کلاهبرداری های مجازی وارد فاز مهندسی اجتماعی شده‌اند: اجازه بدهید کلاهتان را برداریم!

نیمه دوم سال ۹۸ پس از راه‌اندازی رمزپویا و جایگزینی آن با رمزایستا بانک مرکزی و پلیس فتا هر دو خبر از کاهش میزان فیشینگ دادند. پلیس فتای تهران همان زمان اعلام کرد که فقط در تهران میزان پرونده‌های فیشینگ ۵۰ درصد کاهش یافته است و بانک مرکزی نیز خبر از کاهش ۸۵ درصدی سرقت اطلاعات بانکی با استفاده از رمز پویا داد با این وجود اما حتی حالا که چند سالی از ایجاد و راه‌اندازی سیستم رمز یک ‌بار مصرف در اغلب بانک‌ها می‌گذرد، باز هم هر روزه خبر از کلاهبرداری‌های کوچک و بزرگ در فضای مجازی به گوش می‌رسند.

هر چند این در حالی‌ست که به گفته کارشناسان، اگرچه فیشینگ با فعال شدن رمز پویا کم‌تر شده، اما رمز یک بار مصرف به هیچ وجه امنیت صد درصدی را میسر نمی‌کند.

حتی در روزهای اخیر مشتریان برخی بانک‌ها مجددا شاهد هشدارهای پیامکی از سوی بانک بوده‌اند و پیامک‌هایی را مبنی بر ضرورت خودداری از واگذاری اطلاعات کارت بانکی به دیگران دریافت کرده‌اند.

چنین توصیه‌هایی در نگاه اول اندکی بدیهی به نظر می‌رسد و دریافت‌کننده این پیام‌ها با خود فکر می‌کند هرگز چنین کاری نخواهد کرد؛ اما به اواسط جولای سال ۲۰۲۰ برگردیم، هنگامی‌که ماجرای هک توییتر و کلاهبرداری بیت کوین رخ داد؛ حمله‌ای که به گفته ساشا ایوانو، کارآفرین ارز دیجیتال و موسس «ویوز» می‌توانست جنگ جهانی سوم را آغاز کند اما تنها به کلاهبرداری ۱۲/۸ بیت‌کوین (حدودا معادل ۱۲۰هزار دلار در آن زمان) قناعت کرد و به ماجرا پایین داد.

صرفه نظر از چگونگی دسترسی به حساب‌های کاربری افراد مشهور در توییتر، هکرها پس از آن هیچ دسترسی غیرمجازی برای دریافت بیت‌کوین نداشتند، و تنها خود را جای چهره‌های مشهور جا زدند و اعتماد کاربران را برای دریافت بیت‌کوین جلب کردند. برای مثال در حساب توییتر بیل گیتس توییتی با این مضمون منتشر شده بود که «همه از من می خواستند که دین خود را ادا کنم و حالا زمان آن رسیده است، من تمامی پرداختی‌ها به آدرس بیتکوین زیر در ۳۰ دقیقه آینده را دو برابر خواهم کرد. شما هزار  دلار ارسال می کنید و من برای شما ۲ هزار دلار ارسال خواهم کرد»

در ماجرای کلاهبرداری از طریق هک توییتر هر چند که کاربران اطلاعات بانکی خود را در اختیار کسی قرار ندادند اما مستقیما پول‌شان را در جیب سارقان گذاشتند.

مواردی این چنینی نه تنها فقط از طریق کلاهبرداری با رمزارزها و پشت نقاب چهره‌های مشهور اتفاق نمی‌افتد بلکه در مدت اخیر بسیار هم رایج شده است؛ بارها شنیده‌ایم یا حتی برای‌مان پیش آمده است که پیامی را در شبکه‌های اجتماعی به خصوص در تلگرام از سوی یکی از دوستان یا اقوام‌مان مبنی بر اینکه او به کمک نیازمند است، دریافت کنیم. ممکن است در آن لحظه بی‌ آن‌ که بخواهید احساسات شما به سرعت درگیر شود و فورا از طریق شماره حساب ارسالی اقدام به کمک کنید، در حالی که نه پای کمک‌خواهی در میان است و نه اصلا آشنایی.

هکرها از طریق دسترسی به حساب کاربری شخص به مخاطبان او پیام‌هایی مبنی بر درخواست کمک ارسال و از این طریق سعی در کلاهبرداری و اخاذی می‌کنند. در حال حاضر مشخص‌ترین روش برای پیش‌گیری از کلاهبرداری‌های این چنینی فعال کردن تایید دو مرحله‌ای حساب‌های کاربری جهت دسترسی پیدا نکردن هکرها به آن است اما راه حل قطعی شاید تنها این است که زود احساساتی نشوید!

