۷ روش آسان تشخیص درگاه پرداخت امن

تیم محتوایی پی‌پینگ در درگاه پرداخت ۱۴۰۳/۰۸/۲۹

زمانی که تراکنش های خیلی زیادی در طول روز ندارید احتمالا توجهی به کلاهبرداری ها در بستر درگاه های پرداخت جعلی نیز نخواهید کرد. با این حال وقتی بنا بر موقعیت شغلی یا هر مورد دیگری قرار است میزان بیشتری پول را از انتقال دهید باید از خطراتی مانند فیشینگ اطلاع پیدا کنید.

طبق یک گزارش در سال 2018  تجار آمریکایی تقریبا 6.4 میلیارد دلار از پول های خود را از طریق درگاه های پرداخت جعلی از دست داده بودند. این موضوع در مشاغل کوچک بیشتر رواج دارد، به طوری که سالانه چیزی معادل 155000 دلار کلاهبرداری از این طریق رخ می دهد.

به همین دلیل خیلی اهمیت دارد که از چه درگاه پرداختی برای تراکنش های روزمره خود بهره می‌برید و همچنین باید بدانید که اگر کلاهبرداری رخ داد چگونه از سرمایه و کسب‌وکار شما حفاظت می‌شود.

از آن‌‍جایی که امروزه بیشتر پرداخت‌ها به‌صورت آنلاین است، خیلی مهم است که بتوانید درگاه پرداخت امن را از جعلی تشخیص دهید. اگر می‌خواهید نحوه انجام آن را بدانید، تا انتهای این مطلب همراه ما باشید.

فیشینگ چیست؟

فیشینگ در حقیقت نوعی حمله مهندسی اجتماعی است که اغلب برای سرقت اطلاعات کاربران مانند اطلاعات ورود به سیستم و شماره کارت اعتباری مورد استفاده قرار می‌گیرد.

این اتفاق زمانی است که یک هکر خود را به‌عنوان یک نهاد مورد اعتماد معرفی کرده و شمارا وادار می‌کند که یک ایمیل، پیام فوری یا پیام متنی را باز کنید. وقتی شما فریب می‌خورید و روی لینکی که فرستاده، کلیک می‌کنید، اتفاق‌هایی مانند نصب بدافزارها، قفل شدن سیستم و افشای اطلاعات حساس رخ می‌دهد.

این نوع حمله می ‌تواند نتایج مخربی برای سیستم شما داشته باشد. نتیجه آن برای حساب‌‌های شخصی، می‌‌تواند خریدهای غیر مجاز، سرقت وجه نقد و سرقت اطلاعات باشد.

علاوه بر این، فیشینگ اغلب برای کسب جایگاهی در شبکه‌های شرکتی یا دولتی است که به‌عنوان حمله بزرگ‌تر مانند رویداد تهدید مانای پیشرفته (APT) مورد استفاده قرار می‌گیرد.

در این زمینه، کارمندان برای سازش مجبور می‌‌شوند محیط‌‌های امنیتی را دور بزنند، بدافزارها را به سیستم وارد کنند یا از داده‌‌های امنیتی آن سازمان به هکر دسترسی بدهند.

سازمانی که در معرض چنین حمله‌‌ای قرار بگیرد، علاوه‌بر کاهش در سهم بازار، شهرت و اعتماد مصرف‌کننده، ضررهای مالی شدیدی را هم متحمل می‌‌شود.

بسته به وسعت فعالیت، یک تلاش فیشینگ امکان دارد به یک حادثه امنیتی تبدیل شود که بهبود آن و برگرداندن شرایط به وضع اولیه قطعا برای کسب‌وکار دشوار خواهد بود.

نمونه هایی از حملات فیشینگ

مورد زیر یک نمونه رایج از کلاهبرداری فیشینگ محسوب می‌شود:

یک ایمیل جعلی از سایت غیر‌معتبری به‌صورت دسته‌جمعی برای افراد یک تیم ارسال می‌شود. در ایمیل ادعا می‌شود که گذر واژه کاربر در حال انقضا است و دستورالعمل‌ها در یک آدرس دیگر داده شده است که افراد باید آن را بخوانند و رمز عبور خود را در عرض 24 ساعت عوض کنند.

