فیشینگ درگاه پرداخت شاپرک | راهنمای تشخیص صفحه پرداخت جعلی

Q: صفحه پرداخت معتبر شاپرک چه آدرسی دارد؟

صفحه نهایی پرداخت کارت در شبکه شاپرک باید روی دامنه ثبتشده shaparak.ir باشد؛ یعنی آدرس به صورت xxx.shaparak.ir (یا زیردامنههای مجاز همین دامنه) نمایش داده شود. اگر دامنه اصلی چیز دیگری غیر از shaparak.ir باشد، صفحه معتبر نیست.

Q: آیا HTTPS به تنهایی کافی است؟

خیر. HTTPS فقط ارتباط را رمزنگاری میکند. سایتهای فیشینگ هم میتوانند HTTPS داشته باشند. حتماً دامنه shaparak.ir را بررسی کنید.

Q: پرداختیار (واسط) با PSP چه تفاوتی دارد؟

پرداختیارها خدمات درگاه را به فروشگاهها ارائه میدهند، اما صفحه نهایی ورود اطلاعات کارت همچنان باید روی زیردامنه shaparak.ir یک PSP مجاز بارگذاری شود.

Q: چگونه در گوشی موبایل دامنه درگاه را بررسی کنم؟

در مرورگر موبایل روی نوار آدرس بزنید تا آدرس کامل دیده شود و بخش دامنه اصلی درست قبل از اولین اسلش را بخوانید؛ این بخش باید دقیقاً به shaparak.ir ختم شود. به آدرسهای کوتاهشده یا لینکهای داخل پیامرسانها اعتماد نکنید.

Q: لینک پرداختی که با پیامک یا پیامرسان دریافت کردهام امن است؟

خیر، با احتیاط برخورد کنید. فیشینگ پیامکی با عناوینی مثل پیگیری مرسوله، جریمه یا یارانه شما را به صفحه جعلی هدایت میکند. بهجای کلیک روی لینک ناشناس، آدرس فروشگاه یا سامانه رسمی را دستی در مرورگر وارد کنید.

Q: رمز پویا (یکبارمصرف) چه تفاوتی با رمز دوم ثابت دارد؟

رمز پویا یا OTP رمزی است که در لحظه پرداخت از سوی بانک بهصورت پیامک یا در اپ همراهبانک تولید میشود و فقط چند دقیقه اعتبار دارد. اگر صفحهای رمز دوم ثابت قدیمی بخواهد یا فرم ساخت رمز نشان دهد، مشکوک است؛ درگاههای اصیل شاپرک عمدتاً با رمز پویا کار میکنند.

Q: صفحه پرداخت اطلاعات اشتباه کارت را قبول کرد؛ یعنی جعلی است؟

احتمالش زیاد است. درگاه واقعی متصل به شبکه بانکی شماره کارت یا CVV2 نامعتبر را رد میکند. اگر صفحهای هر عددی را پذیرفت و به مرحله بعد رفت، نشانه جدی فیشینگ است. این تست را فقط با داده ساختگی انجام دهید.

Q: فیشینگ درگاه پرداخت را به کجا گزارش بدهم؟

موضوع را از طریق پلیس فتا به نشانی cyberpolice.ir یا شماره ۰۹۶۳۸۰ و در صورت برداشت غیرمجاز فوراً با بانک صادرکننده کارت در میان بگذارید. آدرس کامل صفحه جعلی و اسکرینشات آن را برای پیگیری قانونی نگه دارید.

Q: پدیدبان ۱۰۰٪ از فیشینگ جلوگیری میکند؟

هیچ ابزاری تضمین مطلق نمیدهد. پدیدبان با شناسایی الگوی درگاه شاپرک و هشدار درباره آدرس، ریسک را کاهش میدهد. تصمیم نهایی با بررسی دامنه توسط خود شماست.

نکته کلیدی: در شبکه پرداخت کارتی ایران، صفحه نهایی ورود اطلاعات کارت برای تراکنش‌های معتبر باید روی دامنه shaparak.ir بارگذاری شود. هر آدرسی که دامنه ثبت‌شده (Registrable Domain) آن چیز دیگری باشد — حتی اگر ظاهر صفحه دقیقاً شبیه درگاه بانکی باشد — مشکوک به فیشینگ است.

