خانه » اخبار و اطلاعیه‌ها » صفحه 23

حمله فیشینگ به بانک‌های آمریکایی؛ میزبانی وبگاه فیشینگ در سرورهای روسیه

کلاهبرداری فیشینگ جدید به طور خاص مشتریان “BoA” را هدف قرار داده است. شاید گمان کنید که رخنه گران از به کارگیری کلاهبرداری های فیشینگ برای حمله به مشتریان بانکی در سراسر جهان خسته شده اند، اما مشتریان بانک‌های آمریکایی همچنان با دشواری‌های این روش رویاروی هستند.
“HackRead” حملۀ فیشینگی ست که حمله به مشتریان “BoA” را بررسی کرده است. رخنه گران پس از جزئیات کارت اعتباری، اطلاعات شخصی را نیز با استفاده از وبگاهی که در یک سرور روسی میزبانی می شود، می‌بینند. درحالی که شاهدی نداریم که رخنه گران، روس هستند یا به دولت روسیه ربط دارند، این حمله متکی به روش های سنتی است که شامل: فرستادن رایانامه و درخواست جزئیات از کاربران برای زمانی که بخواهند با محدودیت های خاص، از حساب های بانکی شان برداشته شود.

 

منابع:

🌏: http://news.softpedia.com
🇮🇷: کاشف

نوشته شده در 7th آگوست, 2017

ارایه دو میلیون کارت خرید کالای ایرانی

جزئیات طرح کارت اعتباری خرید کالای ایرانی در سال ۱۳۹۶ و ۱۳۹۷ اعلام شد. به گزارش «ایسنا» پرونده طرح کارت اعتباری خرید کالای ایرانی سال گذشته در حالی بسته شد که نه تنها انتقادات عدیده‌ای به آن وارد شد، بلکه دو مجموعه وزارت صنعت، معدن و تجارت و نیز بانک مرکزی نسبت به چگونگی اجرای آن‌، چه درخصوص لیست کالاهای مدنظر و نیز تسهیلات بانکی معترض بودند. با وجود این وزارت صنعت، معدن و تجارت به تازگی پیشنهاد جدیدی را برای اجرای طرح کارت اعتباری خرید کالای ایرانی در سال ۱۳۹۶ و ۱۳۹۷ به بانک مرکزی ارائه کرده که حدود ۲۰ روز قبل به تایید و اصلاح سازمان برنامه و بودجه نیز رسیده است.
به این منظور پیش‌بینی ۲ میلیون کارت اعتباری خرید کالای ایرانی در دستور کار قرار گرفته و میزان اعتبار هر کارت به‌طور متوسط برابر ۵ میلیون تومان است تا در مجموع طرح مذکور به میزان ۱۰ هزار میلیارد تومان در صورت توافق نهایی بانک مرکزی اجرایی شود. قرار بر این است که ۶۵۰ هزار کارت اعتباری خرید کالای ایرانی در سال ۱۳۹۶ و یک میلیون و ۳۵۰ هزار کارت دیگر طی سال ۱۳۹۷ در اختیار متقاضیان قرار گیرد و جامعه هدف تحت پوشش آن کلیه کارکنان و بازنشستگان دولت و نیز مستمری بگیران صندوق تامین اجتماعی خواهند بود. در این طرح، اعتبارات پیش‌بینی شده از طریق منابع بانک‌ها با نرخ سود تسهیلات ۱۸ درصد که ۶ درصد آن از سوی واحدها و ۱۲ درصد آن توسط متقاضیان به نفع سیستم بانکی پرداخت خواهد شد در نظر گرفته شده است. مدیر کل دفتر لوازم خانگی و صنایع فلزی وزارت صنعت معدن و تجارت با تایید این خبر گفت: وزارت صنعت، معدن و تجارت براساس مصوبه ستاد فرماندهی اقتصاد مقاومتی برنامه مورد نظر در راستای اجرای طرح کارت اعتباری خرید کالای ایرانی را به بانک مرکزی اعلام کرده و در صورت تایید بانک مرکزی از ابتدای شهریور سال جاری طرح به مرحله اجرا در خواهد آمد. به گفته عباس هاشمی، مشکلات اجرای طرح کارت اعتباری خرید کالای ایرانی در سال گذشته مورد بررسی قرار گرفته تا در طرح پیش‌رو شاهد معضلات پیش آمده نباشیم.

