هشدار شرکت سپرده گذاری مرکزی درباره سایتهای جعلی سجام
تاریخ انتشار: ۱۸ شهریور ۱۳۹۹ | کد خبر: ۲۹۲۲۷۸۱۳
شرکت سپرده گذاری مرکزی اوراق بهادار و تسویه وجوه به سهامداران بازار سرمایه هشدار داد تا مراقب سایتهای جعلی به نام این شرکت باشند.
به گزارش خبرگزاری شبستان، امید ارباب زاده مدیر امنیت اطلاعات شرکت سپرده گذاری مرکزی اوراق بهادار و تسویه وجوه (سمات) گفت:اخیراً مشاهده شده که برخی از افراد سودجو با راه اندازی سایت های کاملاً مشابه سامانه جامع اطلاعات مشتریان (سجام) تلاش به دریافت اطلاعات کارت بانکی اشخاص کرده و کاربر را با عنوان پرداخت حق ثبت نام سجام به سامانه های جعلی و مشابه سایت های پرداخت الکترونیکی هدایت می کنند.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
وی گفت:اشخاصی که قربانی این تله گذاری شده اند، پس از وارد کردن اطلاعات کارت بانکی خود متوجه میشود که مبلغی غیرمتعارف از حساب ایشان کسر شده است. این گونه سایت ها به این گونه عمل می کنند که اطلاعات کارت بانکی قربانی را دریافت و در اختیار شخص مهاجم قرار داده و این شخص بلافاصله با استفاده از اطلاعات کارت بانکی اقدام به خرید و یا جابجایی پول می کنند.
ارباب زاده با اشاره به اتفاقات اخیر و تلاش برخی از سودجویان در سوء استفاده از نام سامانه سجام عنوان کرد که فیشینگ یا تله گذاری به حملاتی گفته می شود که مهاجم با راه اندازی سایت جعلی کاملا مشابه سایت اصلی تلاش میکند تا به اطلاعات کاربران از جمله نام کاربری، اطلاعات هویتی، اطلاعات مالی، اطلاعات کارت بانکی و…. دست پیدا کرده و با سوء استفاده از این اطلاعات مشکلاتی را برای قربانی به وجود آورد. این نوع از حمله به راحتی و با کمی هوشیاری کاربران قابل دفاع است.
وی با اشاره به اینکه در حال حاضر با هماهنگی صورت گرفته با پلیس فتا تمامی سایت های جعلی بلافاصله پس از شناسایی از دسترس خارج میشوند، افزود: با در اختیار قراردادن اطلاعات لازم جهت شناسایی اشخاص سودجو به مراجع ذیصلاح، فعالیت این اشخاص در حال بررسی است و اقدامات قانونی و قضایی لازم صورت می پذیرد. علاوه بر این، کاربران می توانند با هوشیاری کامل قبل از وارد کردن اطلاعات کارت بانکی خود جهت هرگونه خرید در اینترنت به چند نکته ساده توجه کنند و در صورتی که هر یک از این موارد وجود نداشت از ارائه اطلاعات خودداری کنند.
وی با اشاره به الزامی بودن ثبت نام و احراز هویت در سجام جهت خدمات پایه مثل دریافت کد بورسی، گفت: نشانی رسمی سجام https://sejam.ir است و کلیه اطلاعات لازم شامل نام و نشانی کارگزاری های مورد تایید جهت ثبت نام سجام همچنین لیست و نشانی مراکز احراز هویت حضوری و الکترونیکی در آن آورده شده از سرمایه گذاران خواست از ثبت نام و احراز هویت در سایت های متفرقه که بیشتر با پسوندهای غیر متعارف مانند .LTD، .CC، Press و ... راه اندازی می شود، خودداری کنند. در ادامه به راهکارهای ساده جهت تشخیص سایت اصلی از جعلی اشاره کرد:
توجه به نشانی سامانه پرداخت:کلیه سامانه های پرداخت مجاز دارای قالب آدرس https://bankname.shaparak.ir/abc است. در ابتدا حتما با httpS شروع می شوند. در واقع حرف S بیانگر این است که اطلاعات بین کاربر و سرور رمزگذاری شده و برای اشخاص غیر مجاز قابل استراق سمع نیست. همچنین قبل از اولین تک خط مورب حتما باید با shaparak.ir خاتمه یابد. در اینجا باید دقت داشت که تمام حروف انگلیسی باشد به عنوان مثال shapārak.ir به دلیل وجود خط بالای a جعلی است.
چک کردن گواهی SSLدر تمامی مرورگرهای اینترنت امکان چک کردن گواهی SSL سایت وجود دارد که برای شاپرک حتما "Shaparak Electronic Card Payment Network Co. (PJS)" است. این کار در مرورگرهای مختلف مشابه است .
عدم استفاده از VPN یا فیلتر شکنرصد اطلاعاتی پلیس فتا در فضای موجب شده تا سایت های فیشینگ شناسایی و بلافاصله فیلتر شوند. استفاده از فیلتر شکن ها موجب می شود امکان دسترسی و سوء استفاده از طریق سایت های تقلبی برای قربانیان فراهم شود. به صورت کلی استفاده از فیلتر شکن ها و VPNهایی که جهت تلاش برای دور زدن فیلترینگ استفاده می شوند یک تهدید امنیتی هستند که ریسک را بسیار بالا می برند.