فیشینگ پرداخت آنلاین چیست؟

فیشینگ (Phishing) نوعی کلاهبرداری اینترنتی است که در آن مهاجم با جعل هویت یک سایت معتبر — معمولاً صفحه پرداخت بانکی یا فروشگاه — کاربر را وادار می‌کند اطلاعات محرمانه card-not-present را وارد کند: شماره ۱۶ رقمی کارت، تاریخ انقضا، CVV2 و رمز دوم پویا (OTP).

در سناریوی رایج فیشینگ فروشگاهی، کاربر فکر می‌کند از یک سایت خرید می‌کند؛ اما هنگام کلیک روی «پرداخت»، به جای درگاه واقعی شاپرک، به صفحه‌ای کنترل‌شده توسط مهاجم هدایت می‌شود. آن صفحه ممکن است از نظر گرافیکی بسیار شبیه درگاه بانک ملی، ملت، سامان یا سایر PSPها باشد، اما داده‌های واردشده مستقیماً به سرقت می‌رود.

بر اساس هشدارهای مکرر بانک مرکزی و شبکه شاپرک، بخش عمده سرقت‌های موفق از طریق تراکنش اینترنتی، نه به‌خاطر شکست رمزنگاری بانکی، بلکه به‌دلیل فریب کاربر در صفحه جعلی رخ می‌دهد. به همین دلیل آموزش تشخیص آدرس درگاه، مهم‌ترین لایه دفاعی کاربر عادی است.

شاپرک چه نقشی در پرداخت اینترنتی دارد؟

شرکت شاپرک (Shaparak Company) اپراتور شبکه الکترونیکی پرداخت کارتی ایران است. وقتی در یک فروشگاه اینترنتی «پرداخت با کارت» را انتخاب می‌کنید، در پشت صحنه پیام تراکنش بین بانک صادرکننده کارت شما، بانک پذیرنده (فروشگاه) و شرکت‌های واسط پرداخت (PSP) از مسیر زیرساخت شاپرک رد می‌شود.

شرکت‌های PSP (Payment Service Provider) یا «پرداخت‌یار»، مجوز فعالیت درگاه پرداخت اینترنتی را از نهادهای نظارتی دریافت کرده‌اند و صفحه ورود اطلاعات کارت را روی زیردامنه‌های مجاز دامنه shaparak.ir ارائه می‌دهند. بنابراین:

فروشگاه اینترنتی ممکن است دامنه اختصاصی خودش (example-shop.ir) را داشته باشد.
اما صفحه نهایی ورود رمز کارت باید شما را به دامنه shaparak.ir ببرد.
اگر صفحه پرداخت روی دامنه فروشگاه یا دامنه ناشناخته باقی بماند، باید با احتیاط جدی ادامه دهید.

تفاوت فروشگاه و درگاه

معتبر بودن فروشگاه (اینماد، سابقه، نظرات) جدا از معتبر بودن صفحه پرداخت است. حتی برخی فروشگاه‌های ظاهراً معتبر ممکن است — عمدی یا سهل‌انگارانه — کاربر را به درگاه جعلی هدایت کنند. همیشه آدرس نوار مرورگر در لحظه ورود رمز را بررسی کنید.

معیار اصلی تشخیص: دامنه shaparak.ir

مهم‌ترین و قابل اتکاترین معیار تشخیص درگاه معتبر، بررسی دامنه ثبت‌شده در نوار آدرس مرورگر است — نه متن دکمه‌ها، نه لوگوی بانک و نه طراحی صفحه.

آدرس معتبر چگونه است؟

درگاه‌های مجاز شبکه شاپرک معمولاً با ساختار زیر نمایش داده می‌شوند:

https://[پیشوند-PSP].shaparak.ir/...

در این ساختار، دامنه اصلی (registrable domain) باید دقیقاً shaparak.ir باشد. پیشوند قبل از آن (مثل bpm یا sep) نشان‌دهنده شرکت PSP است.

