یکی از دوستان نزدیکم به خاطر شغلش تراکنش‌های بالایی، از نظر حجم و تعداد، در حساب بانکیش انجام می‌دهد. بعضی از این تراکنش‌ها به دلار یا یورو هستند. دوستم هر روز یکی دو ساعت در بانک معطل می‌شود. به این دلیل که می‌خواهد تمام این مبالغ را به شیوه‌ی سنتی به یک حساب دیگرش که اینترنت بانک و تلفن‌ بانک آن فعال نیست منتقل کند. همیشه از او می‌پرسم چرا انقدر به خودش سختی می‌دهد و از ابزارهای آنلاین برای مدیریت موجودی حساب‌هایش استفاده نمی‌کند، و او هر بار در پاسخ می‌گوید: چون نمی‌خواهم دارایی‌ام را دو دستی تقدیم کلاه‌بردارها و هکرها کنم!

زندگی امروز ما به فضای آنلاین وابستگی شدیدی پیدا کرده است. به قول هراری در کتاب پول: زندگی واقعی ما بیش از آن که در فضای آفلاین سپری شود، در فضای آنلاین می‌گذرد. وقتی خریدهای ریز و درشت، نیازهای روزمره، پرداخت قبض‌ها و صورت‌حساب‌ها، قسط بانک، حق بیمه، حقوق دریافتی و… بیشتر مردم از طریق درگاه‌های پرداخت اینترنتی صورت می‌گیرد، فکر سوء استفاده و کلاهبرداری از طریق این درگاه‌های پرداخت، هم وحشتناک می‌نماید و هم خوشایند. وحشتناک برای مردم عادی و خوشایند برای کلاه‌برداران!

تشخیص درگاه پرداخت امن و تفاوت آن با درگاه پرداخت جعلی، برای حفاظت از دارایی‌هایمان بسیار اهمیت دارد. خوشبختانه در این زمینه حرکت‌های مثبتی انجام شده و رعایت چند دستور‌العمل ساده و قابل اجرا، می‌تواند در جلوگیری از افتادن به دام کلاه‌برداران و هکرها مؤثر باشد. 

امروز می‌خواهیم روش‌های ساده‌ای را با هم مرور کنیم که می‌تواند در تشخیص درگاه پرداخت امن و درگاه پرداخت جعلی بسیار مفید باشد. اگر این موضوع تا امروز دغدغه‌ی شما هم بوده، از این به بعد می‌توانید با خیال راحت تراکنش‌های آنلاین خود را انجام دهید. اما حواستان باشد: همیشه باید در هنگام انجام عملیات بانکی آنلاین هوشیار باشید!

چگونه از امن بودن درگاه پرداخت مطمئن شویم؟

هر خریدی که شما از طریق فروشگاه‌های اینترنتی انجام می‌دهید، از پرداخت ماهانه‌ی حق بیمه‌ گرفته تا خرید درون‌برنامه‌ای نینجا فروت، شما را به یک صفحه هدایت می‌کند که باید مشخصات بانکی خود را در آن وارد و خرید خود را کامل کنید. این صفحه در واقع یک درگاه پرداخت مستقیم یا واسط است. اگر در فرایند خرید اینترنتی به یک درگاه پرداخت معتبر متصل شدید اصلاً جای نگرانی نیست. زیرا اینها درگاه‌های پرداخت امن و قانونی هستند. تمام نگرانی ما از این است که شما به جای این صفحه، به یک صفحه‌ی جعلی هدایت شوید که درست شبیه یک درگاه پرداخت امن طراحی شده است تا خریداران را فریب دهد و اطلاعات آنها را برای شخصی که آن را ایجاد کرده بفرستد. 

در این بخش، نکاتی که برای تشخیص یک درگاه پرداخت امن ضروری هستند را بررسی می‌کنیم و در بخش بعدی به ویژگی‌های درگاه پرداخت جعلی و روش‌های تشخیص یک درگاه پرداخت نا امن می‌پردازیم.

اطلاعاتی که برای خرید آنلاین مورد نیاز هستند عبارتند از:

  • شماره‌ی کارت بانکی
  • رمز دوم کارت بانکی (PIN2)
  • کد اعتبارسنجی (CVV2)
  • تاریخ انقضای کارت بانکی

وارد کردن ایمیل در درگاه پرداخت اختیاری است. تمام آنچه که درگاه پرداخت جعلی انجام می‌دهد سرقت این اطلاعات و ارسال آن برای شخصی است که آن را طراحی کرده است. البته هنوز برای نگرانی زود است. چون به زودی خواهیم دید که با کمی دقت در برخی جزئیات، می‌توان یک درگاه پرداخت امن را از جعلی تشخیص داد.