البته روش‌های کلاهبرداری به این سبک فقط به این موارد ختم نمی‌شوند.

گاهی هم ممکن است یک پیامک برای شما ارسال ‌شود که در لحظه اول هیجان‌زده‌‌تان کند و بعد به این فکر فرو ببرد که این مبلغ مربوط به حقوق‌تان است، واریز وام‌تان و یا بازگشت قرض به یکی از دوستان‌تان! اما واقعیت این است که در حال قرار گرفتن در دام کلاهبرداری پیامکی هستید.

مشترکانی که در وضعیتی مشابه قرار گرفته‌اند، می‌گویند که پیامکی مبنی بر این‌که مبلغی به حساب‌شان واریز شده دریافت کرده‌اند و بعد با آن‌ها تماس گرفته شده که مبلغ، اشتباهی به حساب آن‌ها رفته و پول را به شماره کارتی که اعلام می‌شود، برگردانند.

اما نه آن تماس واقعی‌ست و نه آن واریز؛ پیامک واریز وجه اصلا از سامانه پیامکی بانک ارسال نشده و از شماره تلفنی متفرقه آمده است که البته ظاهرا کلاهبرداران برای فریب بیشتر از شماره تلفن‌های نسبتا رند و با تکرار چند صفر پشت سر هم استفاده می‌کنند، تا به خیال‌شان اختلافی میان این پیامک با پیامک‌های بانک به نظر نرسد.

فریب دادن از طریق پیامکی که به سامانه «همتا» نسبت داده می‌شود هم از روش‌های دیگری‌ست که به کلاهبرداری از مشترکین ختم می‌شود.

ماجرا از این قرار است که پس از اجرای طرح رجیستری، ارسال پیامک‌هایی به اسم همتا به همراه آدرس‌های جعلی و صفحه‌هایی که مانند سامانه همتا طراحی شده، اتفاق تازه‌ای نیست اما هر بار به روشی صورت می‌گیرد. پیش از این بارها اتفاق افتاده که پیامکی برای برخی افراد ارسال و از آن‌ها خواسته شده جهت جلوگیری از قطع شدن تلفن همراه، مبلغی را پرداخت کنند. در یکی از جدیدترین نمونه‌های این کلاهبرداری، با هدایت کاربران به سایت‌های فیشینگ، اطلاعات را از آنها درخواست می‌کنند.

جان کلام این‌که حلقه مشترک میان همه این کلاهبرداری‌ها که شما را به از دست دادن مال‌تان چه از طریق درخواست کمک از یک دوست و چه از طریق یک صفحه جعلی فروش لباس یا لوازم بهداشتی وادار می‌کند، چیزی جز مهندسی اجتماعی نیست.

به گفته پلیس فتا فیشینگ، یک عمل کلاهبردارانه است که در آن کلاهبردار با استفاده از ترفندهای مهندسی اجتماعی و از طریق تماس تلفنی، اقدام به جمع‌آوری اطلاعات شخصی و مالی شهروندان می‌کند.

بنا بر اعلام سایت پلیس فتا معمولا فیشینگ از طریق این روش‌ها صورت می‌گیرد: کلاهبرداران، اطلاعات شخصی افراد را از راه‌های مختلف مانند پروفایل شبکه‌های اجتماعی جمع‌آوری و از آن‌ها برای حمله علیه قربانی استفاده می‌کنند؛ کلاهبرداران، طی تماس تلفنی مدعی می‌شوند که از طرف سازمان‌های معتبر تماس گرفته و از ادبیاتی جذاب و فریبنده برای واقعی نشان دادن کلاهبرداری خود استفاده می‌کنند؛ یکی از شگردهای کلاهبرداران در هنگام مکالمه این است که با مطرح کردن موضوعات مختلف اجازه تمرکز و تصمیم‌گیری درست را از قربانی می‌گیرند؛ کلاهبرداران اغلب از شماره تلفن و کارت بانکی دیگران برای مخفی نگهداشتن هویت واقعی خود استفاده می‌کنند؛ هدف اصلی کلاهبرداران دسترسی به اطلاعات بانکی و هویتی مانند نام کاربری و رمز دوم بانکی است تا در نهایت به صورت غیر مجاز از حساب قربانی پول برداشت کنند.

علی‌رغم همه توصیه‌ها و سیستم‌های امنیتی در فضای مجازی، به نظر می‌رسد مهم‌ترین راه حل قربانی نشدن از طریق کلاهبرداری‌های این چنینی این است که با اعتماد زودهنگام و تحت تاثیر قرار گرفتن احساسات اجازه نداد، کلاه‌مان را بردارند.

منبع: پیوست