🌐منبع خبر: خبرگزاری ایسنا

نوشته شده در 7th آگوست, 2017

همایش کلاه‌سیاه‌ها: یافتن چند آسیب‌پذیری در سامانه پرداخت ApplePay

در همآیش کلاه سیاه‌ها در آمریکا، پژوهشگران حوزۀ امنیت اعلام کردند که دو حملۀ متمایز به “ApplePay” – با استفاده از نقاط ضعف روش پرداخت تلفن همراه – طراحی شده اند. امروزه “ApplePay” یکی از امن ترین سامانه های پرداخت محسوب می شود اما پژوهشگران ادعا می کنند که دو مسیر احتمالی حمله را یافته‌اند.
نخستین حمله ای را که پژوهشگران معرفی کردند، نیازمند دستگاهی جیلبریک شده ست تا کار را به پایان برساند؛ به این معنی که: مهاجمان باید دستگاه جیلبریک شده را با بدافزارها آلوده کنند. هنگامی که تلفن همراه آلوده شد، مهاجمان می توانند مانع رسیدن اطلاعات پرداخت به سرور اپل شوند و هنگامی که رخنه گران با موفقیت دستگاه‌ها را به بدافزارها آلوده کردند، امتیازات اساسی را به دست آورده‌اند و به هدف خود رسیده‌اند.
در حمله دوم، نیازی به دستگاه جیلبریک شده نیست، زیرا رخنه گران از ترافیک تراکنش “SSL” جلوگیری می کنند یا آن را دستکاری می کنند. مهاجمان در داده‌های تراکنش، برای مثال: مبلغ پرداخت شده را تغییر می‌دهند یا در جزئیات تحویل کالاهای سفارش شده دست می‌برند. مهاجمان می‌توانند جزئیات کارت‌های ربوده شده را در حساب آیفون خود ثبت کنند تا پرداخت ها از جانب قربانیان انجام شود و آنگاه، ایشان می‌توانند ترافیک “SSL” میان دستگاه و سرور اپل را برای پرداخت‌های جعلی رهگیری کنند.

 

منابع:

🌏: http://securityaffairs.co
🇮🇷: کاشف

نوشته شده در 7th آگوست, 2017

با گردش بالای ۵۰۰ میلیون تومان ارسال اطلاعات حساب‌بانکی به سازمان‌ مالیات

مدیر کل سازمان امور مالیاتی کشور از ارسال اطلاعات حساب های با گردش بالای ۵۰۰ میلیون تومان در سال از طریق بانک ها به سازمان مالیاتی خبر داد.
علی رستم‌پور-مدیرکل اطلاعات مالیاتی سازمان امور مالیاتی با بیان اینکه سازمان امور مالیاتی نه تنها با بانکها بلکه با تمام اشخاص و دستگاههای که مشمول حکم ماده ۱۶۹ مکرر قانون مالیاتهای مستقیم شده‌اند، بعد از ابلاغ آیین نامه اجرایی در  دی ماه جلسات متعددی را  برگزار کرده است، به تسنیم گفت: با توجه به گستردگی حجم اطلاعات که در قانون پیش بینی شده است، این فرایند زمان بر است. در واقع اقلام اطلاعاتی که در برخی سازمانها وجود دارد با زیر ساخت استانداردی که در سازمان مالیاتی مطابق قانون ایجاد شده همخوانی ندارد. به عبارت دیگر دستگاهها  اطلاعاتی را دارند که قابل استفاده برای سازمان نیست و برای این موضوع باید چاره اندیشی شود.
به گفته رستم پور، بر اساس قانون، آیین نامه دریافت اطلاعات مالی از بانکها باید با مشارکت بانک مرکزی تدوین شود، که بعد از تدوین این آیین نامه توسط دو وزیر یعنی وزرای اقتصاد و دادگستری، به سازمان مالیاتی ابلاغ شده است. در این آیین نامه، توافق حاصل شد که سازمان مالیاتی برای دریافت اطلاعات پولی سراغ بانکها نرود و اطلاعات مالی مورد نیاز (از جمله بسته ۵ پولی )را از بانک مرکزی تامین کند، بانک مرکزی نیز این پیشنهاد را پذیرفت و قرار شد بانک مرکزی اطلاعات مورد نیاز سازمان را جمع آوری کند و اطلاعات طبقه بندی شده بر اساس آیین نامه را به سازمان تحویل دهد.

اطلاعات حسابها با گردش بالای ۵۰۰ میلیون تومان دریافت خواهد شد

وی ادامه داد: بر مبنای توافق دیگری که با بانک مرکزی صورت گرفت، حد آستانه بررسی اطلاعات پولی شاخص ۵۰۰ میلیون تومان در نظر گرفته شد. به این معنا که اگر گردشهای سالیانه تمام حسابهای  فرد، کمتر از ۵۰۰ میلیون تومان بود این اطلاعات از طرف سازمان مورد بررسی قرار نگیرد. دو دلیل عمده برای این موضوع در نظر گرفته شد، نخست آنکه عمده حسابهای زیر ۵۰۰ میلیون مشمول مالیات زیادی نمی‌شوند و از سوی دیگر در شروع کار سازمان در بررسی حسابهای بانکی، بررسی تمام این حسابها به یک فرایند پیچیده  تبدیل می‌شد.

