مهندسی اجتماعی معاصر در ایران

با پیشرفت فناوری ارتباطات در جهان، جرایم در این حوزه نیز افزایش یافته است. یکی از راه های شایع پیشروی خلافکاران، مهندسی اجتماعی است. که خلاف کاران سعی می کنند با فیشینک، ویشینگ و… به اطلاعات حیاتی شما دست پیدا کنند. در ادامه به برسی مهندسی اجتماعی و چند نمونه حمله ی مهندسی اجتماعی در ایران می پردازیم.

مهندسی اجتماعی چیست؟

هر چه می گذرد امنیت اطلاعات شرکت های مختلف پیچید تر می شود. با اینکه راه های دفاعی در امنیت اطلاعات پیشرفته شده است ولی آیا راه های فریفتن افراد نیز کاهش یافته است؟ آیا برای غفلت افراد نیز راهی وجود دارد؟ افراد سودجو به جای نفوذ از سد های امینت سایبری سعی می‌کنند افراد را با روش های مختلف فنی و روانشناختی بفریبند تا به راحتی اطلاعات مورد نظر یا رمز عبور و نام کاربردی برای دسترسی به این اطلاعات را از کارکنان شرکت مد نظر بدست آورند. توضیحاتم را با یک مثال شروع می کنم. اکثر ما طوری تربیت شدیم که به مافوق (یا کسی که مثل مافوق رفتار می‌کند) احترام بگذاریم و هرچه گفت را انجام دهیم. اگر طوری رفتار شود که انگار صاحب شرکت صحبت می‌کند و اجازه دسترسی به اطلاعاتی شرکت وجود دارد که در واقع وجود ندارد، می‌توان دیگران را متقاعد کرد آنچه را که دنبالش هستید، در اختیارتان قرار دهند. مثلا در سال ۲۰۱۵، کارمندان مالی شرکت تکنولوژی یوبیکوئیتی نتورکس، میلیون‌ها دلار را به حساب کلاهبردارانی واریز کردند که ازطریق ایمیل‌های جعلی ادای مدیران شرکت را در می‌آوردند. در قدیم هم بازرسانی که برای روزنامه‌های انگلیسی کار می‌کردند، به شرکت مخابرات زنگ می‌زنند و با تظاهر به اینکه یکی از کارمندان این شرکت هستند، اجازه دسترسی به پیام‌های صوتی افراد مشهور را پیدا می‌کردند. به همین راحتی و با صرف کمترین هزینه، فرد سودجو به نتیجه ی مطلوب خود می رسد. گاهی نیز کلاهبرداران، ایمیل وب‌سایت‌های معتبر را جعل می‌کنند و برای شما لینکی می‌فرستند تا با کلیک روی آن امنیت حساب خود را تأیید کنید؛ غافل از اینکه این لینک به بدافزار آلوده است و شما به تصور اینکه این ایمیل واقعا از سمت شرکت معتبر فرستاده شده، به آن اعتماد کرده‌اید.

مهندسی اجتماعی در دوران مدرن و در حوزه امنیت سایبری، هنر فریب دادن، سواستفاده از نقطه‌ضعف‌ها و تحت تأثیر قرار دادن فرد برای انجام کاری که به ضرر او است یا دسترسی به داده‌های شخصی و حساس در سیستم‌های کامپیوتری است. هکر یا مهندس اجتماعی ازطریق تلفن، پیامک، ایمیل، درایو USB آلوده یا تعامل حضوری و به کمک ترفندهای زیرکانه‌ای موفق می‌شود آنچه را که به دنبالش است، نه صرفا به کمک بدافزار و حملات سایبری، بلکه تنها ازطریق پرسیدن از فردی که به این اطلاعات دسترسی دارد، به دست آورد.

این اطلاعات می‌تواند برای مقاسد مختلفی چون امنیتی و اقتصادی به کار رود. در این یادداشت با توجه به منابع موجود و مورد پژوهشی ایران، به موارد کلاهبرداری های اقتصادی توجه کرده ایم.

در ایران نیز چندی هست که با رشد ارتباطات، این نوع از کلاه برداری ها افزایش یافته است در ادامه سعی می‌شود شما را با چندی از موارد کلاهبرداری آشنا کنیم.