حال وقتی کاربر روی آن آدرس کلیک می کند، امکان دارد مسائل مختلف رخ دهد از جمله:

• کاربر با کلیک روی آدرس به سایت اصلی هدایت می‌شود که صفحه تقلبی وجود دارد و در آن دقیقا مانند سایت‌های دیگر باید رمز عبور جدید و فعلی را وارد کند. هکر با در نظر گرفتن این صفحه رمز عبور اصلی شما را در اختیار می ‌گیرد تا بتواند به اکانت شما دسترسی پیدا کند.
• کاربر به صفحه درخواست مجدد رمز هدایت می‌‌شود، با این حال هنگام هدایت به صفحه جدید یک اسکریپت مخرب در پس‌زمینه فعال می‌شود تا کوکی کاربر را بردارد. این کار منجر به حمله XSS منعکس شده می‌شود و به هکر دسترسی ویژه‌ای به اکانت می‌دهد.

تکنیک های فیشینگ

برای فیشینگ راه‌های مختلفی وجود دارد که در ادامه به معرفی تکنیک‌های انجام این کار می پردازیم.

فیشینگ فریب دهنده از راه ایمیل

فیشینگ از راه ایمیل یک بازی اعداد است. هکری که هزاران پیام تقلبی ارسال می‌کند می‌تواند به اطلاعات زیاد و مبالغ قابل توجهی پول برسد. حتی مبلغ کمی از هرکدام کلاهبرداری کند.

با کمک مطالب بالا متوجه می‌شوید که تکنیک‌هایی وجود دارند که هکر از آن‌ها برای بالا بردن شانش موفقیت خود در کلاهبرداری استفاده می‌کنند.

هکر زمان زیادی را صرف درست کردن ایمیلی می‌کند که در ظاهر همه چیز آن واقعی باشد. استفاده از عبارات، کدها، لوگو و موارد دیگر موجب می‌شود پیام حقیقی به نظر برسد.

علاوه‌بر این، هکرها معمولا سعی می‌کنند حسی را در پیام اولیه در کاربر ایجاد کنند که کاربر سریع وارد عمل شود. به‌عنوان مثال، پیامی تحت این مضمون که تنها تا 24 ساعت فرصت تمدید رمز عبور را دارید و به‌نوعی حس ترس را به کاربر انتقال می‌دهد.

در چنین شرایطی، در حقیقت بیشتر کاربران می‌خواهند مراحل را به‌سرعت انجام دهند و از آن طرف مستعد انجام خطای بیشتری نیز هستند.

در نهایت، لینک‌هایی که داخل ایمیل قرار می‌دهند بسیار شبیه مدل حقیقی خود آن سایت است و معمولا نام دامنه آن اشتباه است یا زیر دامنه‌‌های اضافی دارد.

به عنوان مثال آدرس asan.shaparak.ir واقعی است، اما آدرس asan.shaperak.ir جعلی است. شباهت‌های بالای این دو آدرس باعث می‌شود تا ذهن کاربر کمتر به سراغ هک و این قبیل موارد برود.

فیشینگ از راه تلفن

فیشینگ تلفنی نیز شبیه ایمیل است که از طریق گوشی سعی می‌کند کاربر را مجاب کند که اطلاعات خود را به او بدهد. در این روش معمولا با یک شماره ناشناس با کاربر تماس می‌گیرند یا پیامی برایش ارسال می‌کنند.

بعد از آن فیشر خود را به‌عنوان مسئول بانک جا می‌زند و از کاربر می‌خواهد اطلاعاتش را برای تکمیل پرونده یا برنده شدن در قرعه‌کشی بانک بیان کند.

وب‌سایت‌های تقلبی

جعل وب‌سایت هم یکی دیگر از روش‌های رایجی است که فیشرها از آن استفاده می‌کنند. در این روش هکر با ساخت یک وب‌سایت اینترنتی که دقیقا مشابه نمونه اصلی وب‌سایت است کار خودش را شروع می‌کند.

حال از آن‌جایی که مخاطبان به وب‌سایت اصلی اعتماد داشته‌اند و توجه خیلی زیادی به آدرس دقیق وب‌سایت نمی‌کنند، فریب می‌خورند و فیشر نیز اطلاعات کاربران را از این راه به دست می‌آورد.

استفاده از برنامه‌های مخرب برای فیشینگ

راه دیگری که هکرها از آن استفاده می‌کنند تا بتوانند به اطلاعات کاربران دسترسی پیدا کنند، استفاده از بدافزارها و برنامه‌های مخرب است. این برنامه‌ها در فرمت تروجان نیز انتشار پیدا می‌کنند.

با این راه اطلاعات کارت‌های بانکی یا داده‌های مورد نیاز برای ورود به سایت‌ها مانند رمز عبور به سرقت می‌رود و قطعا خسارت‌های مالی و گاه جبران‌ناپذیری را به کاربر وارد می‌کند.

