بانکداری الکترونیک

دانلود پایان نامه

خدمات جدید میرود از مناسبترین ابزار ارتباطی بهره برد. این ابزار شامل استفاده از شبکهی جهانی اینترنت با پهنای باند متناسب، شبکههای داخلی مثل اینترانت، LAN، WAN، سامانههای ماهوارهای، خطوط فیبر نوری، شبکهی گستردهی تلفن همراه، تلفن ثابت و سایر موارد میباشد.

۲-۴-۲- زیرساخت مالی و بانکی

یکی از مهمترین اقدامات بانکها در مسیر تبدیل شدن به بانکی الکترونیکی ایجاد زیرساخت‌هایی مانند کارتهای اعتباری، کارتهای هوشمند، توسعهی سختافزاری شبکههای بانکی و فراگیر کردن دستگاه‌های خودپرداز است. همچنین تطبیق پروتکلهای داخلی شبکه‌های بین بانکی با یکدیگر و پایانههای فروش کالاها تا نقش کارت‌های ارائه شده از طرف بانک در مبادلات روزمره نیز گسترش پیدا کند.

۲-۴-۳- زیرساخت حقوقی و قانونی

برای اینکه بانکداری الکترونیکی با اقبال عمومی مواجه شود در گام اول باید بسترهای قانونی مورد نیاز آن فراهم شود و با شناخت تمامی احتمالات در فرایند بانکداری الکترونیکی درصد ریسک کاهش و اعتماد عمومی و حقوقی نسبت به سامانههای بانکداری الکترونیکی افزایش پیدا کند. گام دوم برای این منظور، تدوین قانون استنادپذیری ادلّهی الکترونیکی است زیرا در فرایند بانکداری الکترونیکی، رکوردهای الکترونیکی جایگزین اسناد کاغذی میشود. بنابراین قانون ادلّهی الکترونیکی یکی از نیازمندیهای اصلی تحقق بانکداری الکترونیکی است.

۲-۴-۴- زیرساخت فرهنگی و نیروی انسانی

برای توسعهی بانکداری الکترونیکی نیاز جدی به فرهنگسازی برای جذب و توجیه اقتصادی جهت بهرهبرداری از این سامانهها برای مشتریان است.

۲-۴-۵- زیرساخت نرمافزاری و امنیتی

یکی از عوامل مهم در مقبولیت و گسترده شدن فرایندهای بانکداری الکترونیکی توسعه‌ی نرم‌افزاری و افزایش امنیت در سامانههای آن است. در صورتی که زمینه‌ی لازم جهت تأمین این دو نیاز فراهم شود کاربرد عمومی سامانههای الکترونیکی گسترش و تسهیل مییابد، ریسک استفاده از این سامانهها کاهش مییابد و اعتماد و رضایتمندی مشتری افزایش مییابد. برای یک ارسال امن نکات زیر باید رعایت شود(Endicott et al., 2007; Gregory, 2010):
اطلاعات برای گیرنده و فرستنده قابل دسترسی باشند. (در دسترس بودن۳۲)
اطلاعات در طول زمان ارسال تغییر نکرده باشد. (صحت۳۳)
گیرنده مطمئن شود که اطلاعات از فرستنده مورد نظر رسیده است. (اصالت۳۴)
اطلاعات فقط برای گیرنده حقیقی و مجاز افشا شود. (محرمانگی۳۵)
فرستنده نتواند منکر اطلاعاتی که میفرستد بشود. (انکار ناپذیری۳۶)

۲-۵- امنیت در بانکداری الکترونیکی

بانکداری الکترونیکی متکی بر محیط مبتنی بر شبکه و اینترنت است. اینترنت به عنوان شبکه‌ای عمومی، با مباحث محرمانگی و امنیت اطلاعات مواجه است. به همین دلیل بانکداری اینترنتی و برخط میتواند مخاطرههای فراوانی برای مؤسسات و بنگاههای اقتصادی داشته باشد که با گزینش و انتخاب یک برنامهی جامع مدیریت ریسک، قابل کنترل و مدیریت خواهند بود. حفظ امنیت اطلاعات از مباحث مهم تجارت الکترونیکی است.
امنیت بانکداری الکترونیکی را میتوان از چند جنبه مورد بررسی قرار داد (صفوی، ۱۳۸۷):
امنیت فیزیکی
امنیت کارمندان و کاربران سامانه
امنیت نرمافزار سامانهی یکپارچهی بانکداری الکترونیکی

