هکرها با مهندسی اجتماعی حساب‌ها را خالی می‌کنند؛ دیوار کوتاه مردم و بانک‌های غافل

به گزارش پیوست، مهندسی اجتماعی حالا به یکی از متداول‌ترین ابزارهای سرقت دیجیتال در ایران تبدیل شده است. جایی که هکرها نه با نفوذ به سامانه‌های پیچیده، بلکه با بازی‌کردن روی احساسات، ترس و نیاز مالی کاربران وارد می‌شوند. در این میان، فشار اقتصادی مردم، غفلت بانک‌ها در امن‌سازی ابزارهای پرداخت و رشد اپلیکیشن‌های واسط پرریسک، مثلثی ساخته که قربانیان اصلی آن، طبقه متوسط رو به ضعیف جامعه هستند.

فاطمه مشرفی، مدیرعامل شرکت دمسان رایانه، با اشاره به افزایش حملات سایبری و کلاهبرداری‌های دیجیتال در کشور می‌گوید: «گرچه آسیب‌های سایبری تنها محدود به افراد کم‌درآمد یا کم‌سواد نیست و امروز تمام گروه‌ها و طبقات اجتماعی، در معرض هک و سو استفاده‌های دیجیتال قرار دارند. اما عمده قربانیان این حملات را کاربران عادی و طبقه اجتماعی متوسط رو به ضعیف تشکیل می‌دهند که احتمالا ۷۰ درصد این اتفاق باشند. این افراد معمولاً سرمایه‌های کوچک‌تری دارند و در دام وعده‌هایی مثل سودهای سریع، واردات و صادرات نامعتبر، لیزینگ‌های غیرمجاز، فروشگاه‌های جعلی اینستاگرامی یا طرح‌های سرمایه‌گذاری فریبنده می‌افتند.»

مشرفی اضافه می‌کند: «در مقابل، حدود ۳۰ درصد قربانیان از افراد با سطح مالی بالاتر هستند، اما میزان خسارتی که متحمل می‌شوند به‌مراتب بیشتر است. این افراد اصولادر بازارهای رمزارزی فعالند، ریسک‌پذیرتر هستند و با اعتماد به کانال‌ها و پلتفرم‌های نامعتبر در معرض هک کیف‌پول‌های دیجیتال قرار می‌گیرند.»

او ادامه می‌دهد: «هکرها بیش از هر چیز روی نقاط ضعف‌ انسانی تمرکز می‌کنند و از نیازهای مالی افراد برای سواستفاده خود بهره‌ می‌برند اما باید تاکید کنم. سطح سواد یا میزان دارایی به‌تنهایی عامل تعیین‌کننده نیست. هر جا پول بیشتر و بازگشت سرمایه سریع‌تر وعده داده می‌شود، برنامه‌ریزی برای حمله و سواستفاده هم جدی‌تر خواهد بود.»

سرمایه‌های کوچک، طعمه وعده‌های بزرگ

مشرفی در زمینه نقش بانک‌ها در پیشگیری از این آسیب‌ها می‌گوید: «بخش بزرگی از برداشت‌های غیرمجاز نه از اپلیکیشن‌های رسمی بانک‌ها، بلکه از طریق نرم‌افزارهای واسط و غیررسمی انجام می‌شود؛ اپ‌هایی که خدمات چند بانک را یکجا ارائه می‌دهند اما سطح امنیتی آن‌ها قابل مقایسه با اپلیکیشن‌های رسمی بانکی نیست. در اپلیکیشن‌های بانکی، مسئولیت امنیت به‌طور مستقیم بر عهده خود بانک است، اما در نرم‌افزارهای واسط یا اصطلاحا پرداخت سازها اطلاعات حساسی مانند شماره کارت، CVV2 و رمز دوم در محیط‌هایی وارد می‌شود که امکان ذخیره یا نشت داده در آن‌ها وجود دارد. هکرها دقیقاً از همین مسیرها استفاده می‌کنند و در بسیاری از موارد، حتی حمله بلافاصله انجام نمی‌شود؛ اطلاعات جمع‌آوری می‌شود و چند ماه بعد، در زمان مناسب، حساب قربانی خالی می‌شود.»

