‎//fcp.shaparak.ir
– مبنا کارت آریا https:‎//mabna.shaparak.ir
– الکترونیک کارت دماوند https:‎//ecd.shaparak.ir
– سایان کارت https:‎//sayan.shaparak.ir