قرن بیست و یکم قرن کلاهبرداری

کلاه‌برداری، شیادی و اعتماد به نفس، از زمانی که بشر شروع به ابداع تجارت و بازرگانی کرد وجود داشته‌ است. اگر یک سیستم ارزش‌گذاری به کار بسته شود، از برخی زوایا می‌توان به موضوع نگاه کرد و فروختن برج میلاد کار چندان سختی نخواهد بود. ظهور شبکه‌های اجتماعی و سبک زندگی همیشه متصل ما بر این مشکل دامن زده و به دغل‌کاران بی‌وجدان، دسترسی دائمی به هر چیزی را در سراسر جهان داده است. اما پلتفرم‌های اجتماعی در حال دست زدن به کارهایی هستند که می‌تواند به این هجوم کلاهبرداران مالی خاتمه دهد.

توییتر به صورت خاص طی سال‌های اخیر با موارد متعددی از کلاه‌برداری‌های مالی رو به‌ رو شده است. در ماه ژانویه، این پلتفرم به اشتباه توییتی را پروموت کرد که در نگاه نخست مانند اکانت پی‌پالی قابل اعتماد به نظر می‌رسید و جوایزی در پایان سال را وعده می‌داد؛ از جمله یک ماشین یا یک آیفون جدید. تنها کاری که لازم بود انجام شود، تایید جزییات اکانت‌ آن‌ها بود. در واقع یک تلاش ساده برای فیشیگ که به راحتی از پروسه نظارت بر تبلیغات توییتر رد شده بود. به محض اطلاع از این اشتباه، توییتر اکانت مورد نظر را بست.

سال گذشته یک مرد بریتانیایی که از مدت زمان لازم برای راه‌اندازی یک اکانت در بانک Barclays خسته شده بود، ناراحتی‌اش را به توییتر برد – همان‌طور که برای بسیاری اتفاق می‌افتد. او ضمناً اسکرین‌شاتی از ایمیلی که بانک برایش فرستاده بود را پست کرد که شامل اطلاعات شخصی می‌شد. کلاه‌برداران با استفاده از آن اطلاعات، ایمیل دیگری برای او فرستادند و او تصور کرد از طرف بانک است. به این ترتیب، ۸ هزار یورویی که او قصد داشت میان دو اکانت جابه‌جا کند به سرقت رفت.

«من را هدف قرار دادند چون آن‌ها بر کانال توییتری پشتیبانی مشتری بانک‌های بزرگ نظارت می‌کنند و می‌توانند اطلاعات کافی از نام‌ها، لوکیشن‌ها و تصاویر به دست آورند و با آن‌ها، اطلاعاتی باز هم بیشتر پیدا کنند.» این‌ها سخنان آن مرد در مصاحبه با بی‌بی‌سی نیوز بود. نکته اخلاقی اینکه هیچوقت هنگام عصبانیت توییت نکنید.

موضوع همیشه هم درباره پول نیست. در سال ۲۰۰۹ و بعد در سال ۲۰۱۴، توییتر پر شده بود از کرم‌های پروپاگاندا. آن‌ها از فرمان‌های مبتنی بر جاوا اسکریپت تعبیه شده در خود پیام‌ها استفاده می‌کردند تا هر اکانتی که از طریق توییت‌دک آن‌ها را می‌دید، به صورت خودکار ری‌توییت‌شان کند. در سال ۲۰۱۴، یک حمله تزریق اسکریپت از طریق وب‌گاه (Cross-Site Scripting) که توسط کاربری به نام derGeruhn@ انجام شد، پیش از اینکه متوقف شود ۸۷ هزار اکانت‌ را تحت تاثیر قرار داد. خوشبختانه به نظر می‌رسد مقاصدی کلاه‌بردارانه پشت این بازی با باگ امنیتی توییت‌دک نبوده است؛ حمله‌ به خاطر اشتباهی در برنامه‌نویسی انجام شد که از فیلتر کردن فرمان‌های جاوا اسکریپت از بدنه پیام‌ها جلوگیری می‌کرد. از آن زمان به بعد، آسیب‌پذیری مورد اشاره رفع شد.

