کلاهبرداری های مجازی وارد فاز مهندسی اجتماعی شدهاند: اجازه بدهید کلاهتان را برداریم!
کلاهبرداری های کوچک و بزرگ در فضای مجازی نشان میدهد که انگار افزایش حداکثری میزان امنیت اطلاعات بانکی هم نتوانسته مانع از این سرقتها شود و اینبار پای روشی در میان است که اتفاقا خودتان به سارقان اجازه میدهید تا کلاهتان را بردارند؛ شیوهای که ردپای آن علاوه بر اینکه در بزرگترین کلاهبرداری های الکترونیکی دنیا دیده میشود، در سرقت های کوچک حین خرید از یک فروشگاه اینترنتی لباس نیز قابل مشاهده است.
نیمه دوم سال ۹۸ پس از راهاندازی رمزپویا و جایگزینی آن با رمزایستا بانک مرکزی و پلیس فتا هر دو خبر از کاهش میزان فیشینگ دادند. پلیس فتای تهران همان زمان اعلام کرد که فقط در تهران میزان پروندههای فیشینگ ۵۰ درصد کاهش یافته است و بانک مرکزی نیز خبر از کاهش ۸۵ درصدی سرقت اطلاعات بانکی با استفاده از رمز پویا داد با این وجود اما حتی حالا که چند سالی از ایجاد و راهاندازی سیستم رمز یک بار مصرف در اغلب بانکها میگذرد، باز هم هر روزه خبر از کلاهبرداریهای کوچک و بزرگ در فضای مجازی به گوش میرسند.
هر چند این در حالیست که به گفته کارشناسان، اگرچه فیشینگ با فعال شدن رمز پویا کمتر شده، اما رمز یک بار مصرف به هیچ وجه امنیت صد درصدی را میسر نمیکند.
حتی در روزهای اخیر مشتریان برخی بانکها مجددا شاهد هشدارهای پیامکی از سوی بانک بودهاند و پیامکهایی را مبنی بر ضرورت خودداری از واگذاری اطلاعات کارت بانکی به دیگران دریافت کردهاند.
چنین توصیههایی در نگاه اول اندکی بدیهی به نظر میرسد و دریافتکننده این پیامها با خود فکر میکند هرگز چنین کاری نخواهد کرد؛ اما به اواسط جولای سال ۲۰۲۰ برگردیم، هنگامیکه ماجرای هک توییتر و کلاهبرداری بیت کوین رخ داد؛ حملهای که به گفته ساشا ایوانو، کارآفرین ارز دیجیتال و موسس «ویوز» میتوانست جنگ جهانی سوم را آغاز کند اما تنها به کلاهبرداری ۱۲/۸ بیتکوین (حدودا معادل ۱۲۰هزار دلار در آن زمان) قناعت کرد و به ماجرا پایین داد.
صرفه نظر از چگونگی دسترسی به حسابهای کاربری افراد مشهور در توییتر، هکرها پس از آن هیچ دسترسی غیرمجازی برای دریافت بیتکوین نداشتند، و تنها خود را جای چهرههای مشهور جا زدند و اعتماد کاربران را برای دریافت بیتکوین جلب کردند. برای مثال در حساب توییتر بیل گیتس توییتی با این مضمون منتشر شده بود که «همه از من می خواستند که دین خود را ادا کنم و حالا زمان آن رسیده است، من تمامی پرداختیها به آدرس بیتکوین زیر در ۳۰ دقیقه آینده را دو برابر خواهم کرد. شما هزار دلار ارسال می کنید و من برای شما ۲ هزار دلار ارسال خواهم کرد»
در ماجرای کلاهبرداری از طریق هک توییتر هر چند که کاربران اطلاعات بانکی خود را در اختیار کسی قرار ندادند اما مستقیما پولشان را در جیب سارقان گذاشتند.
مواردی این چنینی نه تنها فقط از طریق کلاهبرداری با رمزارزها و پشت نقاب چهرههای مشهور اتفاق نمیافتد بلکه در مدت اخیر بسیار هم رایج شده است؛ بارها شنیدهایم یا حتی برایمان پیش آمده است که پیامی را در شبکههای اجتماعی به خصوص در تلگرام از سوی یکی از دوستان یا اقواممان مبنی بر اینکه او به کمک نیازمند است، دریافت کنیم. ممکن است در آن لحظه بی آن که بخواهید احساسات شما به سرعت درگیر شود و فورا از طریق شماره حساب ارسالی اقدام به کمک کنید، در حالی که نه پای کمکخواهی در میان است و نه اصلا آشنایی.