مدیرعامل دمسان رایانه با اشاره به ضعف آگاهی عمومی در این باره راهکار اصلی را ترکیبی از فرهنگ‌سازی عمومی و سخت‌گیری نهادی می‌داند و توضیح می‌دهد: «از سمت مردم، اولین اصل این است که هیچ قیمت غیرمنطقی را بدون شک نپذیرند. کالایی که با اختلاف فاحش ارزان‌تر عرضه می‌شود، تقریباً همیشه پشتش یک سناریوی کلاهبرداری یا مهندسی اجتماعی وجود دارد.کلیک روی لینک‌ها، چه در اینستاگرام و تلگرام و چه در پیامک‌هایی با عنوان جریمه، ابلاغیه قضایی یا بسته‌های حمایتی، یکی از اصلی‌ترین درگاه‌های نفوذ است. بسیاری از این حملات زمان‌دار هستند و کاربر تصور می‌کند خطری متوجه او نیست، در حالی که اطلاعاتش ذخیره شده و در زمان مناسب مورد سواستفاده قرار می‌گیرد.»

مشرفی با اشاره به نقش بانک‌ها اضافه می‌کند: «بانک‌ها باید بیش از گذشته روی هشدارهای امنیتی، محدودسازی ابزارهای پرریسک و آموزش مستمر کاربران سرمایه‌گذاری کنند، اما در نهایت، خط مقدم مقابله با هک و کلاهبرداری، آگاهی و رفتار خود کاربران است. هکرها ابتدا نه سیستم‌ها، بلکه انسان‌ها را هدف می‌گیرند.»

طبق گفته مشرفی هکرها دقیقاً از هیجان، ترس یا طمع لحظه‌ای استفاده می‌کنند؛ چه وعده واریز پول باشد، چه تهدید به جریمه یا ابلاغیه قضایی.

او ادامه می‌دهد: «اگر کاربر چند ثانیه مکث کند و از خودش بپرسد چرا باید از لینک ناشناس وارد شوم، در بسیاری از موارد حمله خنثی می‌شود. قاعده ساده اما حیاتی این است؛ هیچ پیامکی مرجع خوبی برای وارد شدن به یک لینک اینترنتی نیست. مرجع همیشه اپلیکیشن رسمی بانک، سامانه ابلاغ الکترونیک قوه قضاییه یا وب‌سایت‌هایی است که آدرس آنها را خود کاربر به‌صورت مستقیم وارد می‌کند. رعایت همین اصل می‌تواند جلوی بخش بزرگی از کلاهبرداری‌های سایبری را بگیرد.»

بانک‌ها وظیفه امن‌سازی ابزار پرداخت را جدی نگرفته‌اند

مهدی عبادی، مدیرعامل وندار هم هم‌نظر با مشرفی معتقد است حدود ۷۰ درصد قربانیان از طبقه اقتصادی پایین جامعه هستند. او می‌گوید: «دسته اول قربانیان هک معمولاً با وعده‌هایی مانند وام، رمزارز رایگان یا سهام عدالت فریب خورده و روی لینک‌های پیامکی یا شبکه‌های اجتماعی کلیک می‌کنند و اطلاعات بانکی خود را وارد می‌کنند. دسته دیگر افرادی هستند که اپلیکیشن‌های بانکی جعلی را از منابع غیرمطمئن دانلود می‌کنند. دسته سوم، افرادی هستند که وارد حوزه رمزارز شده‌اند و اطلاعات کمی درباره این حوزه دارند. بسیاری از این افراد حساب‌های خود را برای اجاره در اختیار دیگران می‌گذارند و در نهایت گرفتار پرونده‌های قضایی می‌شوند.»

مدیرعامل وندار تأکید می‌کند که مشکل اصلی فقدان آگاهی و آموزش مداوم کاربران است. او اضافه می‌کند: «کشورهای پیشرفته، با آشنا کردن کاربران با فرایندهای پرداخت آنلاین و انجام تراکنش‌های روزمره باعث کاهش چشمگیر فیشینگ شده‌اند، اما در ایران بخش عمده جامعه، به ویژه در شهرها و روستاهای کوچک، با پرداخت آنلاین و توجه کافی به آدرس‌های سایت‌ها آشنایی کافی ندارد.»