رستم پور افزود، ممکن است حسابهای  بسیاری از افراد در محدوده ۵۰۰ میلیون تومان گردش داشته باشد، به عنوان مثال با خرید و فروش یک ملک مسکونی رقمی درحدود ۵۰۰ میلیون تومان جابه جا می‌شود اما سازمان بنا به دلایلی که اشاره شد به دنبال بررسی این موارد نیست. البته  این حد استانه با موافقت وزیر اقتصاد قابل تغییر است.
مدیر کل دفتر اطلاعات مالیاتی سازمان مالیاتی با اشاره به اینکه در این فاصله بانک مرکزی بخشی از اطلاعات بانکی توافق شده با سازمان مالیاتی از جمله تسهیلات ریالی و ارزی را در اختیار سازمان قرار داده است، گفت: در مرحله بعد نوبت به دریافت اطلاعات سپرده‌های کوتاه مدت و بلند مدت(دیداری و غیر دیداری) رسید که در این قسمت بانک مرکزی اعلام کرد به این اطلاعات دسترسی ندارد  و بایستی از طریق بانکها تامین شود. متاسفانه هرچند جلسات متعددی در این زمینه برگزار گردید اما امکان دریافت این اطلاعات از بانک مرکزی فراهم نشد.

 ترس از فرار سپرده ها با اجرای ناقص دریافت اطلاعات از سیستم بانکی

وی افزود، به هر حال سازمان مالیاتی موظف به اجرای قانون است و به همین جهت از سه ماه پیش یعنی اردیبهشت ماه سال جاری جلساتی با بانکهای دولتی و خصوصی و همچنین تشکلهای مرتبط با آنها برگزار شد تا از طریق بانکها اطلاعات مربوط به سپردهها به سازمان مالیاتی ارائه شود. در این بین بانکها این نکته را مطرح کردند که در صورت ارائه هماهنگ این اطلاعات به سازمان مشکلی با اجرای این طرح ندارند اما در صورتی که فرایند دریافت اطلاعات با مشارکت ناقص تعدادی از بانکها صورت گیرد، این بیم وجود دارد که سپرده ها از بانکهایی که با سازمان مالیاتی همکاری کرده اند خارج شود.
رستم پور ادامه داد، سازمان مالیاتی نیز به بانکها اعلام کرد بر اساس قانون اگر قرار باشد اطلاعات سپرده‌ها از بانکها دریافت شود باید تمام اطلاعات بدون کم و کاست به سازمان تحویل شود و اگر قرار باشد پالایشی هم صورت گیرد توسط خود سازمان انجام می‌شود. به این ترتیب آستانه ۵۰۰ میلیون تومان نیز برداشته خواهد شد و بانکها باید همه اطلاعات سپرده‌ها را تحویل دهند.
به این ترتیب در هر هفته با نمایندگان ۶ یا ۷ بانک جلسه برگزار شد تا ابهامات آنها بر طرف شود، در انتهای جلسات  نیز توافق شد یک سری تفاهم نامه مشترک به امضا برسد. در نهایت  برای ۴۰ بانک تجاری  تفاهم نامه‌های تدوین شده در سازمان مالیاتی ارسال شد.

دغدغه بانکها عملکرد یکپارچه رقباست

مدیر کل سازمان مالیاتی خاطر نشان کرد، در حال حاضر تعدادی از این تفاهم نامه‌ها از سوی ۹ بانک امضا و به سازمان امورمالیاتی بازگشته است. تعدادی از بانکها نیز در مورد تفاهم نامه ابهام داشتند که قرار بر برگزاری جلسات جداگانه شد. در این بین ذکر این نکته ضروری است که هرچند قانون گذار ضمانت اجرایی خوبی را برای دریافت اطلاعات از بانکها در نظر گرفته است اما هدف سازمان مالیاتی تامل با سیستم بانکی است.  به نظر میرسد بانکها یک سری دغدغه دارند که سازمان مالیاتی بایستی به آن توجه کند. نگرانی بانکها این است که اگر این ارائه اطلاعات همزمان انجام نشود مردم حسابهای خود را از بانکی که  با سازمان همکاری کرده است خارج و به بانکی ببرند که اطلاعات را به سازمان مالیاتی ارائه نکرده است.
به گفته رستم پور، این دغدغه بانکها در حال حاضر رفع شده است، چراکه اطمنیان برای آنها حاصل شد که ابزار قانونی لازم برای بانکهایی که در زمینه ارائه اطلاعات همکاری نداشته باشند وجود دارد. همچنین این موضوع نیز مطرح شد که ارائه اطلاعات از طریق بانک مرکزی و با همکاری این بانک صورت گیرد تا دغدغه مورد نظر بانکها به طور کامل حل و فصل شود. در واقع در این حالت تمام اطلاعات به صورت یک جا از بانک مرکزی دریافت می‌شود که در آن تمام بانکها نیز مشارکت دارند. در همین راستا هفته گذشته جلسه‌ای با حضور معاون مالیاتهای مستقیم سازمان در کانون عالی بانکها برگزار شد و جلسه دیگری نیز با آنها  در روز دوشنبه در سطح کارشناسی برگزار شده است.