خطای رایج کاربران

بسیاری فقط به کلمه «shaparak» در آدرس نگاه می‌کنند. مهاجمان از این اشتباه سوءاستفاده می‌کنند: مثلاً shaparak-pay.com یا payment-shaparak.ir.fake-shop.net ممکن است شامل کلمه shaparak باشد اما دامنه ثبت‌شده shaparak.ir نیست.

نمونه‌های آدرس نامعتبر (فیشینگ)

https://shaparak-payment.com — دامنه .com است، نه shaparak.ir
https://shaparak-ir.com — خط تیره فریبنده قبل از .com
https://shaaparak.ir — املای غلط (حروف اضافه)
https://bpm-shaparak.ir — دامنه ثبت‌شده bpm-shaparak.ir است، نه shaparak.ir
https://fake.ir/shaparak/bpm/ — shaparak فقط بخشی از مسیر (path) است
http://sep.shaparak.ir — فاقد HTTPS (پروتکل ناامن)

درگاه‌های PSP مجاز در شبکه شاپرک

شرکت‌های PSP دارای مجوز، صفحه پرداخت خود را روی زیردامنه shaparak.ir ارائه می‌دهند. در زمان نگارش این مقاله، رایج‌ترین پیشوندهای شناخته‌شده در شبکه عبارت‌اند از:

پیشوند دامنه	نام شرکت PSP	نمونه آدرس
`bpm`	به‌پرداخت ملت (شرکت به پرداخت)	`bpm.shaparak.ir`
`sep`	پرداخت الکترونیک سامان (SEP)	`sep.shaparak.ir`
`pec`	تجارت الکترونیک پارسیان	`pec.shaparak.ir`
`pep`	پرداخت الکترونیک پاسارگاد	`pep.shaparak.ir`
`ikc`	کارت اعتباری ایران‌کیش	`ikc.shaparak.ir`
`asan`	آسان پرداخت پرشین	`asan.shaparak.ir`
`sadad`	پرداخت الکترونیک سداد (بانک ملی)	`sadad.shaparak.ir`
`fanava`	فن‌آوا کارت	`fanava.shaparak.ir`
`sepehr`	پرداخت الکترونیک سپهر (بانک صادرات)	`sepehr.shaparak.ir`
`pna`	پرداخت نوین آرین	`pna.shaparak.ir`
`tep`	تجارت الکترونیک پارس	`tep.shaparak.ir`

فهرست کامل شرکت‌های مجاز ممکن است با اضافه یا تغییر مجوزها به‌روز شود. معیار قطعی همیشه این است: دامنه ثبت‌شده باید shaparak.ir باشد و پیشوند آن با یکی از PSPهای دارای مجوز مطابقت داشته باشد.

ترفندهای رایج صفحات پرداخت جعلی

کلاهبرداران علاوه بر جعل دامنه، از روش‌های زیر هم استفاده می‌کنند:

Typosquatting (دامنه مشابه): استفاده از حروف اضافه یا جابه‌جایی — مثل shaparaak.ir یا shaparakk.ir.
Subdomain spoofing: قرار دادن کلمه shaparak در subdomain یک دامنه دیگر — مثل shaparak.ir.malicious.com (دامنه واقعی malicious.com است).
پنجره پاپ‌آپ جعلی: باز کردن پنجره کوچک شبیه درگاه بانک روی خود سایت فروشگاه بدون تغییر واقعی دامنه.
iframe مخفی: نمایش فرم جعلی داخل iframe در حالی که نوار آدرس همچنان فروشگاه را نشان می‌دهد.
فیشینگ پیامکی/پیام‌رسان: ارسال لینک «پیگیری سفارش» که مستقیماً به صفحه جعلی می‌رود.
کپی ظاهری دقیق: استفاده از لوگو، فونت و رنگ بانک بدون اتصال واقعی به شبکه شاپرک.