۱. بررسی آدرس اینترنتی صفحه‌ی پرداخت

 هر صفحه‌ی اینترنتی یک آدرس مشخص و منحصر به فرد دارد. برای اطمینان از امن بودن درگاه پرداخت، حتماً باید آدرس اینترنتی صفحه‌ای که به آن منتقل شده‌اید را بررسی کنید. آدرس صفحه در قسمت بالای صفحه در محل آدرس قابل دیدن است. اگر از مرورگرهای موبایل استفاده می‌کنید کافی است محل آدرس را با انگشت لمس کنید تا آدرس به طور کامل برای شما نمایش داده شود. آدرس اینترنتی یک درگاه پرداخت امن، با یک علامت قفل ریز در شروع آدرس مشخص شده است. در بعضی صفحات، علامت قفل وجود ندارد اما آدرس حتماً باید با عبارت //:https شروع شده باشد. اگر غیر از این باشد شک نکنید که به یک درگاه پرداخت جعلی هدایت شده‌اید.

استفاده از پروتکل امن انتقال ابرمتن برای صفحات پرداخت اینترنتی
اهمیت پروتکل امن انتقال ابرمتن در تراکنش‌های اینترنتی

۲. آدرس و لوگوی بانک 

اگر به درگاه پرداخت یک بانک منتقل شده باشید باید آدرس اینترنتی صفحه‌ی پرداخت و لوگوی بانک با هم هماهنگ باشند. برای یک کلاهبردار استفاده از لوگوی بانک در یک صفحه‌ی جعلی کار سختی نیست. اما باید هوشیار باشید و لوگو را با آدرس اینترنتی مطابقت دهید. 

۳. عبارت مشترک

در تمام درگاه‌های پرداخت امن یک عبارت ثابت وجود دارد:  shaparak.ir. شاپرک، شبکه‌ی الکترونیکی پرداخت‌ کارتی است که تمام درگاه‌های پرداخت معتبر باید به آن وصل شوند. حواستان باشد که متخلفان برای فریب کاربران از ترکیبات مختلف حروف آن در آدرس صفحه‌ی جعلی خود استفاده می‌کنند. ترکیباتی مثل shaaparak.ir یا shapaaarak.ir و یا  shaparaak.ir. 

۴. صفحه کلید مجازی

شاید تا امروز موقع پرداخت اینترنتی به صفحه کلید مجازی کوچکی که برای پر کردن بعضی اطلاعات در صفحه ظاهر می‌شود توجه نکرده‌ باشید، یا شاید آن را دیده‌اید و احساس کرده‌اید که یک ابزار مزاحم و به درد نخور است. باید بگوییم شاید روزی به کمک همین ابزار مزاحم از شر یک متخلف و صفحه‌ی جعلی‌اش در امان بمانید. چطور؟ با تازه‌سازی (Refresh) صفحه. اگر صفحه‌ی پرداخت را رفرش کردید و جای کلیدها در صفحه کلید مجازی عوض شد، به این معنی است که درگاه پرداخت امن است (حتماً باید هم‌زمان با موارد قبلی بررسی شود.) اگر جای اعداد ثابت ماند و تغییر نکرد، شما حتماً در معرض خطر هستید.

۵. نگران مسدود شدن کارت خود نباشید

اگر با بررسی تمام موارد بالا، به یک درگاه پرداخت شک کردید، می‌توانید یک بار برای امتحان یکی از مشخصات خود را اشتباه وارد کنید. برخی از صفحات جعلی با وارد کردن هر نوع اطلاعاتی پیام «تراکنش با موفقیت انجام شد» را نمایش می‌دهند. اگر بعد از وارد کردن اطلاعات غلط، پیام تراکنش با موفقیت انجام شد را دریافت کردید، بدانید آن صفحه جعلی است و شما نباید اطلاعات درست خود را در آن وارد کنید. 

توجه به این نکته بسیار مهم است که باید تمام مراحل بالا را با هم انجام دهید و صرفاً به یکی دو مورد از آنها اکتفا نکنید.

چگونه درگاه پرداخت جعلی را تشخیص دهیم؟ 

تا اینجا به روش‌های تشخیص درگاه پرداخت امن پرداختیم. در ادامه، برای ارتقای شناخت شما از درگاه‌های پرداخت امن و جعلی، موضوع فیشینگ را توضیح می‌دهیم و نحوه‌ی کار یک درگاه پرداخت ناامن را بررسی می‌کنیم.