استفاده از اطلاعات بانکها در تعیین رتبه ریسک حسابرسی مودیان

وی تاکید کرد، در حال حاضر موضوعاتی که در دو یا سه سال گذشته در خصوص محرمانه بودن حسابهای بانکی و استنکاف برخی از موسسات از ارائه اطلاعات مطرح می‌شد دیگر وجود ندارد. در حال حاضر تنها دغدغه سیستم بانکی عملکرد یکپارچه در ارائه اطلاعات است. به هر حال تا پایان مرداد ماه این اطلاعات باید به سازمان مالیاتی ارائه شود چراکه سازمان قصد دارد رسیدگیهای سیتماتیک خود را آغاز کند و قرار است بخشی از این اطلاعات برای تعیین رتبه ریسک حسابرسی مورد استفاده قرار گیرد. به این نکته هم باید اشاره شود که اطلاعات بر اساس ماده ۱۶۹ مکرر به این دلیل جمع اوری می‌شود که سیستم حسابرسی مبتنی بر ریسک در سازمان مالیاتی محقق شود. امروز برای بررسی فرایند راستی آزمایی اطلاعات ارائه شده از سوی مودیان باید به تک تک انها مراجعه کرد ولی قرار نیست درآینده نیز  این فرایند زمان بر  انجام شود.
رستم پور با بیان اینکه در حال حاضر ۴ میلیون اظهار نامه به سازمان ارسال میشود که قرار است در یک روند ۵ ساله به نقطه ای برسیم که تنها ۱۰ درصد اظهارنامه ها که ارزش حسابرسی داشته و پر مخاطره هستند، رسیدگی شوند، گفت:   در مورد بقیه اظهارنامه‌ها اگر افراد بتوانند شاخصهای سازمان مالیاتی را پاس کنند دیگر نیازی به مراجعه به آنها نیست. نکته حائز اهمیت این است که اگر مردم بدانند، به لحاظ اطلاعاتی دست سازمان مالیاتی پر است دیگر اطلاعات غلط به سازمان ارائه نمی‌شود و فرار مالیاتی نیز تا حد زیادی کاهش پیدا میکند.
وی افزود، از سوی دیگر ارتباط بین مودی و سازمان نیز قطع می‌شود  یعنی مردم سالی یک بار اظهار نامه‌شان را به سازمان میدهند و  خدمات خود را از سازمان مالیاتی دریافت می‌کنند که عامل بسیار مهمی در کاهش تخلفات در این حوزه است.

امسال بدنبال راستی آزمایی سیستمی هستیم

مدیر کل سازمان مالیاتی در پایان گفت: اگر در تابستان اطلاعات بانکی را به طور کامل دریافت بکنیم، با توجه به اینکه فصل بررسی اطلاعات در شهریور و مهر ماه آغاز می‌شود،  شاید بتوانیم برای اولین بار در مورد مالیات عملکرد، حسابرسی مبتنی بر ریسک سیستمی را در سازمان امور مالیاتی پیاده کنیم. اگر به هر دلیلی هم نتوانیم در این موضوع به موفقیت برسیم امسال هم مانند سالهای گذشته فرایند حسابرسی فرد به فرد و به شکل دستی البته با اطلاعات بیشتر انجام خواهد شد.
نوشته شده در 7th آگوست, 2017

باج‌افزار سربر اکنون می‌تواند داده کیف‌های پول بیتکوین و گذرواژه‌های مرورگر را برباید

باج‌افزار سربر که تاکنون چندین به روزرسانی را نیز از سر گذرانده است و پیش بینی می شود عوامل پشت پرده اش «روس» باشند، اکنون و از سر نو، تکامل یافته است. نسخه جدید این باج‌افزار دارای ویژگی جدیدی است که به مهاجمین اجازه می‌دهد تا داده‌ها و اطلاعات مربوط به کیف‌های پول بیت کوین را برباید؛ همچنین، این باج افزار می تواند گذرواژه‌های ذخیره شده روی مرورگرهای معروف مانند: اینترنت اکسپلورر، کروم، موزیلا را برباید و به روزرسانی نیز شده است تا بتواند داده‌ها و اطلاعات مربوط به برنامه‌های کیف پول بیت کوین مانند: Bitcoin Core، Electrum و Multibit را هم به دست آورد.
با توجه به گزارش پژوهشگر حوزۀ امنیت در ترندمیکرو، در حالیکه گذرواژه های ربوده شده ممکن است به مهاجمان برای جعل هویت افراد کمک کنند، اما اطلاعات ربوده شده از کیف های پول بیت کوین ممکن است چندان به کار مهاجمان نیآیند. شایان گفتن است که ربودن این فایل ها موجب به خطر افتادن بیت کوین‌ها ذخیره شده نمی‌شود.

