4-11- بهبود سامانه‌ی خبره‌ی فازی به کمک نظریه‌ی مجموعه‌های ژولیده……………………………………………. 110
4-12- نتیجه‌گیری……………………………………………………………………………………………………………………………………. 116
5- نتیجه‌گیری و پیشنهاد……………………………………………………………………………… 118
5-1- مقدمه………………………………………………………………………………………………………………………………………………. 118
5-2- نتایج تحقیق…………………………………………………………………………………………………………………………………….. 119
5-3- نوآوری تحقیق………………………………………………………………………………………………………………………………….. 120
5-4- پیشنهاد پژوهش‌های آتی………………………………………………………………………………………………………………… 121
فهرست منابع……………………………………………………………………………………………………………………………………………… 123
فهرست جدولها
عنوانصفحهجدول ‏1-1 روش‌ها و ابزار مورد استفاده در تحقیق به تفکیک مراحل………………………………………………………………. 7
جدول 2-1 مزایای بانکداری الکترونیکی از جنبه‌های مختلف……………………………………………………………………….. 13
جدول 2-2 ده وبگاه برتر از نظر میزان حملات دام‌گستری در سالهای اخیر………………………………………………….. 28
جدول 2-3 خسارات مالی دام‌گستری………………………………………………………………………………………………………………. 31
جدول 3-1 پایگاه قواعد سامانه با دو متغیر ورودی…………………………………………………………………………………………. 49
جدول 4-1 ویژگی‌های حملات دام‌گستری……………………………………………………………………………………………………… 60
جدول 4-2 اطلاعات دموگرافی خبرگان شرکت کننده در نظرسنجی…………………………………………………………… 78
جدول 4-3 میانگین شاخص‌ها و محاسبه‌ی حامل‌ها برای دو عامل……………………………………………………………….. 80
جدول 4-4 دسته‌بندی متغیرها بر اساس جهت تأثیر……………………………………………………………………………………… 82
جدول 4-5 رتبه‌بندی شاخص‌ها به ترتیب نزولی…………………………………………………………………………………………….. 82
جدول 4-6 محموله‌های مربوط به دسته‌ها………………………………………………………………………………………………………. 83
جدول 4-7 شاخص‌های مؤثر در تشخیص دام‌گستری در بانک‌های ایرانی…………………………………………………….. 85
جدول 4-8 دسته‌بندی واژه‌های زبانی خروجی بر اساس عدد قطعی خروجی (درصد دام‌گستری)……………….. 87
جدول 4-9 توابع عضویت فازی متغیرهای ورودی…………………………………………………………………………………………… 90
جدول 4-10 بخشی از قواعد پایگاه دانش فازیِ سامانه‌ی خبره‌ی اولیه………………………………………………………….. 95
جدول 4-11 نتایج اجرای سامانه‌ی خبره‌ی فازی شناسایی دام‌گستری………………………………………………………. 100
جدول 4-12 بخشی از قواعد پایگاه دانش فازیِ سامانه‌ی خبره‌ی فازی-ژولیده………………………………………….. 112
جدول 4-13 نتایج اجرای سامانه‌ی خبره‌ی فازی-ژولیده……………………………………………………………………………. 115
فهرست شکلها
عنوانصفحهشکل ‏1-1 روشگان اجرای پژوهش………………………………………………………………………………………………………………………………………. 6
شکل 2-1 تغییرات دام‌گستری مبتنی بر رایانامه در سطح جهان……………………………………………………………………………………. 26
شکل 2-2 سازمان‌های مورد حمله‌ی دام‌گستری در سال 2012 به تفکیک صنعت………………………………………………………. 27
شکل 3-1 تابع عضویت زنگوله‌ای……………………………………………………………………………………………………………………………………… 44
شکل 3-2 تابع عضویت مثلثی………………………………………………………………………………………………………………………………………….. 44
شکل 3-3 تابع عضویت ذوزنقه‌ای…………………………………………………………………………………………………………………………………….. 45
شکل 3-4 تابع عضویت برای واژه “بالا” و “کم” در مثال اتومبیل………………………………………………………………………………… 48
شکل 3-5 ساختار اصلی سامانه‌ی فازی با فازی‌ساز و نافازی‌ساز……………………………………………………………………………………. 49
شکل 3-6 نواحی مثبت، منفی، مرزی و تقریب‌های مجموعه………………………………………………………………………………………….. 52
شکل 3-7 الگوریتم کاست سریع………………………………………………………………………………………………………………………………………. 56
شکل 4-1 نمونه‌ی وبگاه جعلی یک مؤسسه‌ی مالی……………………………………………………………………………………………………….. 75
شکل 4-2 نمودار سنگریزه‌ای مقادیر ویژه………………………………………………………………………………………………………………………. 80
شکل 4-3 نمودار برداری حامل‌ها به ازای دو عامل………………………………………………………………………………………………………….. 81
شکل 4-4 نسخه‌ی دام‌گستری شده‌ی دروازه‌ی پرداخت بانک ملت……………………………………………………………………………….. 85
شکل 4-5 توابع عضویت متغیّر خروجی…………………………………………………………………………………………………………………………… 88
شکل 4-6 توابع عضویت شاخص “گواهی SSL” …………………………………………………………………………………………………………….91
شکل 4-7 توابع عضویت شاخص “طول یوآراِل”……………………………………………………………………………………………………………… 91
شکل 4-8 خروجی حاصل از موتور استنتاج کمینه‌ی ممدانی………………………………………………………………………………………. 103
شکل 4-9 قواعد سامانه‌ی خبره‌ی فازی شناسایی دام‌گستری……………………………………………………………………………………… 104
شکل 4-10 وبگاه پرداخت اینترنتی بانک ملی ایران……………………………………………………………………………………………………… 106
شکل 4-11 گواهی بانک ملی ایران……………………………………………………………………………………………………………………………….. 106
شکل 4-12 جزئیات گواهی بانک ملی ایران………………………………………………………………………………………………………………….. 107
شکل 4-13 اینترنت بانک اقتصاد نوین………………………………………………………………………………………………………………………….. 108
شکل 4-14 اطلاعات مربوط به گواهی…………………………………………………………………………………………………………………………… 108
شکل 4-15 پایگاه قواعد سامانه‌ی خبره‌ی فازیِ شناسایی دام‌گستری…………………………………………………………………………. 109
شکل 4-16 خروجی نرم‌افزار وِکا……………………………………………………………………………………………………………………………………. 111
شکل 4-17 قواعد سامانه‌ی خبره‌ی فازی- ژولیده………………………………………………………………………………………………………… 114
فصل اول- کلیات تحقیق
کلیات پژوهش
1-1- مقدمه
در طول پانزده سال اخیر، ورود اینترنت و وب موجب بروز تحولات چشمگیری در سراسر دنیا شده است. انقلاب اینترنت نیز مانند هر پدیدهی فناورانهی دیگر آثار خوب و بد بسیاری در پی داشته است. از جمله تأثیرهای مثبت استفاده از اینترنت، امکان دسترسی به حجم انبوهی از اطلاعات در هر زمان و هر مکان دلخواه است. تغییر شکل و توسعهی حوزههای کسب وکار، زمامداران، آموزش، پژوهش، سرگرمی، فرهنگ و همچنین ایجاد ارتباط انبوه با سایر کاربران، از پیامدهای ورود به عصر اطلاعات بوده است. ابعاد منفی استفاده از اینترنت نیز، ایجاد مسائل ناخوشایندی است که موجب آزار و آسیب رساندن به افراد، کسب و کارها، مؤسسات و دولتها میشود(Kim et al. , 2011). کلاهبرداری1، دزدی هویت2، دامگستری3 و هرزنامه4، بزرگترین تهدید برای تجارت الکترونیکی و شهرت و اعتبار سازمانها در قرن بیست و یکم هستند(James, 2005).
در این فصل به کلیات تحقیق پرداخته خواهد شد و در آن به موضوعهای: روش تحقیق، فرضیات، پرسشهای تحقیق، اهداف و جنبه‌های نوآوری پژوهش اشاره خواهد شد.
1-2- معرفی موضوع تحقیق و ضرورت انجام آن
بانکداری الکترونیکی یکی از ملزومات تجارت الکترونیکی است. با توجه به اهمیت بانکداری الکترونیکی پیشرفته و بهروز، برای ورود به بازارهای جهانی، باید زیرساختهای موردنیاز تجارت الکترونیکی و بانکداری الکترونیکی را فراهم نمود و با پیادهسازی راهکارهای امنیتی، سطح اعتماد مشتریان و کاربران را افزایش داد.
دامگستری در بانکداری الکترونیکی مسئلهای پیچیده و چالشبرانگیز است زیرا از یک طرف آسیب گستردهای به اعتماد مشتریان اینترنتی وارد میکند و از سوی دیگر تلفیقی از مسائل فنی و اجتماعی است و تشخیص آن به صورت بیدرنگ5 بسیار دشوار است زیرا عوامل و معیارهای فراوانی در آن دخیل هستند. به همین دلیل راه حل جامعی وجود ندارد که بتواند به طور کامل جلو حملات دامگستری در این حوزه را بگیرد. سامانهی پیشنهادی در این پژوهش میکوشد حملات دامگستری را تشخیص داده و مانع افشای اطلاعات محرمانهی مشتریان بانک شود.
1-3- واژههای کلیدی تحقیق
الف- دامچینی6
دامچینی7 نوعی حملهی اینترنتی است که در آن مهاجمان تلاش میکنند نشانی یا وبگاه سازمانهای رسمی و قانونی را جعل کنند تا از این طریق کاربران را فریب دهند و آنها را وادار کنند اطلاعات محرمانه و شخصی خود مانند کلمه کاربری، رمز عبور یا اطلاعات حساب بانکی خود را در اختیارشان قرار دهند(James, 2005).

