هر بار که در فضای آنلاین خرید میکنیم، اعتماد ما به چند کاراکتر ساده خلاصه میشود: آدرس سایتی که در آن اطلاعات کارت بانکی خود را وارد میکنیم. در نگاه اول، همهچیز شبیه است؛ صفحهای سفید با لوگوی بانک، چند فیلد برای شماره کارت، CVV2 و رمز پویا. اما پشت این ظاهر مشابه، تفاوتی حیاتی وجود دارد: برخی درگاهها امناند، برخی دیگر در بهترین حالت تقلبی و در بدترین حالت، دام فیشینگ و سرقت مالی.
در این گزارش، با نگاهی کاربردی و بیتکلف بررسی میکنیم که چطور میتوان درگاه پرداخت جعلی را از درگاه معتبر تشخیص داد، بدون نیاز به دانش فنی پیچیده.
از کجا شروع شد؟
تا چند سال پیش، حملات فیشینگ بانکی در ایران و جهان بیشتر از طریق پیامک و لینکهای تبلیغاتی انجام میشد. کاربران روی لینکی که بهظاهر مربوط به یک بانک یا فروشگاه بود کلیک میکردند و وارد صفحهای میشدند که عیناً شبیه درگاه پرداخت واقعی طراحی شده بود. تفاوت فقط در یک جزئیات کوچک بود: نشانی سایت.
در آن صفحهی جعلی، کاربر اطلاعات کارت خود را وارد میکرد و در همان لحظه، تمام دادهها در اختیار مهاجمان قرار میگرفت. این روش ساده اما مؤثر، هنوز هم رایجترین شیوه سرقت آنلاین در جهان است. طبق گزارش Europol Cybercrime 2024، بیش از ۶۵ درصد از سرقتهای مالی دیجیتال از طریق «درگاههای پرداخت جعلی» انجام میشود.
نشانههای فنی اما قابل فهم
اولین قدم در تشخیص درگاه امن، نگاه دقیق به نشانی وبسایت است. هر درگاه معتبر بانکی باید با https:// آغاز شود، نه http://. حرف «s» در انتهای آن مخفف secure است و نشان میدهد که ارتباط شما با سرور رمزنگاری شده است. نبود این حرف یعنی اطلاعات کارت شما بدون رمزنگاری منتقل میشود و در مسیر، قابل سرقت است.
در ایران، بیشتر درگاههای قانونی از دامنههای رسمی شرکتهای پرداختیار استفاده میکنند، مانند:
https://sep.shaparak.ir یا https://pec.shaparak.ir.
اگر درگاه، نشانیای دارد که با shaparak.ir پایان نمییابد، باید بلافاصله شک کنید. بسیاری از سایتهای جعلی با آدرسهای مشابه مثل shaparack یا shaparrak کاربران را فریب میدهند. همین تفاوت کوچک، تفاوت میان پرداخت امن و سرقت مالی است. نشانه دوم، نماد قفل کنار آدرس سایت است. مرورگرهای مدرن مانند Chrome یا Safari در کنار آدرس سایت، آیکون قفل سبزرنگی نمایش میدهند. کلیک روی آن باید جزئیات گواهی امنیت (SSL Certificate) را نشان دهد. اگر پیام خطایی مثل «Not Secure» یا «Certificate Invalid» دیدید، از ادامه پرداخت صرفنظر کنید.
ظاهر فریبنده؛ تلهای که بسیاری را گرفتار میکند
بسیاری از کاربران تصور میکنند درگاه جعلی باید ظاهری عجیب یا ناقص داشته باشد. اما واقعیت این است که طراحان فیشینگ از قالبهای رسمی بانکها کپی میگیرند. در برخی موارد، حتی فونتها، لوگوها و رنگها کاملاً یکساناند. تفاوتها اغلب در جزئیاتی ظریف است: جای لوگو کمی متفاوت است، آدرس با نامی عجیب تمام میشود، یا در پایین صفحه خبری از اطلاعات تماس و مجوز نیست. در پژوهشی از Kaspersky Lab (2023) آمده است که ۷۰ درصد کاربران در مواجهه با صفحات جعلی، تنها به ظاهر اعتماد میکنند و به نشانی اینترنتی توجهی ندارند. به همین دلیل، مجرمان سایبری وقت زیادی را صرف طراحی «درگاههای قلابی اما زیبا» میکنند.
رفتار سایت هم نشانه است
امنیت فقط در ظاهر خلاصه نمیشود. رفتار صفحه نیز میتواند رازهایی را فاش کند. درگاههای جعلی معمولاً بارگذاری سریعی ندارند یا پس از وارد کردن اطلاعات، شما را به صفحهای ناشناس هدایت میکنند. در حالی که درگاههای رسمی پس از پرداخت، بلافاصله به وبسایت فروشگاه بازمیگردند و رسید بانکی معتبر ارائه میدهند. اگر پس از پرداخت، سایت بدون هشدار بسته شد یا هیچ رسیدی صادر نشد، احتمال جعلی بودن زیاد است. همچنین درگاههای قانونی هرگز از شما اطلاعات غیرضروری نمیخواهند. اگر سایتی از شما درخواست کرد رمز کارت، کد ملی یا تاریخ تولد را همزمان وارد کنید، قطعاً باید مشکوک شوید. هیچ بانک یا شرکت پرداختی معتبر، این حجم از اطلاعات را در یک فرم واحد جمعآوری نمیکند.