موارد کلاهبرداری های ارتباطی

Wangiri

این کلاهبرداری نام خود را از کلمه ژاپنی Wangiri گرفته است – “wan” به معنای “یک” و “giri” به معنای “قطع کردن” است. قربانیان یک تماس تلفنی از یک شماره خارج از کشور دریافت می کنند که فقط یک بار زنگ می خورد. اگر تماس را برگردانند، تبلیغی برای اشتراک یک خط چت ممتاز یا خدمات اینترنتی می‌شنوند. برای این تماس از قربانیان premium دریافت می‌شود که هزینه‌های مضاعفی بر تماس گیرنده وارد نماید.

این اتفاق اصولا از طریق ربات‌های تماس گیرنده خودکار و به صورت نرم‌افزاری با تعداد زیادی از شماره‌هایی که به طور رندوم ذخیره شدند، یک یا دو تماس کوتاه برقرار می‌کنند و فرد مخاطب وقتی این تماس‌های از دست رفته را می‌بیند به احتمال زیاد از سر کنجکاوی با آن‌ها تماس می‌گیرد.

کلاهبرداری Wangiri ریشه‌ای چند ساله دارد و برای اولین‌بار در سال ۲۰۱۳ در امریکا ظاهر شد و پس از آن طی سالیان، در حالی که بسیاری از امریکایی‌ها درگیر این کلاهبرداری شده‌اند، شهرتی جهانی یافت و در کشورهایی از جمله ایرلند، اسکاتلند و آلمان نیز گسترش یافت. همچنین از ابتدای سال میلادی، این شیوه کلاهبرداری بار دیگر به امریکا برگشته است و آمریکایی‌ها اخیرا شاهد افزایش شدید تماس‌هایی با این شیوه از سمت آفریقای غربی بوده‌اند. تماس با  کشور های آفریقایی هزینه نسبتا بالایی دارد و این اعتبار‌های از دست رفته، سود کلانی را به این شرکت‌های مخابراتی خارج از کشور می‌رسانند.

این تماس ها که معمولا از پیش شماره‌هایی مانند +678 ، +960 ،‌ +267 ، +2424 ، +592 و … متعلق به کشورهای وانواتو، مالدیو، ماداگاسکار، بوتسوانا، گینه، گویان و… رخ می دهند، فقط مختص ایران نبوده و در حال حاضر در کشورهای زیادی این پدیده در حال وقوع است.

مدتی قبل نیز در ایران تماس هایی از سوی  برخی کشور های آفریقای و هم چنین کشور عراق به دلیل ایام اربیعن دریافت شد. این تماس های ناشناس بود برای همین مخاطبان ایرانی به سمت برقرار مجدد تماس با این شماره های خارجی سوق پیدا می‌کردند و بعد از مدتی در می‌یافتند که هزینه‌ی گزافی را متحمل شده اند.

شاید برایتان جالب باشد که بدانید این کلاهبرداران چطور به شماره شما دست پیدا کرده‌اند. باید بدانید که وقتی به وبسایتی شماره تماس‌تان را برای ثبت نام یا هر منظور دیگر می‌دهید فرصت‌طلبان به روش‌های قانونی یا غیرقانونی اقدام به دریافت یا دزدیدن پایگاه‌های داده این سایت‌ها می‌کنند، که حاوی همه اطلاعات کاربران از جمله شماره تلفن آنان می‌باشند. بارها با همین روش اطلاعات افراد به سرقت رفته است و حتی گاهی خود سایت‌ها اطلاعات افراد را به این افراد سودجو می‌فروشند.

چند توصیه مهم:

اگر چنین تماسی دریافت کردید بهتر است کلا آن را نادیده بگیرید. اگر شخص تماس گیرنده با شما کار واجبی داشته باشد، قطعا دوباره تماس خواهد گرفت.

 ممکن است تماس دریافتی از عراق باشد. اگر آشنایی در عراق دارید یا آشنایی دارید که به عراق و کربلا سفر کرده، پیش شماره عراق شماره 964 است.

فیشینگ از طریق Masked Phone Numbers

شماره‌های «تلفن ماسک‌شده» یک الگوی رایج برای ناشناس نگه داشتن ارتباطات بین چند طرف یا مخفی کردن شماره تلفن شرکت‌کنندگان است. کاربران به جای تماس مستقیم از تلفنی به تلفن دیگر، از طریق یک شماره تلفن شخص ثالث (پروکسی) ارتباط برقرار می کنند.