جرمی گراسمن، مدیرعامل پیشین WhiteHat Security طی ماه ژوئن اخیر به خبرگزاری Ars Technica گفت: «فیلتر بای‌پس در این مورد اندکی دردسرساز بود. اسکریپتینگ میان-سایتی مثل یک سوسک است. هیچ راهی برای نابودسازی کاملش وجود ندارد. مهم نیست چقدر سخت تلاش می‌کنید و چقدر سرمایه‌گذاری، در نهایت قرار است اشتباه کنید.»

حتی توییت‌های به ظاهر بی‌آزار که از شما می‌پرسند فیلم مورد علاقه‌تان چیست یا تصویری از سگ‌تان بفرستید، مانند چیزی که در پایین می‌بینید، می‌توانند خطرناک باشند. به این خاطر که معمولاً اطلاعاتی را طلب می‌کنند که در چالش‌های احراز هویت اکانت‌ها خواسته می‌شوند.

«بله، به این کار آراستن [Grooming] گفته می‌شود». سینتیا هثرینگتون، متخصص کشف کلاه‌برداری مدیر گروه Hetherrington، سازمانی فعال در زمینه مشاوره تحقیقات سایبری ادامه می‌دهد: «کاری رایج در زمینه جمع‌آوری اطلاعات است. در حال حاضر عموم مردم در حال عادت کردن به آن هستند. این روشی برای استخراج دیتا از مردم است تا از طریق آن به اطلاعاتی حیاتی نظیر پسوردهایشان، نام‌های کاربری‌شان یا اطلاعاتی که برای احراز هویت کاربرد دارند دسترسی یابند.»

حتی جک دورسی، هم‌موسس و مدیرعامل توییتر هم از کلاه‌برداری در پلتفرم کمپانی‌اش در امان نیست
شدیداً غیرمحتمل است که دیوید لیویت، خبرنگار چندرسانه‌ای برنده جایزه که تایید توییتر را هم دریافت کرده کلاه‌بردار باشد، اما تمام جهان قادر به مشاهده توییت‌هایی که در پاسخ به سوالات او فرستاده می‌شوند خواهند بود. هرکسی می‌تواند از آن اطلاعات برای ساخت پرونده‌ای درباره یک نفر استفاده کند؛ درست مانند همان مرد بخت‌برگشته‌ای که پیش‌تر درباره‌اش صحبت کردیم. بنابراین تنها یک پاسخ درست هنگام مشارکت در این میم‌های توییتری وجود دارد: اینکه از اساس دروغ بگویید.

حتی جک دورسی، هم‌موسس و مدیرعامل توییتر هم از کلاه‌برداری در پلتفرم کمپانی‌اش در امان نیست. همین ماه آگوست اخیر، اکانت او برای مدتی کوتاه و از طریق تکنیکی به نام SIM Swapping ربوده شد. مهاجمین از اپلیکیشنی به نام Cloudhopper که توییتر در سال ۲۰۱۰ میلادی خرید و امروز کاملاً به دست فراموشی سپرده شده استفاده کردند. Cloudhopper به کاربران اجازه می‌دهد با استفاده از پیامک، وارد اکانت خود شده و توییت کنند. با اندکی برنامه‌نویسی، مهاجمین توانستند شماره تلفن دورسی را جعل کنند و به اکانت او دسترسی یابند.

آخرین موارد نفوذ به اکانت‌های توییتر، به نظر باعث شده‌اند که صبر این پلتفرم اجتماعی لبریز شود. طی ماه‌های بعد از هک اکانت جک دورسی، توییتر خبر از بازنگری در قوانین مرتبط با رفتار کاربران در سایت و در زمینه کلاه‌برداری‌های مالی داد.

در قوانین تازه توییتر آمده: «ما می‌خواهیم توییتر جایی باشد که مردم در آن قادر به برقراری روابط انسانی و دسترسی به اطلاعات قابل اعتماد هستند. به همین خاطر، نمی‌توانید از سرویس‌های توییتر برای فریب و ترغیب دیگران به ارسال پول یا اطلاعات مالی از طریق تاکتیک‌های کلاه‌برداری، فیشینگ یا متدهای شیادانه و فریب‌آمیز استفاده کنید».

