مراقب اطلاعات خود باشید!
گفتوگو با محمدحسین خلیلی، کارشناس ارشد مهندسی هستهای درباره ترفندهای سایبری و جعل هویت افراد
برای شما ایمیلی میآید با این مضمون که اکانت پریمیوم یک سایت مستهجن برایتان فعال شده و اگر میخواهید آن را غیرفعال کنید، لطفا روی فلان گزینه کلیک کنید. شما ایمیلتان را سرکار باز میکنید و ناگهان با چنین متن و تصاویر ناجور مربوط به آن مواجه میشوید. فرض کنید اصلا همین اتفاق جایی بیفتد که شما ایمیل سازمانی دارید. تصور کنید به ایمیل سازمانی شما متنی فرستاده شده، نام و نامخانوادگیتان هم در آن ذکر و اینطور عنوان شده که اکانت فلان سایت مستهجن برای شما فعال شده است. خب شما همان لحظه تلاش میکنید هر طور شده این گزینه را غیرفعال کنید؛ با خودتان میگویید الان همکارانم میبینند و برایم بد میشود. بنابراین فورا روی گزینهای که در ایمیل به شما با عنوان غیرفعال کردن گزینه آمده، کلیک میکنید. این یک روش بسیار معروف است برای نفوذهای سازمانی. چنین ایمیلی را برای صد نفر از کارمندان یک سازمان میفرستند و وقتی یکی از آنها هم روی آن کلیک کند، هدف هکرها محقق شده.
در هفته گذشته بار دیگر موضوع حملات سایبری در رابطه با جایگاههای سوخت مطرح شد. این البته اولینبار نیست که شاهد چنین اقداماتی و تایید آن از سوی برخی مقامات امنیتی و البته کارشناسان ذیربط هستیم. هرچند دسترسی به اطلاعات در این زمینه به جهت امنیتیبودن ماجرا برای روزنامهنگاران تا حدی ناممکن است، اما میتوان دستکم وجوه مختلف جریان را در نظر گرفت. از این منظر در پروندهای، حملات سایبری و جنگ الکترونیک را در ابعاد مختلف بررسی کردهایم. یکی از این رویکردها، بررسی ترفندهای مختلف در حملات سایبری، چه در حوزه شخصی و چه عمومی و حاکمیتی است. به همین منظور گفتوگویی انجام دادیم با محمدحسین خلیلی، کارشناس ارشد مهندسی هستهای.
یکی از موضوعات مهم در مباحث مربوط به فضای مجازی و حملات سایبری، بحث هویت و در تقابل، جعل هویت است. این اتفاق چندان در ایران جدی گرفته نمیشود. اگر موافق باشید از این بحث شروع کنیم.
بحث گستردهای است. من صرفا از یک مثال شروع کنم. ما سال گذشته برنامهای با آقای جلیلی داشتیم که الان سرپرست دانشگاه صنعتی شریف شدهاند و عضو شورایعالی فضای مجازی هم هستند. بخش اولی که من صحبت داشتم، درباره جعل هویت بود. گفتم من هویت سردبیر برنامه را جعل کردهام و از طرف او به بچههای تحریریه در گروه پیامرسان، قول شام دادهام؛ به همین سادگی! خیلی از بچهها هم نفهمیده بودند. وقتی در برنامه زنده این را گفتم تازه متوجه شدند. در واقع میخواهم بگویم چقدر ساده میشود چنین اتفاقاتی را رقم زد.
الگویی بود شبیه به باندی از بزهکاران فضای مجازی که هفته پیش دستگیر شدند. این گروه در اینستاگرام جعل هویت میکردند و از طریق هویتهای تقلبی، کلاهبرداریهایی کرده بودند.