چندی پیش بود که  پلیس فتا با ارسال پیامک انبوه به همه هموطنان هشدار داد: «هر پیام دریافتی از شماره شخصی با متن ثنا، ابلاغیه قضایی، تخلف یا مسدودی اموال شما یا ثبت نام واکسن، جعلی و به قصد سرقت اطلاعات حساب شماست.»[1]

قضیه از این قرار بود شماره تلفن های شخصی و برخی با شماره های ماسک شده اقدام به ارسال پیامک های حاوی لینکی کرده اند. این پیام‌ها شما را تشویق به کلیک کردن بر روی لینک‌هایی می‌کنند که بعد از کلیک کردن روی لینک، گوشی شما هک خواهد شد.

اکثر پیامک‌های جذاب و فریب‌دهنده کلاهبرداران در حوزه خدمات‌رسانی به شهروندان، بخشودگی مالی، پیدا کردن گنج، برنده شدن در قرعه‌کشی، پیامک بن تخفیف کالا، مراجعه به مراجع قانونی و … است که این پیامک‌ها معمولاً بیشتر در ایام و مناسبت‌های خاص مانند ثبت نام کارت سوخت، هدفمندی یارانه‌ها، ثبت نام سبد کالا، رجیستری تلفن همراه، اعلام جوایز بانکی و … به صورت انبوه توسط کلاهبرداران به افراد ارسال می‌شوند.

سرهنگ مصطفی نوروزی، رئیس مرکز مبارزه با جرائم ملی و سازمان یافته پلیس فتا در مورد پیامک‌های جعلی بانکی و حقوقی گفت: پیامک‌هایی با این عنوان که از شما شکایتی شده برای شهروندان ارسال می شود؛ این نوع پیام‌ها سبب می‌شود تعادل فکری هموطنان از بین برود و ناخواسته لینک جعلی را باز کنند و در چنین شرایطی است که هموطنان در دام کلاهبرداران می‌افتند و به واسطه پرداخت مبلغ اندکی پول اطلاعات کارت از طریق بدافزارهای نصب شده، در اختیار کلاهبردان قرار می گیرد.

چند توصیه مهم:

1. یکی از جرایم شایعی که در بستر پیام‌رسان‌ها اتفاق می‌افتد استفاده از لوگوی ادارات و نهادهاست که در این زمینه هموطنان باید توجه داشته باشند که هیچ نهادی در کشور به استفاده از شبکه‌های اجتماعی غیربومی مجاز نیست و نمی‌توانند از این طریق با هموطنان تماس بگیرند.
2. پیامک‌ جعلی دو مشخصه مهم دارد. ابتدا اینکه این پیامک‌ها با سر شماره‌ معمولی ارسال می‌شود و دیگر مشخصه لینک موجود در پیامک است.
3. شهروندان باید بدانند تنها سرشماره پیامک‌های قوه قضائیه Adliran و برای پلیس فتا با police Fata ارسال می‌شود. همچنین تنها سامانه‌ای که در پیامک‌های قوه قضائیه معرفی می‌شود که به آن رجوع کنند سامانه ثنا است.
4. هیچ فرد و نهادی حق گرفتن اطلاعات حساب شما را ندارد و درخواست مراجعه به خودپرداز یعنی کلاهبرداری.
5. سرهنگ مصطفی نوروزی، رئیس مرکز تشخیص ‌و پیشگیری از جرائم سایبری پلیس فتا ناجا گفت: هیچ گونه لینکی همراه پیامک های قضایی برای شهروندان ارسال نمی شود، چنانچه پیام‌هایی با عنوان ابلاغیه‌های قضایی دریافت کردند که حاوی لینک پرداخت بود، به‌هیچ‌وجه روی لینک مربوطه کلیک نکنند.
6. پیامک‌هایی مانند ” از شما شکایت گردیده ” که از سرشماره‌های ناشناس برای کاربران ارسال می گردد نامعتبر بوده و به هیچ عنوان کاربران فضای مجازی برروی لینک‌های دریافتی از طریق این پیامک‌ها کلیک نکنند.
7. لینک موجود در پیامک‌های جعلی کاربر را به درگاه پرداخت الکترونیکی هدایت می‌کند و در ازای مبلغ ناچیز رمز دوم را می‌خواهد که معمولا در بار اول رمز را قبول نمی‌کند و می‌گوید اشتباه است، درصورتی که رمز دوم کاربر اشتباه نیست و کلاهبرداران با این کار زمان می‌خرد تا بتواند از حساب قربانی پول برداشت نمایند.