هکرها از طریق دسترسی به حساب کاربری شخص به مخاطبان او پیامهایی مبنی بر درخواست کمک ارسال و از این طریق سعی در کلاهبرداری و اخاذی میکنند. در حال حاضر مشخصترین روش برای پیشگیری از کلاهبرداریهای این چنینی فعال کردن تایید دو مرحلهای حسابهای کاربری جهت دسترسی پیدا نکردن هکرها به آن است اما راه حل قطعی شاید تنها این است که زود احساساتی نشوید!
البته روشهای کلاهبرداری به این سبک فقط به این موارد ختم نمیشوند.
گاهی هم ممکن است یک پیامک برای شما ارسال شود که در لحظه اول هیجانزدهتان کند و بعد به این فکر فرو ببرد که این مبلغ مربوط به حقوقتان است، واریز وامتان و یا بازگشت قرض به یکی از دوستانتان! اما واقعیت این است که در حال قرار گرفتن در دام کلاهبرداری پیامکی هستید.
مشترکانی که در وضعیتی مشابه قرار گرفتهاند، میگویند که پیامکی مبنی بر اینکه مبلغی به حسابشان واریز شده دریافت کردهاند و بعد با آنها تماس گرفته شده که مبلغ، اشتباهی به حساب آنها رفته و پول را به شماره کارتی که اعلام میشود، برگردانند.
اما نه آن تماس واقعیست و نه آن واریز؛ پیامک واریز وجه اصلا از سامانه پیامکی بانک ارسال نشده و از شماره تلفنی متفرقه آمده است که البته ظاهرا کلاهبرداران برای فریب بیشتر از شماره تلفنهای نسبتا رند و با تکرار چند صفر پشت سر هم استفاده میکنند، تا به خیالشان اختلافی میان این پیامک با پیامکهای بانک به نظر نرسد.
فریب دادن از طریق پیامکی که به سامانه «همتا» نسبت داده میشود هم از روشهای دیگریست که به کلاهبرداری از مشترکین ختم میشود.
ماجرا از این قرار است که پس از اجرای طرح رجیستری، ارسال پیامکهایی به اسم همتا به همراه آدرسهای جعلی و صفحههایی که مانند سامانه همتا طراحی شده، اتفاق تازهای نیست اما هر بار به روشی صورت میگیرد. پیش از این بارها اتفاق افتاده که پیامکی برای برخی افراد ارسال و از آنها خواسته شده جهت جلوگیری از قطع شدن تلفن همراه، مبلغی را پرداخت کنند. در یکی از جدیدترین نمونههای این کلاهبرداری، با هدایت کاربران به سایتهای فیشینگ، اطلاعات را از آنها درخواست میکنند.
جان کلام اینکه حلقه مشترک میان همه این کلاهبرداریها که شما را به از دست دادن مالتان چه از طریق درخواست کمک از یک دوست و چه از طریق یک صفحه جعلی فروش لباس یا لوازم بهداشتی وادار میکند، چیزی جز مهندسی اجتماعی نیست.
به گفته پلیس فتا فیشینگ، یک عمل کلاهبردارانه است که در آن کلاهبردار با استفاده از ترفندهای مهندسی اجتماعی و از طریق تماس تلفنی، اقدام به جمعآوری اطلاعات شخصی و مالی شهروندان میکند.
بنا بر اعلام سایت پلیس فتا معمولا فیشینگ از طریق این روشها صورت میگیرد: کلاهبرداران، اطلاعات شخصی افراد را از راههای مختلف مانند پروفایل شبکههای اجتماعی جمعآوری و از آنها برای حمله علیه قربانی استفاده میکنند؛ کلاهبرداران، طی تماس تلفنی مدعی میشوند که از طرف سازمانهای معتبر تماس گرفته و از ادبیاتی جذاب و فریبنده برای واقعی نشان دادن کلاهبرداری خود استفاده میکنند؛ یکی از شگردهای کلاهبرداران در هنگام مکالمه این است که با مطرح کردن موضوعات مختلف اجازه تمرکز و تصمیمگیری درست را از قربانی میگیرند؛ کلاهبرداران اغلب از شماره تلفن و کارت بانکی دیگران برای مخفی نگهداشتن هویت واقعی خود استفاده میکنند؛ هدف اصلی کلاهبرداران دسترسی به اطلاعات بانکی و هویتی مانند نام کاربری و رمز دوم بانکی است تا در نهایت به صورت غیر مجاز از حساب قربانی پول برداشت کنند.
علیرغم همه توصیهها و سیستمهای امنیتی در فضای مجازی، به نظر میرسد مهمترین راه حل قربانی نشدن از طریق کلاهبرداریهای این چنینی این است که با اعتماد زودهنگام و تحت تاثیر قرار گرفتن احساسات اجازه نداد، کلاهمان را بردارند.
منبع: پیوست
نظرات کاربران