منابع:

🌏: https://amp.ibtimes.co.uk
🇮🇷: کاشف

نوشته شده در 7th آگوست, 2017

چاپ اسکناس‌های جدید با قابلیت استفاده برای نابینایان و کم‌بینایان

رئیس‌گروه نظارت اداره نظام‌های پرداخت بانک مرکزی گفت: برای امکان تشخیص مبالغ اسکناس‌ها برای روشندلان، علامت‌‌های برجسته‌ای در گوشه‌ سمت چپ پایین اسکناس‌ها برای امکان تشخیص مبالغ به این شرح به چاپ رسیده است:

۱- ۵۰۰۰ ریالی: یک خط و دو دایره برجسته زیر آن، ابعاد اسکناس: ۱۵۴ × ۷۵ میلی‌متر

۲- ۱۰۰۰۰ ریالی: دو خط افقی موازی، ابعاد اسکناس: ۱۶۰ × ۷۷ میلی‌متر

۳- ۲۰۰۰۰ ریالی: سه دایره برجسته، ابعاد اسکناس: ۱۶۳ × ۷۹ میلی‌متر

۴- ۵۰۰۰۰ ریالی: سه دایره برجسته عمودی، ابعاد اسکناس: ۱۶۶ × ۷۹ میلی‌متر

۵- ۱۰۰۰۰۰ ریالی: چهار دایره برجسته به رنگ قهوه‌ای، ابعاد اسکناس: ۱۶۶ × ۷۹ میلی‌متر

همچنین اعظم آقایی‌پور در پاسخ به این پرسش که بانک مرکزی و سیستم بانکی برای دسترس‌پذیری خدمات بانکی برای افراد نابینا و کم‌بینا چه اقداماتی را انجام داده است، گفت: اقدامات بانک مرکزی و شبکه بانکی کشور در راستای ارائه خدمات به نابینایان و کم‌بینایان شامل نصب سیستم گویا در برخی خودپردازها، استفاده از صفحه کلید برجسته در برخی خودپردازها، سطوح ویژه حرکت نابینایان (کفپوش و…)، استوانه‌های الاستیک هشداردهنده، ارائه خدمات بانکی بدون مراجعه به شعب، امکان اطلاع از موجودی حساب، پرداخت قبض و مسدودی کارت در سیستم تلفنبانک و امکان بهره‌برداری از سیستم صوتی تلفنبانک بوده است.وی تصریح کرد: همچنین ارائه خدمات متنوع از جمله انتقال وجه، افتتاح حساب، صورتحساب، پرداخت قبض، خدمات چک، حواله ارزی، خدمات تسهیلات و معاملات برخط سهام از طریق اینترنت بانک و نیز امکان بهره‌برداری از درگاه‌های پرداخت برای خرید انواع کالا و خدمات، کارت شارژ و ارسال پیامک برای مبالغ واریزی و برداشتی از دیگر خدمات بانکی برای این عزیزان است.آقایی‌پور خاطرنشان کرد: سایر اقداماتی که در شعب بانک‌های مختلف با توجه به امکانات و شرایط موجود برای نابینایان، معلولان و جانبازان فراهم شده است شامل نصب خودپردازها در ارتفاع مناسب (ارتفاع یک متری از زمین مناسب برای افراد دارای صندلی چرخدار)، ایجاد اتوبانک و تجهیز شعب ۲۴ ساعته به درهای هوشمند که صرفا با استفاده از کارت خودپرداز باز می‌شود و ایجاد رمپ، بالابر، نصب آسانسور، تعبیه بازوی الکترونیکی برای در ورودی شعب یا در اتوماتیک برای تسهیل دسترسی معلولان به فضای شعبه می‌شود.
رئیس‌گروه نظارت اداره نظام‌های پرداخت بانک مرکزی در پاسخ به این پرسش که چرا دستگاه‌های خودپرداز برای دسترسی افراد دارای معلولیت حرکتی در ارتفاع و شرایط مناسب نصب نمی‌شود و به چه دلیل این دستگاه‌ها برای کاربری مستقل نابینایان مناسب‌سازی نمی‌شود، گفت: نصب خودپرداز دارای استانداردهایی است که از طرف شرکت‌های سازنده این دستگاه‌ها اعلام می‌شود و در تمامی کشورها نصب و بهره‌برداری از این دستگاه‌ها براساس همین دستورالعمل‌ها صورت می‌پذیرد که البته در برخی مکان‌ها به‌دلیل مشکلات موجود یا عدم‌اطلاع کافی کارکنان بانک‌ها، مکان‌یابی دقیق و مناسبی برای این دستگاه‌ها صورت نگرفته است که البته درصد بسیار کمی از دستگاه‌ها را شامل می‌شود.وی افزود: در برخی بانک‌ها دستگاه‌های خودپرداز به صفحه کلید برجسته و سیستم گویا تجهیز شده است که با توجه به یکسان نبودن علامات در صفحات کلید و همچنین عدم‌گویاسازی کامل بهره‌برداری از این دستگاه‌ها برای کم‌بینایان تسهیل و برای نابینایان امکان‌پذیر نیست.آقایی‌پور گفت: با توجه به درصد کم جمعیت معلولان و جانبازان به کل جمعیت و پراکندگی ایشان در کشور، هزینه بالای تبدیل تمامی دستگاه‌های ارائه خدمات بانکداری الکترونیکی (مانند خودپرداز، کیوسک و…) شبکه بانکی امکان انجام تغییر و مناسب‌سازی در تمامی دستگاه‌های نصب شده برای بهره‌برداری روشندلان را نداشته و صرفا می‌تواند در سفارش‌های آتی، خرید و نصب دستگاه‌های دارای کیفیت مناسب را مدنظر قرار دهد.