درگاه پرداخت تقلبی

نوعی دیگر از فیشینگ از طریق درگاه‌های پرداخت ناامن انجام می‌شود. این وب‌سایت‌ها معمولا معروف نیستند و تنها به‌دلیل قیمت‌های پایین کالاها و خدماتی که ارائه می‌دهند کاربر را مشتاق به خرید می‌کنند.

بعد از اینکه محصول‌ مورد نظرتان را انتخاب کردید به درگاه پرداخت هدایت می‌شوید. بعد از این که اطلاعات کارت بانکی خود را وارد کنید، فیشر تمام داده‌های مورد نیاز برای برداشتن پول از حساب شما را ذخیره می‌کند.

شاید برایتان سوال پیش بیاید که نحوه تشخیص درگاه پرداخت امن چیست که در ادامه به آن می‌پردازیم.

 نحوه تشخیص درگاه پرداخت امن از درگاه پرداخت جعلی

برای این‌که بتوانید یک درگاه پرداخت امن را از جعلی تشخیص دهید باید به چند مورد توجه کنید که در ادامه می‌خوانید.

حتما شما به‌عنوان فردی که زیاد با اینترنت سروکار دارید باید از روش‌های فیشینگ و تکنیک‌هایی که در بالاتر گفتیم آگاهی داشته باشید و همین‌طور که می‌دانید روز‌به‌روز روش‌های جدیدی برای سرقت اطلاعات و کلاهبرداری اینترنتی ابداع می‌شود.

تا جای ممکن سعی کنید هیچ اطلاعات حساسی چه شخصی یا چه مالی را از طریق اینترنت با دوستان و آشنایان خود به اشتراک نگذارید. از طرفی هرگز با ایمیلی که در آن داده‌های حساس و بااهمیت است  پیام ارسال نکنید. 

حتما قبل از کلیک ابتدا کمی فکر کنید، البته کلیک روی لینک‌های مختلف سایتی که می‌شناسید مشکلی ایجاد نخواهد کرد اما کلیک روی ایمیل‌های تبلیغاتی و ناشناس معمولا برایتان دردسر به‌وجود خواهد آورد.

بیشتر بخوانید: درگاه پرداخت اینترنتی چیست؟

1. تطابق آدرس و لوگوی بانک

این مورد شاید بسیار بدیهی به نظر برسد، اما انجام همین کار ساده ممکن است تا میزان قابل‌توجهی در کاهش احتمال سرقت اطلاعات کارت بانکی شما موثر باشد. بنابراین همواره آدرس url صفحه پرداخت را با لوگوی بانک مربوط به آن بررسی کرده و تطبیق دهید.

2. برخورداری از پروتکل ssl

هر سایتی که از این پروتکل امن برخوردار باشد، باید در کنار آن حتما علامت قفل و عبارت https:// نوشته شده باشد. اگر این دو مورد نبود قطعا درگاه پرداخت جعلی است و امن نیست. حرف s که در عبارت https:// وجود دارد در حقیقت امن بودن ارتباط را نشان می دهد.

البته باید به این نکته نیز توجه کنید که داشتن این دو به این معنا نخواهد بود که سایت 100 درصد ایمن است و حتما باید موارد دیگر را نیز مورد بررسی قرار دهید که در ادامه آن‌ها را توضیح خواهیم داد.

۳. یکسان بودن آدرس اصلی درگاه اینترنتی با آدرس باز شده

در این بخش باید به دو نکته در خصوص آدرس اینترنتی درگاهی که قصد خرید از آن دارید، توجه کنید:

1. 1. حتما بررسی کنید که آدرس url سایت مشابه همان آدرس اصلی درگاه اینترنتی باشد و حروفی کمتر یا بیشتر نداشته باشد. لیست شرکت‌های ارائه‌دهنده درگاه پرداخت به همراه آدرس اینترنتی درگاه آن‌ها به شرح زیر است:
      آسان پرداخت پرشین: https://asan.shaparak.ir
      به پرداخت ملت: https://bpm.shaparak.ir
      تجارت الکترونیک پارسیان: https://pec.shaparak.ir و https://pecco.shaparak.ir
      پرداخت الکترونیک سامان: https://sep.shaparak.ir و https://sep2.shaparak.ir
      پرداخت الکترونیک پاسارگاد: https://pep.shaparak.ir
      پرداخت نوین آرین: https://pna.shaparak.ir
      پرداخت الکترونیک سداد: https://sadad.shaparak.ir
      کارت اعتباری ایران کیش: https://ikc.shaparak.ir
      فن آوا کارت: https://fanava.shaparak.ir
      فن آوا کارت: https://fcp.shaparak.ir
      پرداخت الکترونیک سپهر: https://mabna.shaparak.ir
      الکترونیک کارت دماوند: https://ecd.shaparak.ir
      سایان کارت: https://pas.shaparak.ir