قبل از هر چیز باید یادآوری کنیم که درگاه‌های پرداخت معتبر، یا وابسته با سامانه‌های پرداخت مستقیم (PSP) هستند یا شرکت‌های پرداخت‌یار که اعتبار آنها از سوی نهادهای قانونی تأیید شده است (برای اطلاعات بیشتر این مطلب را بخوانید.) صفحه‌ی نهایی پرداخت به یکی از این ۱۲ شرکت پی‌اس‌پی وصل است و این یعنی ۱۲ آدرس ثابت وجود دارد. اما تعداد درگاه‌های پرداخت واسط، که از سوی پرداخت‌یارها ارائه می‌شود، بیشتر است. کاری که کلاهبردارها انجام می‌دهند دسترسی به اطلاعات بانکی‌ کاربران است که برای خرید اینترنتی ضروری هستند. به این کار «فیشینگ» گفته می‌شود. در واقع فیشینگ، تلاش متخلفان برای دستیابی به اطلاعات حساب بانکی مشتریانی است که آنلاین خرید می‌کنند. 

آنها ابتدا یک صفحه‌ی اینترنتی با ظاهری شبیه صفحات بانکی یا درگاه‌های پرداخت امن طراحی می‌کنند. اما آدرس این صفحه هیچ ربطی به بانک، پی‌اس‌پی یا پرداخت‌یار ندارد و کاملاً جعلی است. 

اگر مواردی که در بخش قبل گفته شد را رعایت نکنید، اتفاق ناگواری که میفتد این است که شما مشخصات خود مثل شماره کارت، رمز و تاریخ انقضای کارت بانکی خود را در یک صفحه‌ی جعلی وارد می‌کنید. اطلاعات شما از طریق این صفحه‌ به شخصی که آن را طراحی کرده می‌رسد و… او می‌تواند درست مثل خود شما به حساب بانکی‌تان دسترسی داشته باشد!

متأسفانه تاکنون افراد زیادی بر اثر بی‌اطلاعی یا بی‌دقتی، مشخصات حساب بانکی خود را تقدیم کلاهبرداران کرده‌اند. بر اساس اعلام پلیس فتا، فیشینگ رتبه‌ی اول جرایم اینترنتی در کشور را دارد. این یعنی تا حد ممکن باید مراقب اموال و دارایی خود باشید.

تشخیص درگاه پرداخت جعلی و درگاه پرداخت امن فرآیندی مهم برای حفاظت از اطلاعات حساب بانکی مشتریان در پرداخت آنلاین

رمز پویا، پاشنه آشیل درگاه پرداخت امن

اکنون راهکارهای جدیدتری نیز برای مقابله با فیشینگ از سوی بانک‌ها ارائه شده است. استفاده از رمز پویا یا رمز یک‌بار مصرف یکی از جدیدترین این راه حل‌ها است. امیدوارم ناامید نشوید اما حتی با داشتن رمز پویا هم شما صد در صد از خطر فیشینگ در امان نیستید. 

ممکن است خیلی از کاربران با این تصور که استفاده از رمز پویا امنیت اطلاعات آنها را صد در صد تضمین می‌کند، از نکات و مواردی که برای تشخیص درگاه پرداخت امن توضیح دادیم غافل شوند. در این صورت رمز پویا نه تنها کمکی به امنیت اطلاعات نمی‌کند، بلکه می‌تواند آنها را برای متخلفان بفرستد.

برای این که رمز پویا واقعاً بتواند از اطلاعات شما محافظت کند، علاوه بر توجه به نکات امنیتی مطرح شده در بخش قبل، حتماً باید آن را از طریق صفحه کلید مجازی وارد کنید. یک اقدام هوشمندانه این است که رمز پویا را درست چند ثانیه مانده به پایان اعتبار آن وارد کنید. در این صورت حتی اگر اطلاعات شما لو برود، هیچکس نمی‌تواند از طریق آنها به حساب شما دسترسی پیدا کند.

در پایان تأکید می‌کنیم که حتماً در پرداخت‌های اینترنتی خود حوصله و توجه زیادی به خرج دهید. تمام مواردی را که برای اعتبارسنجی یک درگاه پرداخت امن معرفی کردیم بررسی کنید. حتماً از رمز پویا استفاده کنید و آن را در آخرین ثانیه‌ها وارد کنید.

آمار مال‌باختگان و قربانیان فیشینگ در این سال‌ها کم نبوده است. شاید اگر شما هم این اخبار را دنبال کنید، مثل دوست من بیش از حد نگران موجودی حساب بانکی خود باشید. اما جای نگرانی نیست. اکنون به دانشی مجهز هستید که شما را در برابر فیشینگ محافظت می‌کند. 

اگر به صفحات رسمی پی‌اس‌پی‌ها و پرداخت‌یارها سر بزنید و بیشتر با آنها آشنا شوید نکات و مطالب بسیار جالبی در این زمینه یاد خواهید گرفت. کاری که دوست پرمشغله‌ی من تاکنون برای آن وقت نداشته است. برای همین مجبور است چند ساعت در هفته وقت خود را در بانک صرف روش‌های قدیمی محافظت از دارایی‌هایش کند. شما هم می‌توانید روش او را انتخاب کنید اما اگر به دنبال روش‌ بهتر و کم‌هزینه‌تری هستید می‌توانید از اینجا شروع کنید.