🌐منبع خبر: روزنامه دنیای اقتصاد

نوشته شده در 7th آگوست, 2017

یافتن تروجان «تریآدا» در ثابت‌افزار گوشی‌های هوشمند

تحلیلگران بدافزار در شرکت پاد-بدافزار روسی “Dr.Web”، تروجان تریآدا را در ثابت‌افزار چندین گوشی هوشمند اندرویدی از جمله Leagoo M5 Plus ،Leagoo M8 ،Nomu S10 و Nomu S20 یافته اند. کارشناسان بر این باورند که مهاجمان، زنجیره‌ موجود در تعداد کمی از تلفن‌های هوشمند از مدل‌های فوق را آلوده‌اند.
تروجان تریآدا در عملیات کرنل سیستم عامل اندروید Zygote – جزء به کار رفته در راه‌اندازی برنامه‌های دستگاه‌های تلفن همراه – یافت شد. پژوهشگران آزمایشگاه کسپرسکی، تروجان یادشده را – نخستین بار – در مارس ۲۰۱۶ یافتند؛ در آن زمان، همگان آن را به‌عنوان پیشرفته‌ترین تهدید تلفن همراه می شناختند.
طیف وسیعی از روش‌های استفاده‌شده توسط مهاجمان برای به خطر انداختن دستگاه‌های تلفن همراه، در هیچ بدافزار تلفن همراه شناخته شده‌ دیگر اجرا نشد. تریآدا با هدف خاصی و برای اجرای کلاهبرداری‌های مالی طراحی شده است که معمولا معاملات مالی پیامکی را می ربوده است. جالب‌ترین ویژگی اش – از نظر معماری ماژولار – این ست که به لحاظ نظری، طیف وسیعی از توانایی‌ها را ارایه می‌دهد.

منابع:

🌏: http://securityaffairs.co
🇮🇷: کاشف

نوشته شده در 7th آگوست, 2017

الزام مراکز داده‌ برای دریافت مجوز فعالیت

معاون سازمان تنظیم مقررات و ارتباطات رادیویی از صدور مجوز فعالیت برای مراکز داده (دیتاسنتر) در راستای نظام مند شدن میزبانی خدمات ارتباطی در داخل کشور و افزایش تولید محتوای بومی خبر داد. صادق عباسی شاهکوه دریافت گواهی رتبه بندی و مجوز فعالیت را از جمله الزامات فعالیت مراکز داده (دیتاسنتر) عنوان کرد و گفت: در راستای نظام مندی این بخش و نیز افزایش تولید محتوای بومی در داخل کشور، شرکت‌های فعال در حوزه دیتاسنتر، باید پروانه فعالیت دریافت کنند. وی با بیان اینکه رتبه بندی و ارزیابی دیتاسنترها از طریق سازمان فناوری اطلاعات ایران صورت می‌گیرد، ادامه داد: این مراکز ابتدا باید در نظام رتبه‌بندی دیتاسنترها که از سوی سازمان فناوری اطلاعات در حال انجام است رتبه‌بندی شده و گواهی رتبه‌بندی دریافت کنند و پس از آن مطابق با چارچوب پروانه‌ای که از سوی رگولاتوری تعیین می‌شود، مجوز فعالیت بگیرند.
معاون صدور مجوز سازمان تنظیم مقررات و ارتباطات رادیویی با اشاره به تدوین پیش نویس پروانه فعالیت دیتاسنترهای داخلی در این سازمان گفت: به زودی این پیش نویس برای تصویب به کمیسیون تنظیم مقررات ارتباطات می‌رود. عباسی شاهکوه هدف از لزوم دریافت پروانه فعالیت برای دیتاسنترها را حمایت و تسهیل فعالیت این مراکز در کشور عنوان کرد و افزود: هم اکنون دیتاسنترها برای هزینه‌های برق و مواردی این چنینی با مشکلات بسیاری روبه رو هستند که دریافت گواهی رتبه‌بندی و پروانه فعالیت می‌تواند بسیاری از این موضوعات را تسهیل کند. معاون رگولاتوری با اشاره به اینکه هم‌اکنون میزان تقاضا برای ایجاد دیتاسنتر از سوی بخش خصوصی افزایش یافته است، گفت: برخی دیتاسنترها از گذشته مجوز فعالیت از وزارت ارتباطات و مرکز ملی فضای مجازی را داشته‌اند که با تصویب مصوبه جدید، فعالیت تمامی مراکز داده در کشور نظام مند می‌شود. وی تاکید کرد: ما در مصوبه پروانه فعالیت دیتاسنترها، مشوق‌های حمایتی برای این مراکز درنظر گرفته‌ایم تا علاوه بر انتقال میزبانی خدمات ارتباطی در داخل کشور، شاهد افزایش تولید محتوای بومی و حفاظت از داده‌ها نیز باشیم.