ب- وبگاه(وبپایگاه)8
محیطی است که در آن پروندهها و بانکهای اطلاعاتی مرتبط با یکدیگر قرارگرفتهاند. در این محیط به دلیل استفاده از روشهای ابرمتنی9 و ابررسانهای10 امکان ایجاد پیوند بین پروندهها در داخل یا خارج از محیط وبگاه وجود دارد. وبگاهها دارای”آغازهای11″ هستند که فهرستی از وظایف و محتویات آن را نشان میدهد (اسدی صومعه، 1389).

ج- بانکداری الکترونیکی12
بانکداری الکترونیکی عبارت است از فراهم آوردن امکاناتی برای بانک در جهت افزایش سرعت و کارایی آنها در ارائه خدمات بانکی در محل شعبه و همچنین فرایندهای بین شعبهای و بین بانکی در سراسر دنیا و ارائه امکانات سختافزاری و نرمافزاری به مشتریان که با استفاده از آنها بتوانند بدون نیاز به حضور فیزیکی در بانک، در هرساعت از شبانهروز از طریق شبکههای ارتباطی ایمن، عملیات بانکی دلخواه خود را انجام دهند (ساروخانی، 1387).
د- بانکداری اینترنتی
انجام تراکنشهای مالی از طریق وبگاههای بانکها بر روی اینترنت را بانکداری اینترنتی13 یا بانکداری برخط14 گویند. بانکداری اینترنتی از مهمترین و گستردهترین انواع بانکداری الکترونیکی است. از دیدگاه برخی پژوهشگران، بانکداری اینترنتی فقط شیوهی جدیدی برای ارائه خدمات بانکی نیست بلکه فرصت و محرکی برای ایجاد تغییرات و تحولات کامل در کسب و کار و صنعت بانکداری نیز هست (ساروخانی، 1387).
ه- مجموعه های ژولیده15
مجموعهی ژولیده عبارت است از تقریب ابهام به کمک دو مفهوم “تقریب بالا”16 و “تقریب پایین”17. هر مجموعه دلخواه از مجموعهی مرجع بین تقریبهای بالا و پایین خود قرار میگیرد بدین معنی که هر عنصر در تقریب پایین لزوماً عضوی از مجموعه خواهد بود ولی عناصر تقریب بالا ممکن است عضو مجموعه نباشند. در نظریهی مجموعهی ژولیده، هریک از زیرمجموعهها با استفاده از دانش موجود در دادهها تقریب زده میشود (Jensen and Shen, 2004).