عبادی همچنین نقش بانک‌ها را در کاهش فیشینگ حیاتی می‌داند و می‌گوید: «وظیفه اصلی بانک‌ها، امن کردن ابزارهای پرداخت الکترونیک است. تجربه کشورهای دیگر نشان می‌دهد که طراحی مناسب تجربه کاربری در صفحات پرداخت و آگاه‌سازی مستمر مشتریان، درصد فیشینگ را به شدت کاهش می‌دهد. سازوکار رمز دوم پویا تا حدی توانست میزان فیشینگ را کاهش دهد اما کافی نبوده و نیاز به روش‌های پیشرفته‌تر و آموزش مداوم کاربران وجود دارد.»

او اضافه می‌کند: «بانک‌ها و صادرکنندگان ابزارهای پرداخت باید به صورت فعال مسئولیت حفاظت از کاربران خود را بر عهده بگیرند و اقدامات پیشگیرانه را به شکل مستمر انجام دهند، نه صرفاً در زمان بحران یا پس از بروز حادثه. پس از شروع فعالیت‌های پرداخت الکترونیک در ایران و راه‌اندازی دستگاه‌های کارت‌خوان، تا سال‌ها بانک‌ها اقدامی برای افزایش امنیت انجام ندادند و تنها با ورود بانک مرکزی و راه‌اندازی رمز دوم پویا، سطح امنیت تا حدودی بهبود یافت. بدون ورود جدی بانک‌ها به مسئله امن‌سازی پرداخت‌ها و آموزش کاربران، فیشینگ همچنان تهدیدی جدی برای کاربران ایرانی خواهد بود و تجربه سال‌های گذشته نشان داده که روش‌های قدیمی مانند رمز دوم پویا برای مقابله با این تهدید کافی نیست.»

خلا آموزش عمومی درباره مهندسی اجتماعی به شدت احساس می‌شود

حامد غلامی کارشناس جرایم سایبری هم توضیح می‌دهد که کلاهبرداری‌های مهندسی اجتماعی محصول جامعه مدرن امروز هستند. او در این باره می‌گوید: «اصولا کلاهبرداری‌ها از مسیر احساسات و باورهای شخصی افراد شکل می‌گیرد. مثلاً فردی که دچار تنهایی یا شکست عاطفی است، وقتی در لینکی در یک شبکه اجتماعی پیام محبت‌آمیزی از فردی ناشناس دریافت می‌کند، راحت‌تر در دام می‌افتد. یا فردی که نیاز به پول دارد با وعده‌های مالی در این دام گرفتار می‌شود. متاسفانه باید این هشدار را بدهم که برخی از قربانیان پس از دست دادن پول خود، تصمیم می‌گیرند خودشان به جمع کلاهبرداران بپیوندند تا ضررشان را جبران کنند، که این مسئله چرخه جرم را گسترش می‌دهد.»

در ادامه غلامی به ضعف رسانه‌ها و نهادهای رسمی در اطلاع‌رسانی اشاره می‌کند و می‌گوید:«پیامک‌های هشدار پلیس فتا خشک و ناکارآمد هستند. در صورتی که باید آموزش عمومی و رسانه‌ گسترده‌تری وجود داشته باشد تا مردم بتوانند رفتارهای مهندسی اجتماعی را تشخیص دهند. نبود نهادهای غیردولتی تخصصی در حوزه مقابله با کلاهبرداری‌های سایبری به شدت محسوس است و پیشنهاد می‌شود چنین نهادهایی با حمایت دولت و ارتباط مستقیم با نهادهایی مانند بانک مرکزی و وزارت اقتصاد ایجاد شوند.»

او اضافه می‌کند: «پرونده‌هایی در ایران وجود دارد که در آن برخی فعالان رسانه‌ای یا کارشناسان سایبری، هنگام افشای پروژه‌های پانزی، مورد تهدید قرار گرفته‌اند و این نشان می‌دهد فعالان این حوزه از حمایت قانونی کافی برخوردار نیستند.»