مراقب لینکها و تبلیغات باشید
بخش زیادی از قربانیان درگاههای جعلی از طریق پیامکها یا تبلیغات شبکههای اجتماعی فریب میخورند. پیامی با ظاهر رسمی مثل «پرداخت عوارض جادهای» یا «تمدید کارت سوخت» کاربر را به لینکی هدایت میکند که به نظر قانونی میرسد، اما در واقع دام فیشینگ است. در گزارش FBI Internet Crime Report 2023 آمده است که لینکهای کوتاه (Short URLs) مانند bit.ly یا tinyurl یکی از رایجترین پوششهای لینکهای جعلی هستند. قانون طلایی این است که هیچوقت از طریق لینک ارسالشده در پیامک یا شبکه اجتماعی وارد درگاه بانکی نشوید. همیشه آدرس سایت را بهصورت دستی در مرورگر وارد کنید یا از اپلیکیشن رسمی بانک یا فروشگاه استفاده کنید.
دستگاه شما هم نقش دارد
امنترین درگاهها هم در گوشی یا سیستمی که آلوده باشد، امن نخواهند بود. بدافزارهایی وجود دارند که در لحظهی وارد کردن اطلاعات بانکی، دادهها را ثبت میکنند. برای کاهش خطر: سیستمعامل گوشی و مرورگر خود را بهروز نگه دارید، از آنتیویروس معتبر استفاده کنید و هرگز فایل ناشناختهای را از طریق پیام یا تلگرام باز نکنید. طبق آمار Symantec Security Report 2024، بیش از ۴۰ درصد حملات فیشینگ در موبایلها اتفاق میافتد، نه در رایانهها. دلیلش ساده است: صفحهی کوچک موبایل، نشانی کامل سایت را نشان نمیدهد و تشخیص جعلی بودن دشوارتر میشود.
تجربه کاربر، مهمتر از ظاهر تکنیکی
در نهایت، مهمترین فاکتور تشخیص درگاه امن، حس آگاهی و دقت کاربر است. کاربران حرفهای پیش از پرداخت، چند ثانیه وقت میگذارند تا آدرس را بررسی کنند، قفل امنیتی را ببینند و مطمئن شوند صفحه واقعاً متعلق به شرکت پرداختیار است. همین چند ثانیه ساده، میتواند از سرقت کامل موجودی حساب جلوگیری کند.
در مقابل، کاربران عجول، قربانی اصلیاند. پژوهش Deloitte Cyber Risk 2023 نشان میدهد که بیشتر تراکنشهای جعلی در بازههای زمانی شلوغ (مثل جمعهسیاه یا فروش ویژه) انجام میشوند؛ زمانی که ذهن کاربران بر تخفیف تمرکز دارد، نه امنیت.
آیندهی پرداخت امن؛ از درگاه تا رمزنگاری چندمرحلهای
خوشبختانه، صنعت پرداخت نیز بیکار ننشسته است. بسیاری از بانکها در حال جایگزینی درگاههای سنتی با سیستمهای توکنمحور (Tokenized Payment) هستند که در آن اطلاعات کارت کاربر هرگز به وبسایت فروشنده ارسال نمیشود. در این مدل، یک «توکن موقت» تولید میشود که فقط برای همان تراکنش معتبر است. حتی اگر مهاجم به دادهها دسترسی پیدا کند، آن اطلاعات دیگر قابل استفاده نیست. در ایران هم سامانهی «رمز پویا» قدمی در همین مسیر است؛ گرچه هنوز تا امنیت کامل فاصله داریم، اما رویکرد کلی در جهان به سمت حذف کامل ورود مستقیم اطلاعات کارت است.
اعتماد کنید، اما با دقت
درگاه پرداخت آنلاین، پلی است میان راحتی و خطر. همان ابزاری که زندگی روزمره را سادهتر کرده، میتواند به دروازهای برای سرقت مالی تبدیل شود، اگر بیاحتیاط باشیم. امنیت در پرداخت اینترنتی، برخلاف تصور، به دانش پیچیده نیاز ندارد؛ فقط به دقت و عادت نیاز دارد. همیشه به آدرس سایت نگاه کنید، از لینکهای ناشناس دوری کنید، از اپلیکیشنهای رسمی استفاده کنید و دستگاه خود را بهروز نگه دارید.
در دنیای دیجیتال، بیتفاوتی گرانترین اشتباه است. چند ثانیه بررسی، میتواند شما را از ماهها دردسر نجات دهد.