و- سامانهی فازی
سامانهی فازی، سامانهای است که برای استدلال و استنتاج، به جای منطق دودویی از مجموعه‌ای از توابع عضویت و قواعد فازی استفاده می‌کند. اینگونه سامانهها پدیدههای غیرقطعی و نامشخص را توصیف میکنند. قلب یک سامانهی فازی یک پایگاه دانش است که از قواعد اگر-آنگاه فازی تشکیل شده است. یک قاعدهی اگر-آنگاه فازی یک عبارت اگر-آنگاه است که بعضی کلمات در آن به وسیلهی توابع عضویت پیوسته مشخص شدهاند (تشنهلب و همکاران، 1389).
1-4- هدف تحقیق

هدف اصلی این پژوهش “افزایش امنیت وبگاهها در بانکداری الکترونیکی و جلوگیری از گسترش تأثیر دامگستران” است که در نهایت منجر به افزایش اطمینان خاطر مشتریان برای استفاده از امکانات بانکداری الکترونیکی خواهد شد.
بدین منظور، پژوهش پیشرو اهداف جزیی و اختصاصی دیگری را نیز دنبال می‌کند که اهم آنها عبارتند از:
شناسایی عوامل مؤثر در تشخیص حملات دامگستری در وبگاههای بانکداری الکترونیکی
تشخیص وبگاههای جعلی طراحی شده توسط دامگستران که مانع از سرقت هویت مشتریان و وارد آمدن خسارت مالی به مشتریان و بانکها میشود.
1-5- فرضیهی تحقیق
فرضیهی اصلی این پایاننامه به شرح زیر است:
به کمک نظریهی فازی میتوان سامانهای خبره طراحی کرد که حملات دامگستری به وبگاه بانکها را شناسایی کند.
علاوه بر این پرسشهای اصلی پژوهش عبارت است از:
آیا سامانهی خبرهی فازی میتواند فرایند تشخیص وبگاههای دامگستری شده را بهبود بخشد؟
آیا روشهای دادهکاوی فازی میتوانند در استخراج ویژگیها و قواعد مؤثرتر در سامانه‌ی خبره فازی مفید باشند؟
1-6- روش تحقیق
این تحقیق از حیث روش تحقیق، تحقیقی توصیفی-کمّی است که از دو روش تفکر عمیق و مطالعه‌ی پیمایشی بهره برده است. در جمع‌آوری نیز از ابزار مختلف این فن یعنی: مصاحبه، مشاهده، پرسشنامه و بررسی اسناد استفاده شده است. روشگان18 تحقیق در شکل 1-1 آمده است.

شکل ‏1-1 روشگان اجرای پژوهش

علاوه بر این ابزار و روش‌های گرد آوری داده و فنون مورد استفاده برای تحلیل داده‌ها نیز به‌تفکیک مراحل تحقیق در جدول 1-1 آمده است.