🌐منبع خبر: روزنامه دنیای اقتصاد

نوشته شده در 7th آگوست, 2017

زیان جبران‌ناپذیر بیمارستان‌های ایران از حمله باج‌افزارها

مرکز ماهر در اطلاعیه‌ای اعلام کرد حملات باج افزارها به سامانه‌های بیمارستانی کشور، خسارات جبران‌ناپذیری را به بار آورده است.
در اطلاعیه مرکز ماهر آمده است: در هفته های اخیر، گزارشات متعددی از حمله باج افزارها به سرورهای ویندوزی ازجمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبران ناپذیری به بار آورده است. بررسی های فنی نشان داده که در بسیاری از این حملات،  مهاجمان با سوءاستفاده از دسترسی به سرویس دسترسی از راه دور در سیستم عامل ویندوز که مبتنی بر پروتکل RDP است، وارد شده، آنتی ویروس نصب شده را غیرفعال می کنند و با انتقال فایل باج افزار، اقدام به رمزگزاری فایل های سرور می کنند. حتی در مواردی، مشاهده شده است که مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء استفاده های ممکن، زمان و الگوی انجام پشتیبان گیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باج افزاری بی نقص شده اند.
براساس این گزارش در این حملات، مهاجم با سوء استفاده از نسخه های آسیب پذیر سرویس Remote Desktop ، رمز عبور ضعیف، تنظیمات ناقص یا بی احتیاطی در حفاظت از رمز عبور، وارد سرورها می شوند. به منظور جلوگیری از وقوع این حملات لازم است که تا حد امکان، نسبت به مسدود کردن سرویس های غیر ضروری Remote Desktop روی سرورهای در دسترس از طریق شبکه اینترنت اقدام کرد و در صورت ضرورت و غیرقابل اجتناب بودن ارایه این امکان در بستر اینترنت، به دقت مواردی را که در این گزارش توصیه می شود، رعایت کرد. همچنین یادآور می شود که فعال بودن دسترسی Remote Desktop به صورت حفاظت نشده در سطح اینترنت، سرور و داده ها را جدا در معرض خطر قرار خواهد داد.

پیشنهادات مرکز ماهر

مرکز ماهر به کاربران و سازمان ها توصیه کرد حتما این موارد را رعایت کنند:
۱- به روزرسانی مداوم سیستم عامل و هوشیاری از احتمال رخداد حملات جدید و شناسایی آسیب پذیری های جدید.
۲- انجام منظم و سخت گیرانه پشتیبان گیری از اطلاعات روی تعداد کافی از رسانه های ذخیره سازی اطلاعات و آزمایش نسخ پشتیبان پس از هر مرتبه پشتیبان گیری.
۳- عدم استفاده از کاربر Administrator برای دسترسی از راه دور و تعریف یک کاربر جدید با دسترسی محدود شده برای این منظور.
۴- تنظیم سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاش های ناموفق تعیین شود، سطح قابل قبولی از پیچیدگی برای رمز عبور را الزام کند و تغییر رمز عبور در بازه زمانی معقولی را اجبار کند. این فرآیند در سیستم عامل های مختلف متفاوت بوده و بسیار ساده اما تاثیر گذار است و سبب پیشگیری از موفقیت بسیاری از حملات بر پایه دیکشنری یا دزدیدن رمز عبور می شود.
۵- در صورت امکان، محدود کردن اجازه استفاده از خدمات دسترسی از راه دور در فایروال به آدرس آی پی های مشخص. همچنین، ایجاد لایه های دفاعی بیشتر با تکیه بر خدماتی چون VPN.
۶- محدود کردن زمان و ساعت استفاده از خدمات دسترسی از راه دور با استفاده از Group Policy Manager ویندوز. (مثلا محدود کردن دسترسی به ساعات اداری) یا حتی فعال کردن دسترسی از راه دور فقط در زمان نیاز و غیر فعال کردن آن پس از رفع نیاز.
۷- بررسی مداوم و روزانه گزارش های امنیتی (مخصوصا گزارش مربوط به Log-in در Event-viewer ویندوز)، گزارش  آنتی ویروس و فایروال، جهت آگاه شدن از مواردی چون زمان ورود هر کاربر و توجه و واکنش متناسب به موارد غیر متعارف همچون ورود در روزها یا ساعت های تعطیل و تلاش های ناموفق بدافزارها برای دسترسی و آلوده سازی.
۸- دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور، مخصوصا در زمانی که برای اتصال از رایانه دیگران استفاده می شود. انواع Key logger از تروجان ها می توانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمان را به سرورها ممکن کنند. این نوع از حملات به این دلیل که در ناآگاهی کاربر یا مدیر، تمام فرآیند ورود را می بینند، بسیار خطرناک بوده و منشاء اغلب حملات با میزان خسارت درشت در ماه های اخیر هستند.