ویشینگ با تماس های تلفنی

در یک حمله فیشینگ ، هکرها از ارتباطات نوشتاری (به عنوان مثال ایمیل یا پیام کوتاه) به عنوان یک منبع معتبر برای سرقت اطلاعات شخص استفاده می کنند. اما در کلاهبرداری ویشینگ از تماس تلفنی استفاده می شود که می تواند تهدیدکننده تر از ایمیل یا پیام کوتاه باشد ویشینگ یک عمل کلاهبردارانه است که در آن کلاهبردار با استفاده از ترفندهای مهندسی اجتماعی و از طریق سیستم های تلفن، به طور غیر مجاز اقدام به دسترسی به اطلاعات شخصی و اطلاعات حساس مالی مردم می کند.

در این شیوه کلاهبرداری افراد کلاهبردار عموما با استفاده از یک شماره خاص که شبیه به شماره بانک‌ها یا سازمان های دولتی است، خود را مامور بانک یا دولت معرفی و از قربانی اطلاعات هویتی و اطلاعات کارت بانکی او را دریافت و در اولین فرصت اقدام به برداشت از حساب شخص یا سرقت هویت انجام می دهند.

Vishing با استفاده از اعتماد مردم به تلفن های ثابت که به نام سازمان یا شخص ثبت شده است، اقدام به جلب اعتماد و کلاهبرداری از آنها می‌کنند. مهم ترین هدف vishing سرقت اطلاعات کارت بانکی افراد یا اطلاعات هویتی شخص برای استفاده در سرقت هویت است.

توسعه اخیر سیستم‌های تماس صوتی مبتنی بر IP باعث شده که بتوان با رایانه از هر نقطه‌ای از جهان به نقطه‌ای دیگر تماس گرفت. علاوه بر این، هزینه این تماس‌ها به میزان زیادی کاهش پیدا کرده است.

ترکیب این ویژگی‌ها موجب شده استفاده از این روش برای فیشرها از نظر اقتصادی بسیار مقرون به صرفه شود. بنا به دلایل زیر انتظار می‌رود که نرخ موفقیت ویشینگ نسبت به سایر روش‌های فیشینگ بیشتر باشد:

• سیستم‌های تلفنی نسبت به پیام­رسان‌های اینترنتی سابقه طولانی‌تری داشته و اعتماد کاربران به آنها بیشتر است.
• در صورت استفاده از تماس تلفنی به جای ارسال ایمیل می‌توان به افراد بیشتری دسترسی پیدا کرد.
• سیستم‌های اعتبارسنجی خودکار تماس، پذیرش و کاربرد زیادی بین مردم پیدا کرده‌اند.
• تلفن باعث می‌شود که دسترسی به گروه‌های جمعیتی خاصی مثل سالمندان آسان‌تر شود.
• می‌توان برای افزایش احتمال موفقیت، زمان تحویل پیام را تنظیم کرد.
• سیستم تلفن، امکان تنظیم و شخصی­‌سازی پیام‌های مهندسی اجتماعی را فراهم می‌کند.
• استفاده روز افزون از مراکز تماس باعث شده مردم نسبت به غریبه‌هایی که ممکن است اطلاعات محرمانه آنها را درخواست کنند، با استقبال بهتری برخورد کنند.

هر چند راه‌های مختلفی برای انجام حمله ویشینگ (Vishing) وجود دارد ولی لازم است انواع داده‌هایی را که مهاجمین با استفاده از سرویس‌های تلفنی مبتنی بر IP به راحتی جمع‌آوری می‌کنند، شناسایی کنیم. معمولاً در هنگام پاسخ دادن به یک حمله ویشینگ با گوشی موبایل، اطلاعات عددی راحت‌تر در اختیار مجرمین قرار داده می‌شوند.

ارزشمندترین اطلاعات برای فیشرها عبارتند از:

• اطلاعات کارت اعتباری (از جمله شماره کارت، CVV2 و رمز دوم کارت)
• شماره شناسایی شخصی (PIN)
• تاریخ تولد
• شماره بیمه (تأمین اجتماعی)
• کد ملی
• شماره کارت‌های مخصوص مشتریان وفادار
• شماره پاسپورت.

