بررسی, دنياي اينترنت

چگونه مشکل امنیتی در سامانه اینترنتی “بام” بانک ملی را رفع کنیم؟

تبلیغات
4 سوالی شهرداری
کانال تلگرام فتولیا

333078603387825126

مشتریان بانک ملی اخیرا با سیستم جدیدی بنام “بام” مواجه هستند که از طرف بانک دائما تشویق به عضویت و استفاده در آن می شوند . اگر از قبل سرویس پیامکی بانک ملی رو فعال کرده باشید به راحتی با رفتن به سایت بانک ملی می تونید در این سیستم عضو بشید (گرچه به علت تناقض در اطلاعات ثبت شده من در بانک ملی با ثبت احوال ، به نظر این سیستم جزو مشتریان نبودم ! و مجبور به رفتن به شعبه شدم) .

با توجه به برداشته شدن امکان “کارت به کارت” از سایت بانک ملی ، برای انجام این کار هم مجبور به عضویت در ایت سامانه هستید . به هر حال اگر تصمیم گرفتید از این سامانه استفاده کنید و یا از خیلی وقت پیش این کار رو شروع کردید باید به یک نکته مهم دقت کنید .

 

مشکل چیست ؟

در سامانه بام بانک ملی از صفحه کلید مجازی فعلا خبری نیست! و این یک نقص امنیتی عمده به حساب می آید . چرا ؟ چون امروزه استفاده از نرم افزارهای ضبط کننده دکمه های کیبورد (Keyloggers) یکی از راه های مهم برای هک و دسترسی به اطلاعت حساس کاربران (مثل اطلاعات بانکی) به حساب می آید . این نرم افزارها بدون اینکه شما بفهمید می توانند روی کامپیوتر یا لپ تاپ و حتی گوشی شما نصب شوند و هر دکمه ای که فشار می دهید و هر چیزی که تایپ می کنید را در خود ذخیره کرده و به شخص هکر ارسال می کنند. از رمز دوم کارت بانکی شما گرفته تا رمز ایمیل و پیام های شخصی .

ولی اگر بانک شما کیبورد مجازی خوبی را در اختیارتان قرار دهد دیگر نیاز نیست نگران کی لاگرها باشید . زیرا دکمه های کیبورد مجازی با موس زده می شوند و هر دفعه نیز مکان دکمه ها عوض می شود و بدین ترتیب هکر به راحتی نمی تواند دکمه ای که زده اید را تشخیص دهد. متاسفانه در سامانه بام بانکی ملی با همه مزایای خوبی که دارد این امکان ضروری در نظر گرفته نشده است که اخیرا هشدار پلیس فتا را نیز در پی داشت.

 

 

bank-melli-bam-security-issue

در تصویر فوق می بینید که برای انتقال کارت به کارت پول باید رمز دوم کارت را با کیبورد معمولی وارد کنیم !

 

راه حل چیست؟

باید در وارد کردن اطلاعات حساس مثل رمز دوم کارت ،نام کاربری و رمز حساب کاربری بام ، شناسه CVV2 دقت کنید . توصیه ما این هست که به هیچ وجه از صفحه کلید معمولی استفاده نکنید چه در منزل چه محل کار و چه در کافی نت! این توصیه شامل همه کارهای اینترنتی مثل پرداخت آنلاین و … هم می شود. در این مورد خاص اگر مجبور به استفاده از بام هستید از کیبورد های مجازی امن استفاده کنید (دقت کنید کیبورد مجازی ویندوز چندان امن نیست)

این برنامه ها کیبورد مجازی گزینه های خوبی می توانند باشند :

  • Oxynger KeyShield
  • Neo’s SafeKeys
  • اگر ضد ویروس خوبی نصب کرده باشید معمولا یک صفحه کلید مجازی همراه آنها هست که حتما پیشنهاد می شود از آن استفاده کنید.مثل کیبورد مجازی ضد ویروس کاسپراسکای

 

1_en

 

به هر حال امنیت هیچ وقت ۱۰۰% نیست و ما دائما مجبوریم تمهیدات مهم را برای حفظ و ارتقا امنیت ،مخصوصا در حوزه مالی و بانکی در نظر بگیریم حتی اگر از نظر بانک ما این کار ضروری نباشد ! یکی از این تمهیدات مهم استفاده از صفحه کلید مجازی است. بقیه کارهایی که برای بالا بردن امنیت اطلاعات بانکی توصیه می شود :