1. 1. وجود کلمه “shaparak” در آدرس صفحه درگاه پرداخت دقیقا مطابق آدرسهای فوق. در بسیاری موارد، درگاه‌های پرداخت ناامن با ساخت صفحاتی جعلی با آدرس هایی که حاوی کلماتی مثل shaaparak یا shapaarak و سایر ترکیبات مشابه هستند، می‌توانند به سادگی اطلاعات کارت بانکی شما را هک کنند.

در مجموع می‌توان گفت که امن‌ترین درگاه پرداخت‌ها مربوط به بانک مرکزی با آدرس https://xxx.shaparak.ir است و به جای سه حرف xxx حتما باید نام یکی از شرکت‌های پرداخت الکترونیک معتبر قرار داشته باشد.

شرکت‌هایی که مجاز هستند درگاه پرداخت ارائه دهند طبق فهرست شرکت شاپرک اعلام می‌شوند که درگاه پرداخت پی‌پینگ هم یکی از درگاه معتبر و مطرح موجود در فهرست شاپرک است.

۴. وارد کردن اطلاعات نادرست

یکی از راه‌های تشخیص درگاه پرداخت جعلی این است که می توانید درگاه پرداخت را تست کنید. به این صورت که اطلاعات کارت خود را نادرست وارد می کنید و اگر درکاه پرداخت اصلی باشد و به سیستم بانک مرکزی و شاپرک متصل باشد به شما اخطار خواهد داد که اطلاعات کارتتان نامعتبر است. اما اگر اخطاری نیامد شک نکنید که درگاه پرداخت جعلی است و تنها برای سرقت اطلاعات کارت کاربران طراحی شده است.

۵.توجه به صفحه کلیدهای مجازی

اگر دقت کرده باشید هنگامی که به صفحه‌های پرداخت ارجاع داده می‌شوید برای بخش‌هایی مانند رمز دوم و CCV صفحه کلیدهای مجازی قرار دارد. یکی از روش‌های تشخیص درگاه پرداخت امن از تقلبی، توجه به همین صفحه کلیدهای مجازی است.

در این روش شما باید صفحه را رفرش کنید. اگر ترتیب شماره‌ها در صفحه کلید مجازی تغییر نکند، بنابراین شما وارد یک درگاه پرداخت جعلی شده‌اید. اما اگر درگاه پرداخت امن باشد، شما با یک چیدمان متفاوت از کیبورد مجازی مواجه خواهید شد که بیانگر امنیت درگاه پرداخت است.

۶.نصب افزونه‌های ضد فیشینگ

یکی دیگر از راه‌های تشخیص درگاه پرداخت جعلی نصب و استفاده از افزونه‌های ضد کلاهبرداری یا فیشینگ روی مرورگر خود است. با نصب این افزونه‌ها هنگامی که به درگاه پرداخت هدایت می‌شوید، اگر آن درگاه معتبر باشد پیامی تحت این مضمون که سایت معتبر است برایتان ارسال خواهد شد. اما اگر جعلی باشد به شما هشدار می‌دهد که اطلاعات خود را وارد نکنید.

۷.نصب آنتی ویروس دارای فایروال

برای مقابله با درگاه پرداخت جعلی می‌توانید از فایروال‌ها استفاده کنید. فایروال‌ها معمولا در بسیاری از نرم‌افزارهای آنتی ویروس وجود دارند و به‌محض اینکه شما وارد یک صفحه پرداخت جعلی شوید، با نمایش پیغام هشدار از وارد شدن اطلاعات کارت توسط شما جلوگیری کرده و تا حد زیادی می‌توانند از عبور موارد ناخواسته‌ای که می‌خواهند به سیستم شما وارد شوند، جلوگیری کند. در برخی از موارد شما می‌توانید از فایروال‌های سخت‌افزاری هم برای تامین امنیت خود و شناسایی درگاه پرداخت جعلی استفاده کنید.

راهکارهایی برای مقابله با فیشینگ و درگاه پرداخت تقلبی

در این بخش با چند راهکار ساده آشنا می‌شوید که می‌توانید با استفاده از آن‌ها قربانی فیشینگ نشوید.