جدول ‏1-1 روشها و ابزار مورد استفاده در تحقیق به تفکیک مراحل
مرحلههدفخروجیروش و ابزارمطالعات اکتشافی کلانتبیین کامل مسألهکلیات تحقیقمطالعات کتابخانه‌ای، مصاحبه با خبرگانمطالعات عمیق و تکمیلی1. شناخت انواع حملات اینترنتی به ویژه انواع دامگستری
2. شناخت بانکداری الکترونیکی
3. شناخت مجموعههای فازی
4. شناخت سامانهی خبره فازی
5. شناخت مجموعههای ژولیدهمنابع تحقیقاستفاده از تسهیلات اینترنتی و منابع موجود کتابخانه‌ای
بهره گیری از نظریات خبرگان6. شناخت عوامل و شاخص های مؤثر در تشخیص دام گستریروش شناسی تحقیقکتابخانه‌ای، طراحی پرسشنامه، تفکر عمیق و استفاده از نرم افزار R و SPSS و اکسلجمع آوری داده‌هاجمعآوری دادههای مربوط به حدود واژگان فازی هریک از شاخصهای فازی و همینطور داده‌های مربوط به نمونههای واقعی دامگستریایجاد پایگاه دادهمطالعات پیمایشی به کمک پرسشنامه و استفاده از آرشیو حملات دامگستری در وبگاه فیشتنک19طراحی و اجرای سامانهی خبرهی اولیهطراحی سامانهی خبره فازی اولیه برای تشخیص دامگستریسامانهی خبرهی فازی اولیه برای تشخیص دام‌گستری استفاده از روش تحقیق تفکر عمیق و مطالعهی پیمایشی در طراحی سامانهی فازی شناسایی دامگستری با استفاده از نظر خبرگان
استفاده از نرم افزارمتلب
ادامه‌ی جدول 1-1
بهبود سامانهی خبرهی اولیه با استفاده از نظریهی مجموعههای ژولیدهی فازیجمع آوری نمونههای واقعی درگاه پرداخت بانکهای ایرانی و همچنین جمع آوری سایر نمونه‌های دامگستری در بانکهای سراسر جهان برای انجام عملیات کاهش ویژگی مجموعهی ژولیده جهت استخراج اطلاعدهندهترین زیرمجموعه از شاخصهای مؤثر در شناسایی دامگستری در وبگاه بانکهای ایرانی و حذف شاخص‌های زائد دارای افزونگیاستخراج مجموعه فروکاست شامل 6 شاخص اصلی و مؤثر از بین 28 شاخص اولیه برای شناسایی دام‌گستریاستفاده از روش تحقیق تفکر عمیق و مطالعهی پیمایشی استفاده از نرمافزار دادهکاوی Wekaطراحی و اجرای سامانهی خبرهی ثانویه و بهینه شدهطراحی سامانهی خبره فازی-ژولیده برای تشخیص دام‌گستریسامانهی خبره فازی بهینه برای تشخیص دام‌گستری با استفاده از 6 شاخصاستفاده از روش تحقیق تفکر عمیق و استفاده از نرم افزار متلباعتبارسنجی سامانهی خبرهی فازی برای تشخیص دامگستریارزیابی نتایج بدست آمده از پیاده‌سازی سامانهی خبره فازی برای تشخیص دامگسترینتایج ارزیابی شدهمقایسه با الگوهای معتبر
1-7- محدودیتهای تحقیق
محدودیت اصلی در این تحقیق دشوار بودن دسترسی به خبرگان در زمینهی دامگستری بود. از آنجا که دامگستری شاخهای کاملاً تخصصی از امنیت اطلاعات در فضای اینترنت است، دسترسی به متخصصانی که در مبحث دامگستری خبره بوده و اطلاعات دقیق داشته باشند کاری دشوار بود.
هدف از ابزار توسعهدادهشده، مدلکردن دقیق فضای عدم قطعیت مسئله به کمک مجموعه‌های فازی بود، از طرفی به علت نبودن چنین درسی در مجموعهی دروس مصوب رشتهی “مهندسی فناوری اطلاعات-تجارت الکترونیکی” در دانشکدهی آموزشهای الکترونیکی دانشگاه شیراز، عدم آشنایی پژوهشگر با “نظریهی مجموعههای فازی” در بدو امر، یکی از محدودیتهای مهم انجام پژوهش بود. لذا پژوهشگر موظف بود پیش از آغاز پژوهش، “منطق فازی” را به صورت کلاسیک فرا بگیرد.
از دیگر محدودیتهای این پژوهش، جمعآوری دادههای فازی بود. جدید بودن موضوع و محدود بودن دسترسی به منابع کتابخانهای کشور به دلیل نبودن منابع علمی مرتبط و عدم درک برخی از خبرگان از موضوع تحقیق، دریافت اطلاعات را با مشکل مواجه میکرد.
همچنین یکی از مهمترین محدودیتهای پژوهش، عدم دسترسی به مثالها و آمار دقیق و واقعی دربارهی دامگستری در بانکهای ایرانی و نیز در دسترس نبودن نمونههای واقعی حملات دامگستری به بانکهای ایرانی بود.
1-8- جنبههای جدید و نوآوری تحقیق
در این پژوهش، ویژگیهای مؤثر در تشخیص حملات دامگستری در وبگاهها و به ویژه بانکداری الکترونیکی ایران معرفی خواهد شد که با استفاده از نظریات خبرگان و روشهای ریاضی و آماری به دست آمده است. نوآوری دیگر این پژوهش طراحی سامانهی خبره برای تشخیص حمله دامگستری با استفاده از ویژگیهای مذکور به صورت کارآمد است.
1-9- نتیجهگیری
در این فصل ابتدا موضوع پیشنهادی معرفی و ضرورت انجام آن تبیین شد و سپس مفاهیم اصلی این تحقیق مانند دامگستری، بانکداری الکترونیکی، مجموعههای ژولیده و سامانهی خبرهی فازی معرفی شدند که در فصلهای آینده به تفصیل بررسی خواهند شد.