استفاده از صفحه کلید مجازی هنگام وارد کردن اطلاعات کارت بانکیصفحه کلید مجازی جهت وارد کردن اطلاعات مهم در تمامی درگاه های پرداخت بانکی پیادهسازی شده و اکیداً توصیه شده هنگام خرید اینترنتی هم از طریق کامپیوتر و هم موبایل از آن استفاده شده است.
در پایان مدیر امنیت سمات با اشاره به اینکه رعایت نکات امنیتی بسیار ساده است و اکثریت مردم آگاهی لازم در این خصوص را دارند درخواست کرد این موارد جدی گرفته شود و باکمی تامل و حوصله از اتفاقاتی که باعث زیان مالی و اعتباری جلوگیری شود./
پایان پیام/50منبع: شبستان
کلیدواژه: بازار سرمایه و بورس اوراق بهادار بازار سرمایه اطلاعات کارت بانکی وارد کردن اطلاعات ثبت نام
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت shabestan.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «شبستان» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۹۲۲۷۸۱۳ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
راه اندازی سوت زنی سایبری بازار سرمایه در سال جدید
قدس به گزارش رکنا از سازمان بورس ، حامد سنجری گفت: در سالی که گذشت، بر اساس الزامات ابلاغ شده از سوی سازمان بورس و اوراق بهادار و ابلاغیات مرکز افتای ریاست جمهوری، نزدیک به ۳۰ شرکت فناوری محور بازار سرمایه ممیزی امنیتی شدند که در این راستا مشکلات امنیتی آنها مورد بررسی قرار گرفت و بر این اساس باید مشکلات اعلام شده در سال ۱۴۰۳ برطرف شوند.
وی اظهار داشت: از این تعداد، ۲۲ شرکت جزو شرکتهای OMS (سیستم معاملات برخط برای صندوقهای سرمایهگذاری و باشگاه مشتریان) بازار سرمایه هستند که سفارشات کارگزاریها را به هسته معاملات ارسال میکنند و مسئولیت امنیتی آنها با شرکتهای کارگزاری است.
سنجری با بیان این که با این روش سامانه معاملاتی همه کارگزاریهای بازار سرمایه ممیزی خواهد شد، افزود: در کنار این شرکتها، حوزه فناوری اطلاعات تعداد هشت شرکت مانند سازمان بورس و اوراق بهادار، شرکت بورس تهران، فرابورس، بورس کالا، بورس انرژی، سپردهگذاری مرکزی و نیز شرکتهای تابعه که جزو شرکتهای ارکان بازار سرمایه هستند، ممیزی امنیتی شدند و مشکلات آنها اعلام شده است.
راهاندازی مرکز عملیات امنیتی بازار سرمایهرئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار به اقدامات انجام شده در حوزه پایش سامانههای بازار سرمایه اشاره کرد و گفت: از چند سال گذشته مرکز «مکنا» اقدام به راهاندازی SOC بازار سرمایه کرد که از این طریق همه سامانهها مورد نظارت قرار میگیرند.
وی ادامه داد: امسال SOC (مرکز عملیات امنیتی) را به صورت سلسله مراتب راهاندازی کردیم و از این طریق همه سامانههای معاملاتی بازار سرمایه را مورد نظارت قرار دادیم که به کمک نظارتهای صورت گرفته، رخدادها مورد تشخیص و بررسی قرار میگیرند.
سنجری خاطرنشان کرد: در سال ۱۴۰۲ سامانه همه شرکتهای ارکان بازار سرمایه و شرکتهای نرم افزاری را با سیستم SOC ارتباط دادیم که از این طریق، همه اتفاقات رخ داده در سامانههای متصل شده به سیستم SOC را مورد نظارت قرار میدهیم و در صورتی که رخدادی به وجود آید قابل حسابرسی امنیتی خواهد بود.
رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار ادامه داد: اکنون به لحاظ امنیتی با تمامی کارگزاریهای بازار سرمایه از طریق سیستمهای OMS در ارتباط هستیم و اتفاقات را بررسی میکنیم. در صورت رخ دادن اتفافات، دیگر شرکتها را آگاه خواهیم کرد تا مانع از همهگیری اتفاقات شویم.
به کارگیری سامانهها جلوگیری از حملات احتمالی سایبریوی با اعلام این که به کارگیری این سامانهها برای تشخیص و جلوگیری از حملات احتمالی سایبری است، گفت: برای مثال، اگر یک حمله سایبری بر روی سامانه شرکت بورس تهران رخ دهد به سرعت اتفاقات به صورت سیستمی ارسال میشود و پس از بررسی، افرادی که در حال تلاش برای نفوذ هستند را به همه ارکان بازار سرمایه اطلاع خواهیم داد تا اقدامات مربوط به جلوگیری از این حملات را به کار بگیریم.