توییتر به صورت خاص چهار روش رایج کلاه‌برداری را نیز باز کرده است:

کلاه‌برداری از طریق برقراری ارتباط و جلب اعتماد:

شما نمی‌توانید از طریق مدیریت یک اکانت تقلبی یا ایفای نقش به عنوان شخصیتی شناخته شده یا یک سازمان، دیگران را فریب داده و آن‌ها را به ارسال پول یا اطلاعات مالی شخصی ترغیب کنید.
این یعنی کلاه‌برداری‌های مرتبط با رمزارز که اخیرا در توییتر به وفور دیده می‌شوند، متدهایی هستند که به خاطرشان در توییتر بن می‌شوید. در این روش از کلاه‌برداری، شیادان با دستکاری آواتار خود، از یک شخصیت مطرح در زمینه رمزارز تقلید می‌کنند و با استفاده از شباهت به وجود آمده، گوش دارندگان بیت‌کوین را می‌برند.

شگردهای افزایش تصاعدی پول:

شما اجازه ندارید از شگردهای افزایش تصاعدی پول استفاده کنید (برای مثال به کسی تضمین دهید که در ازای یک پرداخت ابتدایی کوچک، مقادیر عظیمی از پول را دریافت خواهند کرد).
این همان شگردی است که در صحبت‌های روزمره به عنوان کلاهبرداری به روش «شاهزاده نیجریه» شناخته می‎شود. در ازای سپرده‌ای ناچیز، انبوهی از پول ظاهراً روانه جیب‌تان خواهد شد.

تخفیف‌های کلاه‌بردارانه:

شما اجازه ندارید از ترفندهایی استفاده کنید که در آن به دیگران تخفیفی داده می‌شود و مابه‌التفاوت هزینه از طریق کارت‌های اعتباری یا اطلاعات مالی به سرقت رفته پرداخت می‌شود.
فیشینگ:

شما اجازه ندارید خود را به عنوان بانک یا دیگر موسسات مالی‌ معرفی کنید که نیازمند اطلاعات مالی و شخصی افراد هستند. در نظر داشته باشید که فرم‌های دیگر فیشینگ برای دستیابی به چنین اطلاعاتی هم تخطی از قوانین دست‌ورزی و اسپم پلتفرم‌ ما به حساب می‌آیند.
بنابراین چه در حال جا زدن خود به جای شخصی دیگر برای پخش یک اسپم باشید و چه از هویت آن‌ها برای نصب باج‌افزار استفاده کنید، هم‌چنان در حال تخطی از قوانین توییتر در قبال فیشینگ خواهید بود.

اگرچه این تغییرات در قوانین، اکثر جنبه‌های کلاه‌برداری آنلاین را پوشش می‌دهند، هثرینگتون می‌گوید که اشکال دیگری از کلاه‌برداری نیز وجود دارد که کاربران باید از آن‌ها آگاه باشند.

«یکی از ترندترین روش‌های فعلی، کلاه‌برداری با تبلیغاتی است که از طریق پلتفرم‌های شبکه اجتماعی نشر پیدا می‌کنند»
«یکی از دردسرساز‌ترین و ترندترین روش‌های فعلی، کلاه‌برداری با تبلیغاتی است که از طریق پلتفرم‌های شبکه اجتماعی نشر پیدا می‌کنند.» هثرینگتون اضافه می‌کند که انبوهی از تبلیغات مرتبط با کسب‌وکارهای قانونی در شبکه‌های اجتماعی وجود دارد، اما «به ازای هر کمپانی خوب و قابل اعتماد، احتمالاً چهار خرده‌فروشی کلاه‌بردار وجود داشته باشد که ورژنی غیر اصلی از یک محصول را ارائه می‌کنند یا خیلی ساده به شگردهای کلاه‌بردارانه متکی هستند.» به محض اینکه نوبت به یک اکانت کلاه‌برداری می‌رسد و از سوی توییتر مسدود می‌شود، کاربری که پشت آن اکانت است می‌تواند خیلی ساده حسابی دیگر ساخته و کارش را ادامه دهد.