موارد اصلی استفاده از اطلاعات جمع‌آوری شده از طریق حملات ویشینگ (Vishing) عبارتند از:

• کنترل کردن حساب‌های مالی قربانیان
• سرقت هویت
• ثبت درخواست وام و کارت اعتباری
• انتقال وجه، سهام و اوراق بهادار
• مخفی کردن فعالیت‌های مجرمانه مثل پولشویی
• به دست آوردن اسناد مسافرتی شخصی
• دریافت مزایای دولتی.

در ایران نیز کلاهبرداری‌هایی از این قبیل دیده شده است. تقریبا یک سال پیش بود که یکی از شهروندان با مراجعه به پلیس فتا تهران بزرگ، مدعی شد مبلغ ۵۰ میلیون تومان به صورت غیرمجاز از حساب وی برداشت شده است.

وی گفت حدود ساعت ۱۶، به تازگی از محل کار به منزل رفته بودم که شخصی ناشناس از طریق نرم افزار واتس‌اپ تماس گرفت و با لحن موجه و شور و هیجانی که در صدای خود داشت، در ابتدا خود را از عوامل رادیویی معرفی و با ادب و احترام احوال‌پرسی کرد و گفت، از برنامه معروف رادیویی تماس می‌گیریم و در حال حاضر یکی از بازیگران معروف سینما و تلویزیون در استودیو حضور دارد و به قید قرعه شما برنده یکصد میلیون ریال کمک هزینه خرید لوازم خانگی شده‌اید و تا لحظاتی دیگر به پخش زنده خواهیم رفت.

بعد از این تماس کوتاه، تیزر برنامه برای بنده پخش شد و به صورتی که گویا هم اکنون روی آنتن زنده مشغول صحبت با مردم، شنوندگان برنامه و آن مقام یا فرد معروفی هستم که در استودیو حضور دارد، در این زمان من بی‌خبر از همه جا، پس از مدتی که پیام خود را بیان کردم و به سوالات بی‌محتوای مجری‌نمای کلاهبردار پاسخ دادم، فرد کلاهبردار به من گفت پشت خط منتظر بمانید تا همکارانم، من را برای گرفتن جایزه راهنمایی کنند.

در نهایت فردی که در ابتدا تماس را برقرار کرده است، با شاکی وارد گفتگو می‌شود، از او مشخصات و شماره کارت بانکی را می‌پرسد و بعد با بهانه‌هایی از قبیل این که: «ما باید مطمئن شویم شماره حساب شما متعلق به خودتان است» و «شماره ای که به تلفن شما ارسال شده، شناسه واریزی است که ما با آن برای شما پول پرداخت می کنیم» شاکی را مجاب می‌کند محتویات پیامکی که برای وی ارسال شده را به او اعلام کند و با به دست آوردن اطلاعات محرمانه بانکی که خود شاکی در اختیار آنان قرار می‌دهد اقدام به کلاهبرداری و برداشت غیرمجاز از حساب بانکی مال باخته می‌کنند.

بهترین کاری که می توان برای مقابله با مهندسی اجتماعی انجام داد این است که از دادن اطلاعات حیاتی خود مانند شماره شناسایی شخصی، تاریخ تولد، شماره بیمه (تأمین اجتماعی)، کد ملی، شماره کارت‌های مخصوص مشتریان وفادار و شماره پاسپورت به افراد ناشناسی پشت تلفن خود داری کنید.

--- (۱۴۰۰ , مهر 6). Retrieved from  زومیت : https://www.zoomit.ir/security/374861-social-engineering-complete-guide/#social-engineering-examples
--- Retrieved from  scamalert : https://www.scamalert.sg/scam-details/wangiri-scam
--- (2019، دسامبر 11). Retrieved from  البان: https://b2n.ir/t47360
--- (1400، شهریور 8). Retrieved from  ایسنا : https://b2n.ir/h68634
--- (1400، مهر 25). Retrieved from  hamyab24 : https://hamyab24.ir/blog/overseas-phone-calls-are-scams/
--- (2020، نوامبر 7). Retrieved from  آتین : https://authin.ir/vishing /
--- (1400، فروردین 19). Retrieved from  تابناک : https://b2n.ir/e91181