فصل دوم- امنیت بانکداری الکترونیکی و حملات دامگستری
2-1- مقدمه
تجارت الکترونیکی مهمترین دستاورد به‌کارگیری فنّاوری اطلاعات در زمینه‌های اقتصادی است. برای توسعه‌ی تجارت الکترونیکی در کشور و ورود به بازارهای جهانی، داشتن نظام بانکی کارآمد از الزامات اساسی به‌‌‌شمار می‌آید. اگرچه طی سال‌های اخیر برخی روش‌های ارائه‌ی خدمات بانکداری الکترونیکی نظیر دستگاه‌های خودپرداز، کارت‌های بدهی20،پیش‌پرداخت21 و غیره در نظام بانکی کشور مورد استفاده قرار گرفته است، اما تا رسیدن به سطحی قابل قبول از بانکداری الکترونیکی راهی طولانی در پیش است. در این میان بحث امنیت نیز به عنوان رکن بقای هر سامانهی الکترونیکی مطرح است. بدون امنیت، بانک الکترونیکی نه تنها فایدهای نخواهد داشت بلکه خسارتهای فراوانی نیز وارد میکند. دنیای امروز ما تفاوتهای چشمگیری با گذشته دارد. در گذشته پیچیدگی کار رخنهگرها22 و ابزارهایی که در دسترس آنها قرار داشت بسیار محدود و کمتر از امروز بود. گرچه جرایم اینترنتی در گذشته نیز وجود داشت اما به هیچ وجه در سطح گسترده و خطرناک امروز نبود. رخنهگرهای دیروز، امروزه متخصصان امنیت اطلاعات هستند که سعی میکنند از تأثیرات گسترده‌ی حملات اینترنی بکاهند. امروزه مجرمان اینترنتی نه تنها نیاز به خلاقیت زیادی ندارند بلکه اغلب در زمینهی رخنه23 از دانش چندانی برخوردار نیستند ولی در عین حال بسیار خطرناک هستند. در فضای اینترنت کنونی حتی کودکان نیز میتوانند به آسانی به رایانهها نفوذ کرده و برای اهداف مخربی از آنها بهره بگیرند. در گذشته هدف رخنهگرها عموماً دانشگاهها، کتابخانهها و رایانههای دولتی بود و اغلب انگیزههای بیضرر و کنجکاوی شخصی منجر به حمله میشد؛ حال آنکه امروز با گسترش پهنای باند، رخنهگرها تقریباً هرآنچه آسیبپذیر است را هدف قرار میدهند (James, 2005).
در این فصل ابتدا بانکداری الکترونیکی را تعریف میکنیم و پس از مرور چالشها و زیرساختهای مورد نیاز آن به معرفی یکی از مهمترین و آسیبرسانترین انواع حملات تهدیدکنندهی بانکداری الکترونیکی یعنی دامگستری24 میپردازیم. در ادامه آمارهای مربوط به دام‌گستری را بررسی کرده و در نهایت با دستهبندی روشهای تشخیص دامگستری فصل را به پایان میبریم.
2-2- بانکداری الکترونیکی
بانکداری الکترونیکی عبارت است از ارائهی خدمات بانکی از طریق شبکه‌های رایانه‌ای عمومی و قابل دسترسی (اینترنت یا اینترانت) که از امنیت بالایی برخوردار باشند. بانکداری الکترونیکی دربرگیرنده سامانههایی است که مؤسسات مالی و اشخاص را قادر میسازد تا به حساب خود دسترسی داشته باشند و اطلاعاتی درباره‌ی خدمات و محصولات مالی بهدست آورند. در سامانه‌های بانکداری الکترونیکی از فنّاوری‌های پیشرفته‌ی نرم‌افزاری و سخت‌افزاری مبتنی بر شبکه و مخابرات برای تبادل منابع و اطلاعات مالی بهصورت الکترونیکی استفاده میشود که در نهایت می‌تواند منجر به عدم حضور فیزیکی مشتری در شعب بانکها شود (سعیدی و همکاران، 1386).
براساس تحقیقات مؤسس? دیتامانیتور25 مهم‌ترین مزایای بانکداری الکترونیکی عبارتند از: تمرکز بر شبکههای توزیع جدید، ارائه خدمات اصلاح شده به مشتریان و استفاده از راهبردهای جدید تجارت الکترونیکی. بانکداری الکترونیکی در واقع اوج استفاده از فنّاوری جدید برای حذف دو قید زمان و مکان از خدمات بانکی است (Shah et al., 2005). جدول 2-1 خلاصه‌ای از مزایای بانکداری الکترونیکی را از دیدگاه‌های مختلف بیان میکند.
جدول 2-1 مزایای بانکداری الکترونیکی از جنبههای مختلف (ساروخانی، 1387)
دیدگاه مزایابانکها و مؤسسات مالی حفظ مشتریان علی‌رغم تغییرات مکانی بانکها
کاهش محدودیت جغرافیایی ارائه‌ی خدمات

عدم وابستگی مشتریان به شعبه
افزایش قدرت رقابت
مدیریت بهتر اطلاعات
امکان ردگیری و ثبت کلیه عملیات مشتری
امکان هدایت مشتری به سوی شبکه‌های مناسب
امکان درآمدزایی بر اساس خدمات جدید
کاهش اسناد کاغذی
امکان جستجوی مشتریان جدید در بازارهای هدف
افزایش قدرت رقابت
امکان یکپارچه سازی کانالهای توزیع جدید
افزایش بازدهی
کاهش اشتباهات انسانی
سهولت ارائه خدمات
کاهش مراجعه مستقیم مشتریان به شعب
امکان ارائه آسان خدمات سفارشی
بهینه شدن اندازه موسسه
کاهش هزینهها
کاهش هزینه ارائه خدمات
کاهش هزینه پرسنلی
کاهش هزینه پردازش تراکنشها
کاهش هزینههای نقل و انتقال پول
مشتریان محو شدن مرزهای جغرافیایی
در دسترس بودن خدمات بهصورت 24 ساعته در تمامی روزهای هفته
عدم نیاز به حضور فیزیکی (برخی انواع)
کاهش هزینه استفاده از خدمات
کاهش زمان دسترسی به خدمات
افزایش سرعت ارائه و انجام خدمات
افزایش کیفیت خدمات
عدم وابستگی به شعبه خاص
امکان مدیریت یکپارچه خدمات مورد استفاده
افزایش امنیت تبادلات
پاسخ سریع به مشکلات مشتریان
امکان تهیه گزارشهای متنوع
ادامه‌ی جدول 2-1
جامعه کم شدن هزینه نشر، توزیع و جمعآوری اسکناس
افزایش امنیت تبادلات مالی
رونق تجارت الکترونیکی
2-3- چالشهای بانکداری الکترونیکی در ایران
در این بخش به برخی چالشها و مشکلات توسعه‌ی بانکداری الکترونیکی در ایران اشاره می‌شود. از منظر مشکلات پیادهسازی بانکداری الکترونیکی در بانکهای ایرانی میتوان به سه دسته از عوامل اشاره کرد (فتحیان و همکاران، 1386؛ سعیدی و جهانگرد، 1388):
الف- چالشهای قبل از تحقّق سامانه
عدم توسعه‌ی طرحهای مطالعاتی، نیازسنجی و امکانسنجی پیادهسازی فنّاوری‌های جدید
عدم گزینش و پیادهسازی فنّاوری با بالاترین کارایی در جهت رفع نیازها
نبود فرهنگ پذیرش و دانش کم بانکها در خصوص بانکداری و پول الکترونیکی
ضعف مدیریت در به‌کارگیری متخصصان حرفهای در بخش فنّاوری اطلاعات
عدم تغییر در نگرش سنتی نسبت به باز مهندسی26 فرایندها
ب- چالشهای هنگام تحقّق سامانه
ضعف زیرساختهایی نظیر خطوط پرسرعت مخابراتی
کمبود حمایت مالی و اعتبارات مورد نیاز
نبود یا کافی نبودن مؤسسات خصوصی مورد نیاز و یا عدم حمایت آنان از بانکداری الکترونیکی شبیه مؤسسات بیمه، گواهی‌دهنده‌ها27 و غیره.
تحریم اقتصادی و دشواری تهیه‌ی تجهیزات و ملزومات سختافزاری و نرمافزاری
نبود تجربه در تهیه‌ی محتوای28 لازم و کاربرپسند29 برای وبگاه بانکها
ج- چالشهای پس از تحقّق سامانه
نبود قوانین و محیط حقوقی لازم و عدم استناد پذیری ادلّه‌ی الکترونیکی
عدم تمایل افراد به فاش کردن مسائل اقتصادی خود (خود سانسوری)
نبود انگیزه‌ی کاربری و عدم فرهنگ سازی برای مردم
عدم اعتماد30 کاربران
فقدان بسترهای امنیتی مانند امضای دیجیتالی و زیرساخت کلید عمومی31
لذا برای توسعه و گسترش بانکداری الکترونیکی، مقدمات و زیرساختهای گوناگونی باید وجود داشته باشد که در صورت عدم توسع? مناسب این زیرساختها، دستیابی به تمامی مزایای بانکداری الکترونیکی ممکن نخواهد شد.
2-4- زیرساختهای بانکداری الکترونیکی
در این بخش زیرساختها و بسترهای مورد نیاز بانکداری الکترونیکی را معرفی کرده و به اختصار شرح میدهیم (فتحیان و همکاران، 1386؛ سعیدی و جهانگرد، 1388).