۱. مراقب پاپ‌‌آپ باشید

حتما تبلیغات پاپ‌آپ را در سایت‌های مختلف دیده‌اید. به این‌صورت که شما زمانی که یک صفحه را باز می‌کنید، بلافاصله یا پس از کمی اسکرول در آن صفحه یک پاپ‌آپ به شما نمایش داده می‌شود. حالت دیگر این است که وقتی روی جایی از سایت که کلیک کنید بلافاصله چندین صفحه برایتان باز می‌شود.

طبق گزارش‌هایی که جمع‌آوری شده است این مدل از تبلیغات در واقع یکی از تکنیک‌هایی است که فیشرها از آن بهره می‌برند. اکثر موتورهای جستجو این امکان را در اختیارتان قرار می‌دهند تا این مدل از تبلیغات پاپ‌آپ را مسدود کنید.

علاوه‌بر این وقتی در این تبلیغات به شما پیشنهاد می‌شود که فایل یا اپلیکیشن نامربوطی را دانلود کنید، اصلا این کار را انجام ندهید و سریع‌تر از صفحه خارج شوید. در برخی موارد حتی ممکن است خرید یک محصول فیزیکی با قیمتی فریبنده به شما پیشنهاد شود. اما در بسیاری از موارد آن محصول تقلبی و فاقد کیفیت است یا درگاه پرداخت مربوط به خرید آن محصول تقلبی است و با هدف سرقت اطلاعات کارت شما طراحی شده است.

۲.حساب‌های کاربری آنلاین خود را زیر نظر داشته باشید

حتما به‌طور مرتب حساب‌های کاربری خود را در اینترنت بررسی کنید، حتی اگر از آن ها استفاده نمی‌کنید. گاهی سری به آن حساب‌ها بزنید و همچنین می‌توانید رمزهای عبورشان را تغییر دهید.

برای حساب‌های مختلف از یک رمز یکسان استفاده نکنید تا اگر به اطلاعات یک حساب‌تان هکر دسترسی پیدا کرد دیگر نتواند به حساب‌های دیگر برود. حتما تراکنش‌های مالی خود را ماه به ماه بررسی کنید تا اگر مشکلی وجود داشت سریع‌تر اقدام کنید.

۳. حتما رمز پویا داشته باشید

اقدام موثر دیگر برای تشخیص درگاه پرداخت امن از جعلی و مقابله با این مشکل، استفاده از رمزهای پویا است. همان‌طور که می‌دانید رمز پویا امروزه جایگزین رمزهای دوم شده است. چون رمز پویا یک بار مصرف است، اما رمز دوم، رمزی ثابت است که می‌توان همیشه از آن استفاده کرد.

رمزهای پویا بسته به این که از چه بانکی صادر می شوند تنها برای مدت زمان 30 ثانیه تا یک دقیقه اعتبار دارند و بعد از آن باید مجدد دکمه درخواست رمز پویا را کلیک کنید.

در واقع با رمزهای پویا می‌توان جلوی کلاهبرداری فیشینگ را گرفت. توجه به این نکته مهم است که حتما بعد از دریافت رمز پویا از بانک رمز دوم خود را حذف کنید، زیرا در غیر این صورت باز هم خطر فیشینگ و ربودن اطلاعات شما وجود دارد.

البته طبق اطلاعاتی که در حال حاضر موجود است با وجود رمز پویا باز هم آمار فیشینگ صفر نشده است و همچنان به قوت خود مانند سابق پابرجا است.

به‌عنوان یک کاربر حتما باید به صفحه درگاه پرداخت توجه کنید، چون پول‌هایی که از راه فیشینگ از دست می‌دهید، دوباره خیلی سخت می‌توانید آن‌ها را پیدا کنید.

درگاه پرداخت امن پی پینگ

پی پینگ با ارائه درگاه پرداخت به کسب‌و‌کارهای مختلف، از ابتدا تا انتهای یک پرداخت امن شما را همراهی می‌کند.

 درگاه پرداختی که پی‌پینگ به کسب‌وکارها ارائه می‌دهد، دقیقا با نام و لوگوی همان کسب‌وکار است. تمامی پرداخت‌های آنلاین به ‌صورت کاملا ساده و زمان‌بندی‌شده ارائه می‌شود.

حتی می‌توانید درگاه پرداخت شخصی درست کنید و صفحه اختصاصی خودتان را با دیگران به‌اشتراک بگذارید که نیازی به فرستادن اطلاعات بانکی‌تان به دیگران نباشد.

افراد هم بدون نیاز به عضویت در پی‌پینگ تنها به درگاه پرداخت اینترنتی شخصی شما متصل می‌شوند و به حساب شما پول را واریز می‌کنند.