این کلاه‌برداری‌ها می‌توانند توسط اشخاص، حلقه‌های مجرمانه و حتی نمایندگان ایالاتی انجام شوند. هثرینگتون به موردی اخیر اشاره می‌کند که از او خواسته شد در دادگاه، درباره پرونده «بزرگ‌ترین مرکز مدیای اجتماعی جهان» شهادت دهد. «می‌خواهم این راه روشن کنم که خود پلتفرم در حال سوء استفاده نبود، بلکه یک نفر داشت از این پلتفرم سوء استفاده می‌کرد؛ آن هم از طریق گروه تبهکار سازمان‌یافته‌ای که سیستم خرید تبلیغات را در پیش گرفته بود».

هثرینگتون توضیح می‌دهد که این ترفند چنین رویه‌ای دارد: «می‌توانید در فیسبوک “اندرو تارانتولا” باشید و پروفایل فیسبوک شما می‌تواند خیلی تر و تمیز و واضح باشد، اما متوجه نیستید… فضای بزرگی برای تبلیغات پشت پروفایل کاملاً مشروع شما قرار دارد».

در این کلاه‌برداری، یک نفر به سراغ شما می‌آید و رقمی بین ۵ الی ۵۰ هزار دلار را در ازای استفاده از فضای تبلیغاتی پروفایل‌تان پیشنهاد می‌دهد. اگر بپذیرید، آن شخص سپس از آن فضا برای تبلیغات محصولات غیرقانونی استفاده خواهد کرد؛ آن هم در حالی که استانداردهای فیسبوک در قبال هزینه تبلیغات را رعایت کرده تا هیچ توجه ناخواسته‌ای را به خود جلب نکند. درست مانند عملیات‌های مواد مخدر غیرقانونی که همیشه قبض آب و برق خود را در زمان مقرر می‌پردازند. این مورد خاص به پرونده‌ای قانونی و چند میلیارد دلاری تبدیل شده و از آن‌جایی که متهم از کشور گریخته، هم‌چنان باز باقی مانده است.

علاوه بر این، هثرینگتون هشدار می‌دهد که نباید درگیر هر تکنیکی که «آبرو» را هدف قرار می‌دهد شد. اگر یک نفر با شما ارتباط برقرار کند و تهدید که اطلاعاتی آسیب‌رسان از شما یافته و آن را منتشر خواهد کرد (مثلا در دارک وب)، با «کلاهبرداری به روش اخاذی» روبه‌رو شده‌اید.

متاسفانه کلاهبرداری مالی آنلاین، احتمالاً هیچوقت به صورت تمام و کمال از بین نرود. نابودی کامل کلاه‌برداری در فضای مجازی، احتمالاً چیزی بیشتر از یک رویای خام نباشد. اما کارهای زیادی از دست صاحبان پلتفرم‌ها برمی‌آید تا از تاثیرات منفی این کلاه‌برداری‌ها بکاهند.

فیسبوک به عنوان مثال سرمایه‌گذاری عظیمی روی هوش مصنوعی کرده تا قادر به نظارت بر پست‌هایی باشد که محتویات خشونت‌آمیز یا غیرقانونی دارند. توییتر هم به نوبه خودش، هنوز اتکای زیادی بر ریپورت‌های کاربران دارد اما در عین حال دپارتمانی تشکیل داده که به صورت فعالانه به موارد کلاه‌برداری رسیدگی می‌کند. کاربران هم موظف به ایفای نقش خود در این معادله هستند.

«ما مسئولیت داریم که نسبت به استفاده از این محصولات و سرویس‌ها، هوشیار باشیم.» هثرینگتون توضیح می‌دهد: «اگر من به فیسبوک، اینستاگرام، لینکدین یا هر سرویسی می‌پیوندم، وظیفه‌ام اینست که این ابزار قدرتمندی که وارد زندگی‌ام می‌کنم را بشناسم. چون دارم آن را در موبایلم قرار می‌دهم، دارم از آن روی کامپیوترهای مختلف استفاده می‌کنم و آن را به خانه‌ام می‌آورم».