2-4-1- زیرساخت ارتباطی
مهمترین و اثرگذارترین ابزار در آغاز فرایند بانکداری الکترونیکی دسترسی عمومی به بسترهای زیرساختی ارتباطات الکترونیکی است. در مدیریت بانکداری الکترونیکی باید برحسب نوع خدمات و انتظاراتی که از خدمات جدید میرود از مناسبترین ابزار ارتباطی بهره برد. این ابزار شامل استفاده از شبکهی جهانی اینترنت با پهنای باند متناسب، شبکههای داخلی مثل اینترانت، LAN، WAN، سامانههای ماهوارهای، خطوط فیبر نوری، شبکهی گستردهی تلفن همراه، تلفن ثابت و سایر موارد میباشد.
2-4-2- زیرساخت مالی و بانکی
یکی از مهمترین اقدامات بانکها در مسیر تبدیل شدن به بانکی الکترونیکی ایجاد زیرساخت‌هایی مانند کارتهای اعتباری، کارتهای هوشمند، توسعهی سختافزاری شبکههای بانکی و فراگیر کردن دستگاه‌های خودپرداز است. همچنین تطبیق پروتکلهای داخلی شبکه‌های بین بانکی با یکدیگر و پایانههای فروش کالاها تا نقش کارت‌های ارائه شده از طرف بانک در مبادلات روزمره نیز گسترش پیدا کند.
2-4-3- زیرساخت حقوقی و قانونی
برای اینکه بانکداری الکترونیکی با اقبال عمومی مواجه شود در گام اول باید بسترهای قانونی مورد نیاز آن فراهم شود و با شناخت تمامی احتمالات در فرایند بانکداری الکترونیکی درصد ریسک کاهش و اعتماد عمومی و حقوقی نسبت به سامانههای بانکداری الکترونیکی افزایش پیدا کند. گام دوم برای این منظور، تدوین قانون استنادپذیری ادلّهی الکترونیکی است زیرا در فرایند بانکداری الکترونیکی، رکوردهای الکترونیکی جایگزین اسناد کاغذی میشود. بنابراین قانون ادلّهی الکترونیکی یکی از نیازمندیهای اصلی تحقق بانکداری الکترونیکی است.

2-4-4- زیرساخت فرهنگی و نیروی انسانی
برای توسعهی بانکداری الکترونیکی نیاز جدی به فرهنگسازی برای جذب و توجیه اقتصادی جهت بهرهبرداری از این سامانهها برای مشتریان است.

2-4-5- زیرساخت نرمافزاری و امنیتی
یکی از عوامل مهم در مقبولیت و گسترده شدن فرایندهای بانکداری الکترونیکی توسعه‌ی نرم‌افزاری و افزایش امنیت در سامانههای آن است. در صورتی که زمینه‌ی لازم جهت تأمین این دو نیاز فراهم شود کاربرد عمومی سامانههای الکترونیکی گسترش و تسهیل مییابد، ریسک استفاده از این سامانهها کاهش مییابد و اعتماد و رضایتمندی مشتری افزایش مییابد. برای یک ارسال امن نکات زیر باید رعایت شود(Endicott et al., 2007; Gregory, 2010):

در این سایت فقط تکه هایی از این مطلب با شماره بندی انتهای صفحه درج می شود که ممکن است هنگام انتقال از فایل ورد به داخل سایت کلمات به هم بریزد یا شکل ها درج نشود