نوشته شده در 6th آگوست, 2017

بشارتیان: چگونگی ساختار تشکل صنفی شرکت های پرداخت

یکی از مسایل مهمی که درباره شرکت‌‎های پرداخت وجود دارد کارمزها و تعرفه‌هایی است که حول محور آنان وجود دارد. البته که تمام هزینه‌ها روی دوش بانک‌هاست و شاپرک نیز از کارمزدها بهره‌مند می‌شود. یکی از کارشناسان مطرح حوزه پرداخت و فناوری اطلاعات در گفت و گو با پایگاه خبری بانکداری الکترونیک می‌‌گوید نظام تعرفه‌ای باید دگرگون شود و درصد کارمزدها بین همه کسانی که به نوعی به پرداخت الکترونیک و تراکنش‌ها مربوط اند تقسیم شود.
هوشنگ بشارتیان (رئیس هیات مدیره سابق شاپرک) گفت: درباره ایجاد تشکل صنفی برای شرکت های پرداخت دو نوع دیدگاه مطرح است. یکی تشکل برای psp‌ها و دیگری تشکل‌ بانک‌ها. در مقابل هم دو ناظر وجود دارد که بانک مرکزی و شاپرک است. ساختار مطلوب این است که در روند فعالیت شرکت‌های پرداخت یک ریگولاتور نقش داشته باشد. یعنی شاپرک به اصالت خود بازگشسته و توسط بانک‌ها اداره شود نه ادارات بانک مرکزی.
او افزود: این بدیهی است که شرکت‌های پرداخت نمی‌توانند ریگولاتور خودشان باشند. بنابراین بانک مرکزی ریگولاتوری شرکت‌های پرداخت الکترونیک را به بانک‌ها واگذار کند به طور کلی وجه حاکمیتی بانک مرکزی و اینکه در تصدی گری دخالت می‌کند در تعارض است.
این کارشناس پرداخت الکترونیک و فناوری اطلاعات با اشاره به اینکه بخش زیادی از درصد مالکیت شرکت‌های پرداخت بر خلاف اساسنامه در اختیار بانک‌هاست، عنوان کرد: قرار بود بخش عمده این سهام به بخش خصوصی واگذار شود و بانک‌ها دخالتی در روند آن نداشته باشند، اما الان در اختیار بانک‌ها هستند که یک نقص است.
بشارتیان، خاطرنشان کرد: تشکل صنفی شرکت‌های پرداخت به خودشان سپرده شود و  هم از طرف تشکل بانک‌ها و هم از طرف بانک مرکزی دخالت مستقیم صورت نگیرد.. بدین معنا ه مثلا کنترل‌هایی که شاپرک در مطالعات میدانی در نظر می‌گیرد، توسط نمایندگان شرکت‌های پرداخت انجام شود. به عبارت دیگر بازرسان باید از دل صنف بیرون بیایند نه از شاپرک و دیگر ناظران. شاپرک که ناظر محسوب می‌شود در بخش ریگولاتوری، تنظیم مقررات، تهیه دستورالعمل‌ها، توسعه ساختار و سازمان و امینت شبکه فعالیت کند.
او درباره محل ایجاد تشکل گفت: اینکه صنف در کجا باشد زیرمجموعه چه جایی ایجاد شود، مهم نیست. البته بسیار خوب است که با اتاق بازرگانی ایران ارتباط داشته باشد، اما مهم تقسیم وظایف و بازتعریف سیستم ها و فرانیده هاست. مهم این است که جایی باشند که در آن رگولاتوری‌های IT سامان بگیرد. برای مثال سازمان فناوری اطلاعات گفته است که باید نرم افزارهای دولتی مالی گواهینامه معتبر داشته باشند.
این کارشناس پرداخت الکترونیک و فناوری اطلاعات با بیان اینکه تعرفه‌ها و کارمزدها قابل تقسیم هستند، اظهار داشت: نظام تعرفه‌ها باید دگردگون شده و درصد  کارمزدها باید باز طراحی شود. به عبارت دیگر قیمت‌ها باید به نفع مردم و بانک‌ها کاهش پیدا کند.
رئیس سابق هیات مدیره شاپرک گفت: علی القاعده بخش کوچکی از تعرفه‌های وضع شده می‌تواند هزینه‌های جاری یک شرکت ریگولاتور مانند شاپرک باشد؛ به شرطی که درصد بسیار کمی هم منافع بانک‌ها را تامین کند.

🌐منبع خبر: پایگاه خبری بانکداری الکترونیک

نوشته شده در 6th آگوست, 2017