چک‌لیست تشخیص قبل از وارد کردن رمز کارت

قبل از ورود هرگونه اطلاعات کارت، این موارد را به ترتیب بررسی کنید:

دامنه: در نوار آدرس، دامنه ثبت‌شده دقیقاً shaparak.ir باشد.
HTTPS: پروتکل https:// فعال و قفل امنیتی مرورگر نمایش داده شود.
گواهی SSL: با کلیک روی قفل، گواهی برای دامنه *.shaparak.ir یا زیردامنه معتبر صادر شده باشد.
یکپارچگی مسیر: از صفحه فروشگاه به درگاه با ریدایرکت استاندارد منتقل شده باشید، نه فرم مشکوک داخل همان صفحه.
مبلغ و پذیرنده: مبلغ تراکنش با سفارش شما مطابقت داشته باشد.
دکمه انصراف: دکمه «انصراف» یا «بازگشت» واقعاً شما را از درگاه خارج کند.
رفتار OTP: پس از ورود اطلاعات، رمز پویا از سوی بانک (پیامک/اپ) ارسال شود — نه فرم ثابت رمز دوم.

تست‌های تکمیلی امنیتی (توصیه کارشناسی)

این روش‌ها جایگزین بررسی دامنه نیستند، اما در موارد مشکوک کمک‌کننده‌اند:

۱. تست رفرش کیبورد مجازی

در درگاه‌های اصیل شاپرک، با رفرش صفحه (F5) معمولاً چیدمان اعداد کیبورد مجازی رمز دوم تغییر می‌کند. صفحات جعلی که فقط ظاهر را کپی کرده‌اند اغلب این رفتار پویا را پیاده نکرده‌اند.

۲. تست اطلاعات عمداً اشتباه

می‌توانید یک‌بار شماره کارت یا CVV2 را عمداً اشتباه وارد کنید. درگاه واقعی متصل به شبکه بانکی معمولاً خطای «اطلاعات کارت نامعتبر» برمی‌گرداند. صفحه فیشینگ ممکن است هر عددی را بپذیرد یا بدون پاسخ از سوی بانک به مرحله بعد برود.

هشدار

هرگز اطلاعات واقعی کارت را در صفحه‌ای که به دامنه shaparak.ir نرسیده‌اید وارد نکنید — حتی برای «تست». تست فقط با داده ساختگی انجام شود.

پدیدبان چگونه درگاه شاپرک را شناسایی می‌کند؟

افزونه کروم و فایرفاکس پدیدبان دقیقاً برای همین لحظه حساس طراحی شده است: وقتی به صفحه پرداخت می‌رسید، افزونه آدرس (URL)، دامنه، پروتکل (HTTP/HTTPS) و الگوی شناخته‌شده درگاه‌های شاپرک را تحلیل می‌کند.

اگر صفحه در چارچوب درگاه مجاز shaparak.ir باشد، وضعیت امنیتی شفاف‌تر نمایش داده می‌شود.
اگر آدرس قابل بررسی نباشد (صفحات داخلی مرورگر) یا با الگوی درگاه شاپرک مطابقت نداشته باشد، هشدار «نامشخص» یا «غیرقابل اتکا» نشان می‌دهد.
هم‌زمان تبلیغات و پاپ‌آپ‌های مزاحم — که گاهی مسیر هدایت به درگاه جعلی را باز می‌کنند — مسدود می‌شوند.

پدیدبان جایگزین احتیاط شخصی شما نیست، اما لایه کمکی هوشمند برای کاهش خطای انسانی در تشخیص دامنه است — به‌ویژه زمانی که طراحی صفحه جعلی بسیار حرفه‌ای باشد.

نصب پدیدبان

اگر اطلاعات کارت را در صفحه جعلی وارد کردید

فوراً با بانک صادرکننده کارت تماس بگیرید (شماره پشت کارت).
کارت را مسدود و در صورت نیاز صدور مجدد کنید.
تراکنش‌های مشکوک را گزارش دهید و مهلت ۷۲ ساعته قانونی را در نظر بگیرید.
رمز اینترنت بانک، همراه بانک و سایر خدمات بانکی مرتبط را تغییر دهید.
موضوع را از طریق سامانه پلیس فتا گزارش دهید.
اسکرین‌شات آدرس صفحه جعلی و جزئیات فروشگاه را برای پیگیری قانونی نگه دارید.

سوالات متداول

صفحه پرداخت معتبر شاپرک چه آدرسی دارد؟

آدرس باید روی دامنه ثبت‌شده shaparak.ir باشد؛ مثل bpm.shaparak.ir یا sep.shaparak.ir. هر دامنه دیگری — حتی با کلمه shaparak در نام — معتبر نیست.