شما می توانید تکه های دیگری از این مطلب را با جستجو در همین سایت بخوانید

ولی برای دانلود فایل اصلی با فرمت ورد حاوی تمامی قسمت ها با منابع کامل

اینجا کلیک کنید

اطلاعات برای گیرنده و فرستنده قابل دسترسی باشند. (در دسترس بودن32)
اطلاعات در طول زمان ارسال تغییر نکرده باشد. (صحت33)
گیرنده مطمئن شود که اطلاعات از فرستنده مورد نظر رسیده است. (اصالت34)
اطلاعات فقط برای گیرنده حقیقی و مجاز افشا شود. (محرمانگی35)
فرستنده نتواند منکر اطلاعاتی که میفرستد بشود. (انکار ناپذیری36)
2-5- امنیت در بانکداری الکترونیکی
بانکداری الکترونیکی متکی بر محیط مبتنی بر شبکه و اینترنت است. اینترنت به عنوان شبکه‌ای عمومی، با مباحث محرمانگی و امنیت اطلاعات مواجه است. به همین دلیل بانکداری اینترنتی و برخط میتواند مخاطرههای فراوانی برای مؤسسات و بنگاههای اقتصادی داشته باشد که با گزینش و انتخاب یک برنامهی جامع مدیریت ریسک، قابل کنترل و مدیریت خواهند بود. حفظ امنیت اطلاعات از مباحث مهم تجارت الکترونیکی است.
امنیت بانکداری الکترونیکی را میتوان از چند جنبه مورد بررسی قرار داد (صفوی، 1387):
امنیت فیزیکی
امنیت کارمندان و کاربران سامانه
امنیت نرمافزار سامانهی یکپارچهی بانکداری الکترونیکی

اینترنت شبکهای عمومی و باز است که هویت کاربران آن به آسانی قابل شناسایی نیست. علاوه بر این مسیرهای ارتباطی در اینترنت فیزیکی نیستند که موجب میشود انواع حملات و مزاحمتها برای کاربران ایجاد شود. به طور کلی میتوان سه مشکل اصلی امنیتی در بانکداری الکترونیکی را موارد زیر دانست (عموزاد خلیلی و همکاران، 1387):
چگونه میتوانیم به مشتری این اطمینان را بدهیم که با ورود به وبگاه و انجام معامله در آن، شماره رمز کارت اعتباری وی مورد سرقت و جعل قرار نخواهد گرفت؟
شنود37: چگونه میتوانیم مطمئن شویم که اطلاعات شماره حساب مشتری هنگام معامله در وب، قابل دستیابی توسط متخلفان نیست؟
مشتری چگونه میتواند یقین حاصل کند که اطلاعات شخصی او توسط متخلفان قابل تغییر نیست؟
2-6- تهدیدات و کلاهبرداریها در اینترنت
به طور کلی اهداف متفاوتی را میتوان برای کلاهبرداران اینترنتی برشمرد که عبارتند از : کسب سودهای مالی، تغییر عرف و رسوم اخلاقی، و اهداف گوناکون دیگری که میتواند برای هر فرد متفاوت باشد. در تجارت الکترونیکی، هدف اصلی فریبکاریها، کسب سودهای مالی است. آسیبهای حاصل از خرابکاریهای اینترنتی عبارتند از : از دست دادن سرمایه، رسوایی، خدشهدار شدن حریم شخصی و خسارتهای فیزیکی که هر کدام از این موارد، به دنبال خود از دست دادن زمان و همچنین ایجاد نگرانیهای ذهنی را برای افراد زیاندیده به همراه خواهد داشت (Kim et al., 2011).
طبیعت اینترنت منجر به پررنگ شدن تهدیدات و فریبکاریهای مختلف در آن و گسترش جنبهی تاریک و مبهم شبکه میشود. دسترسی جهانی به اینترنت، سرعت انتشار بالا، گمنامی افراد و عدم ملاقات رو در رو، دسترسی رایگان به خدمات و محتواهای با ارزش و همچنین کمبود قوانین مناسب و توافقهای بین المللی از جمله عواملی هستند که موجب شده تا بسیاری از این تهدیدات فراگیر شده و پیگرد آنها دشوار گردد. در ادامه به توضیح مختصر برخی از این عوامل میپردازیم:

الف- گمنامی
بسیاری از وبگاهها، برای عضویت در وبگاه، تنها نشانی یک رایانامه38 معتبر را از کاربر درخواست میکنند و یک فرد میتواند به عنوان چندین کاربر و با نشانی رایانامههای متفاوت عضو وبگاه موردنظر شود. گمنامی باعث میشود که برخی افراد بدون هرگونه حس بازدارنده به اعمالی مثل حملات اینترنتی، انتشار اطلاعات نادرست و مطالب نامربوط در مورد سایر افراد و … بپردازند (Kim et al. , 2011).
ب- دسترسی رایگان به خدمات و محتواهای با ارزش
دسترسی رایگان به محتواهایی با ارزش بالا، گاهی باعث میشود که ارزش محصولات و خدمات در محیط اینترنت، پایینتر از حد طبیعی خود جلوه کند و کاربران اینترنت همیشه انتظار دریافت محصولات و خدمات رایگان را داشته باشند که این مسئله میتواند به عنوان چالش و تهدیدی برای افراد فعال در زمینه تجارت الکترونیکی مطرح شود. به عنوان مثال از محتواهای رایگان میتوان به این موارد اشاره کرد: جویشگرها39 که انواع محتواهای رایگان را برای کاربران جستجو کرده و در اختیار آنها قرار میدهند، دریافت نرم افزارهای رایگان (گوگل اپلیکیشن40، جیمیل41 و …)، وبگاههای اشتراکگذاری محتوای ویدیویی (یوتیوب42 و …)، وبگاههای شبکههای اجتماعی ( فیسبوک43 و مایاسپیس44 و …) و حتی وبگاههای اشتراک پروندههای غیرقانونی(Kim et al. , 2011).
در هرحال همچنان که پاک کردن کامل دنیای حقیقی از جرائم و اعمال غیراخلاقی و غیرقانونی امری غیرممکن است، در دنیای مجازی نیز وضع به همین منوال است. لذا بهترین کار، کنترل تهدیدات و نگه داشتن آنها در یک سطح قابل تحمل است.
تهدیدات و فریبکاریهای اینترنتی انواع گوناگونی دارند که از آن جمله میتوان به هرزنامه‌ها45، ویروسها و کرمهای کامپیوتری، رخنه46، حملات دی‌اواِس47، کلاهبرداریهای برخط، دزدیده شدن هویت افراد، تجاوز از حقوق مالکیت دیجیتال و تجاوز از حریم شخصی اشاره کرد. در ادامه به بررسی یکی از چالشبرانگیزترین کلاهبرداریهای اینترنتی در حوزهی بانکداری الکترونیکی میپردازیم.
2-7- دامگستری48
واژهی “Phishing” در زبان انگلیسی واژهای جدید است که برخی آن را مخفف عبارت “Password Harvesting Fishing” به معنای “شکار گذرواژهی کاربر از طریق طعمه‌گذاری” و برخی دیگر آن را استعاره‌ای از واژهی “Fishing” به معنای “ماهیگیری” تعبیر کرده‌اند. سازندگان این واژه کوشیده‌اند با جایگزین کردن Ph به جای F مفهوم فریفتن را به مخاطب القا کنند( نوعی پور، 1383).
دامگستری، یکی از روشهای مهندسی اجتماعی49 است که معنای آن فریب کاربران اینترنت از طریق هدایت آنها به سمت وبگاههایی است که از نظر ظاهری کاملاً شبیه به وبگاه موردنظر کاربر هستند؛ این موضوع معمولاً در مورد وبگاه بانکها، مؤسسات اعتباری، حراجهای اینترنتی، شبکههای اجتماعی محبوب و مردمی، وبگاههای ارائهدهنده خدمات اینترنتی و … صورت می‌گیرد. ایده اصلی این حمله آن است که طعمهای برای افراد فرستاده میشود به امید اینکه آنان، طعمه را گرفته و شکار شوند. در بسیاری موارد، این طعمه رایانامه یا هرزنامه است که کاربر را برای ورود به وبگاه، فریب میدهد. این نوع از فریبکاری، کاربر را به سمتی هدایت می‌کند که اطلاعات حیاتی خود مانند نام، گذرواژه، مشخصات کارت اعتباری، مشخصات حساب بانکی و … را وارد وبگاه کند. سپس این اطلاعات سرقت شده و برای مقاصدی مثل دزدی، کلاهبرداری و .. مورد استفاده قرار میگیرند (Peppard and Rylander, 2005).
دامگستری در اواسط دههی 1990 میلادی در شبکهی برخط امریکا50 آغاز شد. دامگسترها خود را به جای کارکنان AOL جا میزدند و برای قربانیان پیامهای فوری ارسال میکردند و به ظاهر از آنها میخواستند تا گذرواژههایشان را بازبینی یا برای تأیید اطلاعات صورتحساب، وارد کنند. به محض اینکه قربانی گذرواژهاش را افشا میکرد، مهاجم با دسترسی به حساب کاربری او قادر بود هر فعالیت غیرقانونی انجام دهد. پس از اینکهAOL اینگونه دامگستریهای مبتنی بر پیام فوری را محدود کرد، دامگسترها مجبور شدند به سراغ سایر ابزار به ویژه رایانامه بروند. همچنین دامگسترها دریافتند که میتوانند از مؤسسات مالی و اعتباری سود قابل توجهی کسب کنند. با این هدف در ژانویه 2001، کاربرانِ شبکهی پرداخت برخط E-gold51 مورد حمله قرار گرفتند. گرچه این حملات با استفاده از رایانامههای متنی خام، موفق نبود اما پس از یازدهم سپتامبر 2001 به شیوههای دیگری که مؤثرتر بودند ادامه پیدا کرد. شیوههایی که از آن پس رایج شد به شکل حملات دامگستری کنونی است که در آن پیوندی52 از وبگاه جعلی در رایانامه وجود دارد و فرد با کلیک روی آن به وبگاه دامگستری شده هدایت میشود (Miller, 2010).
اولین بررسی در مورد مفهوم دامگستری مربوط به کنفرانس اینترکس53 در سال 1987 است. جری فلیکس54 و کریس هاک55، در مقاله ای تحت عنوان “امنیت سامانه: از دید نفوذگر56” روشی را توصیف کردند که در آن شخص سومی از خدمات مورد اطمینان در محیط وب تقلید می کند (Robson, 2011).
2-7-1- انواع دامگستری
به طور کلی می توان انواع دامگستری را به سه دسته تقسیم کرد:
الف- جعل هویت57
این روش نسبت به سایر روشها رایجتر و به مراتب آسانتر است. این روش شامل ساخت وبگاهی کاملاً جعلی است که کاربر ترغیب میشود از آن بازدید کند. این وبگاه جعلی تصاویری از وبگاه اصلی را در بر دارد و حتی ممکن است پیوندهایی به آن داشته باشد (James, 2005).

ب- ارسال58 (دامگستری مبتنی بر رایانامه)
این روش بیشتر در وبگاههایی نظیر آمازون، Ebay و PayPal مشاهده شده است و در آن رایانامهای به کاربران ارسال میشود که تمامی نمادها و گرافیک وبگاه قانونی را دارد. وقتی قربانی از طریق پیوند درون این رایانامه، اطلاعات محرمانه خود را وارد میکند، این اطلاعات به کارساز59 متخاصم فرستاده میشود. پس از آن یا کاربر به وبگاه صحیح و قانونی هدایت می‌شود یا با پیغام خطا در ورود اطلاعات مواجه میگردد. امروزه به علت حجم بالای html در اینگونه رایانامهها، بسیاری از ویروسکشها60 و پادهرزنامهها61، جلوِ آنها را میگیرند که از دید دام‌گستران ضعف این روش محسوب میشود (James, 2005).

ج- پنجرههای بالاپَر62


دیدگاهتان را بنویسید