  • استفاده از رمز عبور قوی و غیر قابل حدس . چون نمی شود رمز های عبور قوی را به خاطر سپرد پیشنهاد می شود حتما از ابزارهایی مثل LastPass استفاده کنید
  • عدم ذخیره و نوشتن رمز عبور در مکان های نا امن مثل گذاشتن کنار کارت بانکی
  • عدم استفاده از کیبورد معمولی برای ورود اطلاعات حساس مثل کلمه عبور و یا رمز دوم کارت
  • چک کردن تاریخ آخرین ورود (از منوی مشخصات کاربر) تا اگر دسترسی غیر مجازی بود متوجه شده و اقدام به تغییر رمز کنید
  • استفاده از سیستم بانکداری فقط در رایانه شخصی . اگر رایانه ای مثلا در محیط کار توسط شما و همکارتان استفاده می شود امکان آلوده شدن آن به بدافزارها چندین برابر می شود
  • عدم دانلود نرم افزار از سایت های نا معتبر . این بدافزارها معمولا به صورت چسبیده به نرم افزارهای به ظاهر موجه به رایانه شما وارد می شوند و پس از آن کار خود را شروع می کنند.تا حد امکان برنامه ای دانلود نکنید مخصوصا از وب سایت ها و وبلاگ ها یا کانال های

 

دیدگاه های دیگر

نظرات موافق و مخالفی نیز در این زمینه وجود دارد و بعضی ها اعتقاد دارند که صفحه کلید مجازی اصولا نیاز نیست! وحتی دیدگاه های سیاسی را دلیل این بهانه تراشی ! قلمداد می کنند

پیش از این حمیدرضا مختاریان مدیر پروژه سامانه بانکداری اینترنتی بام گفته بود:

یکی از مهم‌ترین دغدغه‌ها در توسعه سامانه بام موضوع امنیت بوده است. در حال حاضر این سامانه از امنیت کافی برخوردار بوده و نتایج تست‌های امنیتی انجام شده گواه این مدعا است. در خصوص عدم استفاده از صفحه کلید مجازی در این سامانه ذکر این نکته ضروری است که کاربرد اصلی صفحه کلید مجازی جلوگیری از عملکرد نسل قدیمی برنامه‌های KeyLogger است. این نسل بر روی کامپیوترهای میزبان نصب شده و کلیه کلیدهای تایپ شده از سوی کاربر را ذخیره می‌کرد. بر اساس تحقیقات به‌عمل آمده از سوی کار‌شناسان و با مطالعه سیر تحول برنامه‌های KeyLogger، مشخص گردید که KeyLogger‌های پیشرفته و جدید به امکاناتی همچون ضبط و ذخیره کلیدهای تایپ شده، کنترل و نظارت بر ClipBoard، تهیه Screen Snapshot از صفحات و حتی تهیه ویدئو از مانیتور کاربران و ضبط کلیه رخدادهای آن مجهز هستند و لذا نمایش صفحه کلید مجازی تنها حس کاذب امنیت را به کاربران منتقل می‌نماید و در عمل هیچ فایده‌ای جهت مقابله با نسل جدید برنامه‌های KeyLogger ندارد. منبع

در این مورد باید گفت اینکه برنامه های کی لاگر پیشرفت کرده اند درست است ولی نمی توان بخش عمده ای از کی لاگرهای قبلی را نیز که هنوز مورد استفاده قرار می گیرند نادیده گرفت . آیا نباید در مقابل این دسته از کی لاگرها نیز کاری کرد حتی اگر درصد کمی از تهدیدات را در بر بگیرند ؟ جالب اینجاست که در سایت بانک ملی توصیه شده حتما از کی لاگر استفاده شود(اینجا) .

در انتها نظر سایت شرکت امنیتی کاسپراسکای در مورد استفاده از صفحه کلیدهای مجازی هم حائز اهمیت هست.

امیدواریم مسئولان این سایت نظرات مخالف را هم شنیده و روی آن فکر کنند تا در آینده ننشینیم و برای اطلاعاتی که به راحتی می توانند افشا شوند چاره جویی کنیم. اگر شما نیز نظر یا پیشنهادی در این مورد دارید لطفا بیان کنید.

علی زمانی

One Comment

  1. دوستان دقت کنید خوده بانک ملی توی آدرس زیر دقیقا توضیح داده که به جای استفاده از صفحه کلید مجازی از تکنولوژی جدید استفاده کردیم تا کاربران با امنیت بیشتر از صفحه کلید استفاده کنند.
    https://www.bmi.ir/Fa/ShowNews.aspx?nwsId=13279
    متن بانک ملی:
    “با توجه به تکنولوژی های بسیار جدید استفاده شده در این سامانه حتی در صفحات ورودی از صفحه کلیدهای مجازی که در اصل به نوعی القاکننده امنیت کاذب هستند نیز استفاده نشده و مشابه سامانه های بانک های بزرگ دنیا، امنیت سامانه به جای واگذاری به مشتری از طریق تکنولوژی های موجود در سامانه تأمین گردیده است. از سویی در این سامانه به صورت مرتب به کاربران برای رعایت نکات ایمنی متداول برای بالا رفتن فرهنگ استفاده از خدمات الکترونیک از قبیل تغییر رمز، استفاده از نرم افزارهای آنتی ویروس قوی، بروزرسانی مرتب و … نکات لازم یادآوری می گردد. “

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مقالات فتولیا در ایمیل شما

در خبرنامه ما عضو شوید و آخرین مطالب و مقالات آموزشی را اول شما دریافت کنید