آیا HTTPS به تنهایی کافی است؟

خیر. HTTPS فقط ارتباط را رمزنگاری می‌کند. سایت‌های فیشینگ هم می‌توانند HTTPS داشته باشند. حتماً دامنه shaparak.ir را بررسی کنید.

درگاه پرداخت داخل iframe فروشگاه معتبر است؟

صفحه ورود رمز کارت باید در نوار آدرس، دامنه shaparak.ir را نشان دهد. اگر فقط دامنه فروشگاه را می‌بینید و فرم پرداخت داخل همان صفحه است، مشکوک است.

پرداخت‌یار (واسط) با PSP چه تفاوتی دارد؟

پرداخت‌یارها خدمات درگاه را به فروشگاه‌ها ارائه می‌دهند، اما صفحه نهایی ورود اطلاعات کارت همچنان باید روی زیردامنه shaparak.ir یک PSP مجاز بارگذاری شود.

چگونه در گوشی موبایل دامنه درگاه را بررسی کنم؟

در مرورگر موبایل روی نوار آدرس یک‌بار بزنید تا آدرس کامل نمایش داده شود. سپس بخش دامنه اصلی (درست قبل از اولین اسلش) را بخوانید؛ این بخش باید دقیقاً به shaparak.ir ختم شود. به آدرس‌های کوتاه‌شده (مثل bit.ly) یا لینک‌های داخل پیام‌رسان‌ها اعتماد نکنید.

لینک پرداختی که با پیامک یا پیام‌رسان دریافت کرده‌ام امن است؟

با احتیاط برخورد کنید. فیشینگ پیامکی یکی از رایج‌ترین روش‌هاست: پیام‌هایی با عنوان «پیگیری مرسوله»، «جریمه»، «یارانه» یا «برنده شدید» شما را به صفحه جعلی می‌برند. هرگز از طریق لینک ناشناس پرداخت نکنید؛ به‌جای آن آدرس فروشگاه یا سامانه رسمی را دستی در مرورگر وارد کنید.

رمز پویا (یک‌بارمصرف) چه تفاوتی با رمز دوم ثابت دارد؟

رمز پویا (OTP) رمزی است که در لحظه پرداخت از سوی بانک به‌صورت پیامک یا در اپ همراه‌بانک تولید می‌شود و فقط چند دقیقه اعتبار دارد. اگر صفحه‌ای از شما «رمز دوم ثابت» قدیمی بخواهد یا فرمی برای ساختن رمز نشان دهد، به آن مشکوک شوید. درگاه‌های اصیل شاپرک امروز عمدتاً با رمز پویا کار می‌کنند.

صفحه پرداخت اطلاعات اشتباه کارت را قبول کرد؛ یعنی جعلی است؟

احتمالش زیاد است. درگاه واقعی متصل به شبکه بانکی، شماره کارت یا CVV2 نامعتبر را با خطای «اطلاعات کارت نادرست» رد می‌کند. اگر صفحه‌ای هر عددی را پذیرفت و به مرحله بعد رفت، نشانه جدی فیشینگ است. این تست را فقط با داده ساختگی انجام دهید، نه اطلاعات واقعی.

فیشینگ درگاه پرداخت را به کجا گزارش بدهم؟

موضوع را از طریق پلیس فتا (به نشانی cyberpolice.ir یا شماره ۰۹۶۳۸۰) و در صورت برداشت غیرمجاز، فوراً با بانک صادرکننده کارت در میان بگذارید. آدرس کامل صفحه جعلی و اسکرین‌شات آن را برای پیگیری قانونی نگه دارید.

پدیدبان ۱۰۰٪ از فیشینگ جلوگیری می‌کند؟

هیچ ابزاری تضمین مطلق نمی‌دهد. پدیدبان با شناسایی الگوی درگاه شاپرک و هشدار درباره آدرس، ریسک را کاهش می‌دهد. تصمیم نهایی با بررسی دامنه توسط خود شماست.

فیشینگ درگاه پرداخت شاپرک: چگونه صفحه پرداخت جعلی را تشخیص دهیم؟