اینترنت شبکهای عمومی و باز است که هویت کاربران آن به آسانی قابل شناسایی نیست. علاوه بر این مسیرهای ارتباطی در اینترنت فیزیکی نیستند که موجب میشود انواع حملات و مزاحمتها برای کاربران ایجاد شود. به طور کلی میتوان سه مشکل اصلی امنیتی در بانکداری الکترونیکی را موارد زیر دانست (عموزاد خلیلی و همکاران، ۱۳۸۷):
چگونه میتوانیم به مشتری این اطمینان را بدهیم که با ورود به وبگاه و انجام معامله در آن، شماره رمز کارت اعتباری وی مورد سرقت و جعل قرار نخواهد گرفت؟
شنود۳۷: چگونه میتوانیم مطمئن شویم که اطلاعات شماره حساب مشتری هنگام معامله در وب، قابل دستیابی توسط متخلفان نیست؟
مشتری چگونه میتواند یقین حاصل کند که اطلاعات شخصی او توسط متخلفان قابل تغییر نیست؟

۲-۶- تهدیدات و کلاهبرداریها در اینترنت

به طور کلی اهداف متفاوتی را میتوان برای کلاهبرداران اینترنتی برشمرد که عبارتند از : کسب سودهای مالی، تغییر عرف و رسوم اخلاقی، و اهداف گوناکون دیگری که میتواند برای هر فرد متفاوت باشد. در تجارت الکترونیکی، هدف اصلی فریبکاریها، کسب سودهای مالی است. آسیبهای حاصل از خرابکاریهای اینترنتی عبارتند از : از دست دادن سرمایه، رسوایی، خدشهدار شدن حریم شخصی و خسارتهای فیزیکی که هر کدام از این موارد، به دنبال خود از دست دادن زمان و همچنین ایجاد نگرانیهای ذهنی را برای افراد زیاندیده به همراه خواهد داشت (Kim et al., 2011).
طبیعت اینترنت منجر به پررنگ شدن تهدیدات و فریبکاریهای مختلف در آن و گسترش جنبهی تاریک و مبهم شبکه میشود. دسترسی جهانی به اینترنت، سرعت انتشار بالا، گمنامی افراد و عدم ملاقات رو در رو، دسترسی رایگان به خدمات و محتواهای با ارزش و همچنین کمبود قوانین مناسب و توافقهای بین المللی از جمله عواملی هستند که موجب شده تا بسیاری از این تهدیدات فراگیر شده و پیگرد آنها دشوار گردد. در ادامه به توضیح مختصر برخی از این عوامل میپردازیم:

الف- گمنامی
بسیاری از وبگاهها، برای عضویت در وبگاه، تنها
نشانی یک رایانامه۳۸ معتبر را از کاربر درخواست میکنند و یک فرد میتواند به عنوان چندین کاربر و با نشانی رایانامههای متفاوت عضو وبگاه موردنظر شود. گمنامی باعث میشود که برخی افراد بدون هرگونه حس بازدارنده به اعمالی مثل حملات اینترنتی، انتشار اطلاعات نادرست و مطالب نامربوط در مورد سایر افراد و … بپردازند (Kim et al. , 2011).

ب- دسترسی رایگان به خدمات و محتواهای با ارزش
دسترسی رایگان به محتواهایی با ارزش بالا، گاهی باعث میشود که ارزش محصولات و خدمات در محیط اینترنت، پایینتر از حد طبیعی خود جلوه کند و کاربران اینترنت همیشه انتظار دریافت محصولات و خدمات رایگان را داشته باشند که این مسئله میتواند به عنوان چالش و تهدیدی برای افراد فعال در زمینه تجارت الکترونیکی مطرح شود. به عنوان مثال از محتواهای رایگان میتوان به این موارد اشاره کرد: جویشگرها۳۹ که انواع محتواهای رایگان را برای کاربران جستجو کرده و در اختیار آنها قرار میدهند، دریافت نرم افزارهای رایگان (گوگل اپلیکیشن۴۰، جیمیل۴۱ و …)، وبگاههای اشتراکگذاری محتوای ویدیویی (یوتیوب۴۲ و …)، وبگاههای شبکههای اجتماعی ( فیسبوک۴۳ و مایاسپیس۴۴ و …) و حتی وبگاههای اشتراک پروندههای غیرقانونی(Kim et al. , 2011).
در هرحال همچنان که پاک کردن کامل دنیای حقیقی از جرائم و اعمال غیراخلاقی و غیرقانونی امری غیرممکن است، در دنیای مجازی نیز وضع به همین منوال است. لذا بهترین کار، کنترل تهدیدات و نگه داشتن آنها در یک سطح قابل تحمل است.
تهدیدات و فریبکاریهای اینترنتی انواع گوناگونی دارند که از آن جمله میتوان به هرزنامه‌ها۴۵، ویروسها و کرمهای کامپیوتری، رخنه۴۶، حملات دی‌اواِس۴۷، کلاهبرداریهای برخط، دزدیده شدن هویت افراد، تجاوز از حقوق مالکیت دیجیتال و تجاوز از حریم شخصی اشاره کرد. در ادامه به بررسی یکی از چالشبرانگیزترین کلاهبرداریهای اینترنتی در حوزهی بانکداری الکترونیکی میپردازیم.