برگزاری مسابقات باگ جایزهداروی به برگزاری مسابقات باگ جایزهدار اشاره کرد و ادامه داد: مرحله نخست این مسابقات به پایان رسید و حدود ۱۴۰ نفر در این مسابقات شرکت کردند که از این تعداد حدود ۴۵ نفر موفق به کشف چالش امنیتی و راهیابی در مرحله دوم شدند، پس از موفقیت در مرحله دوم جوایزی را دریافت کردند که از این طریق هم قادر به ارتقای امنیتی سامانههای معاملاتی خواهیم بود.
برنامههای پیشرو برای ارتقای امنیت سامانههای معاملاتیسنجری به برنامههای پیشرو برای ارتقای امنیت سامانههای معاملاتی تاکید کرد و اظهار داشت: اکنون در صدد راه اندازی سیستم ISMS (سیستم مدیریت امنیت اطلاعات) برای بازار سرمایه هستیم که اقدامات اولیه آن انجام شده و در حال تلاش برای دریافت گواهینامه هستیم.
رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار ادامه داد: این سیستم فرآیندهای حوزه امنیت را در خصوص زیرساختها و مدیریتها اصلاح خواهد کرد که دنیا هم در حال استفاده از این سیستم هستند.
۲ اقدام متفاوت در حوزه سیستمهای معاملاتی شرکتهای کارگزاریوی به دیگر اقدام انجام شده این مرکز اشاره کرد و گفت: با توجه به این که سیستمهای معاملاتی شرکتهای کارگزاری توسط OMS ها اقدامات مربوط به معاملات این شرکت را انجام میدهند؛ بنابراین شرکت های کارگزاری احساس میکنند از حوزه امنیت جدا هستند که در این راستا در سال ۱۴۰۱ و ۱۴۰۲ ۲ اقدام متفاوت را انجام دادیم.
سنجری اعلام کرد: در سال ۱۴۰۱، تعداد ۳۰ کارگزاری اول بازار سرمایه را ممیزی امنیتی کردیم، با توجه به این که دادههای امنیتی مشتریان بازار سرمایه در این شرکتها قرار دارند، برای جلوگیری از انتشار اطلاعات مشتریان سیستمها را امنیتی و مشکلات امنیتی این شرکتها را مشخص و ملزم به اصلاح کردیم.
رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار اعلام کرد: در سال ۱۴۰۲، حدود ۴۵ کارگزاری دیگر را ممیزی کردیم که اکثر آنها دارای مشکلات امنیتی گسترده بودند.
اهمیت ندادن شرکتهای کارگزاری به حوزههای امنیتیوی به یکی از چالشهای مهم در این حوزه اشاره کرد و گفت: عدم اهمیت شرکتهای کارگزاری به حوزه امنیتی داخل شرکتها از جمله چالش های موجود در این زمینه است که ممیزیها و بازرسیهای صورت گرفته آنها را مجاب میکند تا مشکلات را برطرف کنند.
سنجری اعلام کرد: در این زمینه یک کارگزاری را بابت اجرایی نکردن امنیت سایبری و هک شدن سامانه کارگزاری به اداره تخلفات فرستادیم که اکنون هم پرونده این شرکت در جریان است.
پیگیری جدی سازمان بورس در حوزه تخلفاترئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار ادامه داد: در سال ۱۴۰۳ به صورت جدیتر به پیگیری تخلفات میپردازیم که اگر موارد مدنظر را برطرف نکنند پرونده آنها را سریعا به اداره تخلفات ارسال خواهیم کرد.
وی با اعلام این که اکنون در حال تلاش برای ارسال دادههای فناوری محور سفارشات مشتریان کارگزاری ها به سیستم های نظارتی سازمان بورس برای ارتقا نظارت بر معاملات هستیم.
رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار با بیان این که در حوزه امنیت میتوان ۲ نوع افشا برای اطلاعات محرمانه داشت که نباید بنا بر هر دلیلی افشا شود، افزود: نوع نخست مربوط به افرادی است که اطلاعات در اختیار آنها قرار دارد و نباید به هیچ عنوان اطلاعات را مورد افشا قرار دهند اما فرد به دلیل دسترسی به برخی از دیتاها تخلف کرده و دیتا نشت پیدا میکند، این افشا ناشی از حمله سایبری نیست و نفوذ امنیتی صورت نگرفته است.
راهاندازی سوتزنی سایبری در سال ۱۴۰۳وی به برنامههای مرکز نظارت بر امنیت اطلاعات بازار سرمایه سازمان بورس و اوراق بهادار در سال ۱۴۰۳ اشاره کرد و افزود: به دنبال راهاندازی سوتزنی سایبری هستیم، در این زمینه هر شخصی که بتواند آسیبپذیری و مشکل امنیتی را در سامانه بازار سرمایه کشف کند، جایزه دریافت خواهد کرد.
سنجری اعلام کرد: پیگیری راهاندازی مرکز داده پشتیبان و رفع سریع قطعیها از دیگر برنامههای این بخش مدیریتی سازمان بورس است که در دستور کار مسوولان قرار گرفته است.