این مطلب رو هم توصیه می کنم بخونین:   کاربری فضای سبز

۲-۷- دامگستری۴۸

واژهی “Phishing” در زبان انگلیسی واژهای جدید است که برخی آن را مخفف عبارت “Password Harvesting Fishing” به معنای “شکار گذرواژهی کاربر از طریق طعمه‌گذاری” و برخی دیگر آن را استعاره‌ای از واژهی “Fishing” به معنای “ماهیگیری” تعبیر کرده‌اند. سازندگان این واژه کوشیده‌اند با جایگزین کردن Ph به جای F مفهوم فریفتن را به مخاطب القا کنند( نوعی پور، ۱۳۸۳).
دامگستری، یکی از روشهای مهندسی اجتماعی۴۹ است که معنای آن فریب کاربران اینترنت از طریق هدایت آنها به سمت وبگاههایی است که از نظر ظاهری کاملاً شبیه به وبگاه موردنظر کاربر هستند؛ این موضوع معمولاً در مورد وبگاه بانکها، مؤسسات اعتباری، حراجهای اینترنتی، شبکههای اجتماعی محبوب و مردمی، وبگاههای ارائهدهنده خدمات اینترنتی و … صورت می‌گیرد. ایده اصلی این حمله آن است که طعمهای برای افراد فرستاده میشود به امید اینکه آنان، طعمه را گرفته و شکار شوند. در بسیاری موارد، این طعمه رایانامه یا هرزنامه است که کاربر را برای ورود به وبگاه، فریب میدهد. این نوع از فریبکاری، کاربر را به سمتی هدایت می‌کند که اطلاعات حیاتی خود مانند نام، گذرواژه، مشخصات کارت اعتباری، مشخصات حساب بانکی و … را وارد وبگاه کند. سپس این اطلاعات سرقت شده و برای مقاصدی مثل دزدی، کلاهبرداری و .. مورد استفاده قرار میگیرند (Peppard and Rylander, 2005).
دامگستری در اواسط دههی ۱۹۹۰ میلادی در شبکهی برخط امریکا۵۰ آغاز شد. دامگسترها خود را به جای کارکنان AOL جا میزدند و برای قربانیان پیامهای فوری ارسال میکردند و به ظاهر از آنها میخواستند تا گذرواژههایشان را بازبینی یا برای تأیید اطلاعات صورتحساب، وارد کنند. به محض اینکه قربانی گذرواژهاش را افشا میکرد، مهاجم با دسترسی به حساب کاربری او قادر بود هر فعالیت غیرقانونی انجام دهد. پس از اینکهAOL اینگونه دامگستریهای مبتنی بر پیام فوری را محدود کرد، دامگسترها مجبور شدند به سراغ سایر ابزار به ویژه رایانامه بروند. همچنین دامگسترها دریافتند که میتوانند از مؤسسات مالی و اعتباری سود قابل توجهی کسب کنند. با این هدف در ژانویه ۲۰۰۱، کاربرانِ شبکهی پرداخت برخط E-gold51 مورد حمله قرار گرفتند. گرچه این حملات با استفاده از رایانامههای متنی خام، موفق نبود اما پس از یازدهم سپتامبر ۲۰۰۱ به شیوههای دیگری که مؤثرتر بودند ادامه پیدا کرد. شیوههایی که از آن پس رایج شد به شکل حملات دامگستری کنونی است که در آن پیوندی۵۲ از وبگاه جعلی در رایانامه وجود دارد و فرد با کلیک روی آن به وبگاه دامگستری شده هدایت میشود (Miller, 2010).
اولین بررسی در مورد مفهوم دامگستری مربوط به کنفرانس اینترکس۵۳ در سال ۱۹۸۷ است. جری فلیکس۵۴ و کریس هاک۵۵، در مقاله ای تحت عنوان “امنیت سامانه: از دید نفوذگر۵۶” روشی را توصیف کردند که در آن شخص سومی از خدمات مورد اطمینان در محیط وب تقلید می کند (Robson, 2011).

۲-۷-۱- انواع دامگستری
به طور کلی می توان انواع دامگستری را به سه دسته تقسیم کرد:

الف- جعل هویت۵۷
این روش نسبت به سایر روشها رایجتر و به مراتب آسانتر است. این روش شامل ساخت وبگاهی کاملاً جعلی است که کاربر ترغیب میشود از آن بازدید کند. این وبگاه جعلی تصاویری از وبگاه اصلی را در بر دارد و حتی ممکن است پیوندهایی به آن داشته باشد (James, 2005).

ب- ارسال۵۸ (دامگستری مبتنی بر رایانامه)
این روش بیشتر در وبگاههایی نظیر آمازون، Ebay و PayPal مشاهده شده است و در آن رایانام
های به کاربران ارسال میشود که تمامی نمادها و گرافیک وبگاه قانونی را دارد. وقتی قربانی از طریق پیوند درون این رایانامه، اطلاعات محرمانه خود را وارد میکند، این اطلاعات به کارساز۵۹ متخاصم فرستاده میشود. پس از آن یا کاربر به وبگاه صحیح و قانونی هدایت می‌شود یا با پیغام خطا در ورود اطلاعات مواجه میگردد. امروزه به علت حجم بالای html در اینگونه رایانامهها، بسیاری از ویروسکشها۶۰ و پادهرزنامهها۶۱، جلوِ آنها را میگیرند که از دید دام‌گستران ضعف این روش محسوب میشود (James, 2005).

ج- پنجرههای بالاپَر۶۲
این روش حملهای خلاقانه اما محدود است. این نوع دامگستری در سپتامبر سال ۲۰۰۳ هنگامی شناسایی شد که سیتیبانک۶۳ پشت سرهم مورد حملهی دامگستری قرار میگرفت. این روش بدین صورت است که شما روی پیوند درون رایانامه کلیک میکنید و با یک پنجرهی بالاپَر مواجه میشوید. اما پشت این پنجره وبگاه اصلی و قانونی هدف دامگسترها قرار دارد. لذا این روش بسیار ماهرانه و گمراهکننده است و بیش از سایر روشهای دامگستری، اعتماد کاربران را جلب میکند. البته این روش امروزه ناکارآمد است زیرا بیشتر مرورگرهای وب برای جلوگیری از باز شدن پنجرههای بالاپَر به صورت پیشفرض “سدّکنندهی پنجرهی بالاپر”۶۴ را در خود دارند (James, 2005).

یکی از شاخههای حملات دامگستری ، “دامگستری صوتی”۶۵ نام دارد. واژهی “Vishing” از ترکیب دو واژهی انگلیسی “Voice” به معنای “صدا” و “Phishing” به وجود آمده است که در آن به جای فرستادن رایانامه به سمت کاربر و درخواست از او برای کلیک بر روی پیوندی خاص، رخنهگر طی یک تماس تلفنی، شماره تلفنی را برای کاربر ارسال میکند و از وی میخواهد که با آن شماره تماس بگیرد. وقتی کاربر تماس گرفت، یک صدای ضبط شده از او میخواهد که اطلاعات شخصی خود را وارد کند. مثلاً وقتی کاربر مشکلی در حساب بانکی یا کارت اعتباری خود دارد، این پیام از پیش ضبط شده از او میخواهد که با یک شماره خاص تماس بگیرد و برای حل مشکل تقاضای کمک کند. در بسیاری موارد، سخنگو از نوع سخن گفتن افراد بخش پیشگیری از کلاهبرداری بانک یا شرکت کارت اعتباری تقلید میکند؛ اگر پیام، متقاعدکننده باشد، برخی افراد گیرنده پیام، با شماره داده شده تماس خواهند گرفت (Forte, 2009).

۲-۸- آمارهای مربوط به دامگستری

حملات دامگستری با آهنگ رو به تزایدی در حال رشد هستند. به گزارش کنسرسیوم بین المللی “گروه پادامگستری۶۶”، تعداد وبگاههای دامگستری شده در حال افزایش است (Toolan and Carthy, 2011). در سال ۲۰۰۶،

دیدگاهتان را بنویسید