دقیقا. مثلا من رفتهام در اینترنت سرچ کردهام، مطالب یک نفر را خواندهام و تمام اطلاعات مربوط به او را جمعآوری کردهام. بعد تماس میگیرم به سازمان هدف، به عنوان مثال دفتر یک مقام مسئول و اطلاعاتی را که میخواهم میگیرم. کافی است از موضع درست و محکمی صحبت کنم تا شما به عنوان سوژه ترفند، دستپاچه شوید. چون آدمها زمانی که دستپاچه میشوند، فکر نمیکنند و احساسی عمل میکنند. البته عدهای در این زمینه، برای مهارتهای لازم آموزش دیده و تمرین داشتهاند و میدانند که باید در این شرایط تمرکز خودشان را از دست ندهند و بهدرستی عمل کنند. اما همه که اینطور نیستند.
این ترفند به شکل اقدامات تخریبگرانه سازمان مجاهدین در گزارشی ویدیویی منتشر شده. خبرگزاریهای داخلی هم آن را منتشر کرده بودند. هرچند صرفا بحث جعل هویت بود و اقدامات سایبری نبود.
البته این مباحث، پیشزمینههای روانشناختی دارد و مقالات مختلفی هم درباره آن نوشته شده. ولی بحثم این است که در بحث جعل هویت، ترفندهای مختلفی وجود دارد. فرض کنید من با شما در کافهای، جلسهای کاری گذاشتهام. همزمان با همدستم هماهنگ کردهام، در فرصتی که به او اطلاع میدهم، بیاید و گوشی شما را بردارد ببرد یا مثلا کیف پول شما را بزند. حالا ترفندی که مد نظر دارم چیست؟ زمانی که همدست من کیف شما را میزند، همان زمان که شما مستاصل هستید، به شما میگویم طرف الان از کارت شما استفاده میکند، فورا باید کارتها را بسوزانی. بعد میپرسم کارتت چیست؟ تو هم که در هول و ولای گم کردن کیف قرار گرفتهای، چندان توجه نمیکنی که نباید اطلاعاتت را در اختیارم قرار بدهی. من هم تلفن را برمیدارم، شماره همدستم را میگیرم و طوری وانمود میکنم که انگار پشتیبانی بانک است؛ بعد از او میخواهم کارت شما را بسوزاند. همزمان از شما کدملی میگیرم، شماره کارت میگیرم و غیره. برای اینکه خیال شما را هم راحت کنم، گوشی را دست خودت میدهم که رمز کارت را هم حتی خودت به همدستم بدهی. در واقع با یک ترفند ساده کاری کردهام که بخشی از اطلاعات را حتی خودت به طرف بدهی. در آن شرایط شتابزده هم که شما فکر نمیکنی ممکن است فردی که داری پشت تلفن به او رمز کارت و دیگر اطلاعات مربوط به کارت بانکیات را میدهی، همکار من باشد! در مجموع اما اگر بخواهم کلیتر صحبت کنم، تمام این تکنیکها ما را به مفهومی میرساند که به آن میگویند Social engineering. در Social engineering مبحثی مطرح میشود با این عنوان که ضعیفترین بخش یک سازمان، آدمهای آن سازمان هستند. مثالش هم هک توییتر است که سال گذشته اتفاق افتاد و از جاهای مختلف به اسم افراد معروف، توییتهایی زده بودند. ماجرا هم از این قرار بود که شخص خاصی داخل سازمان توسط افرادی هدف قرار گرفته بود و کاری کرده بودند که از طریق شخص مربوطه توانسته بودند به سیستم دسترسی پیدا کنند. در اکثر هکهای بزرگ هم همین اتفاق میافتد و یک عامل انسانی در آن دخیل است؛ به این ترتیب که یکی از افراد داخل سازمان فریب خورده و در نهایت، هکر و همدستان احتمالیاش توانستهاند به سیستمهای سازمان نفوذ پیدا کنند.
موردی که در خود اینستاگرام برای من پیش آمد به این شکل بود که فرد میآید، اکانتی میسازد با عکس شما و اسم شما و شبیه اکانت شما. بعد شروع میکند به دوستان شما و فالوورهای شما دایرکت میدهد. شما که فالوور من یا دوستم هستید، چک نمیکنید که این دقیقا همان اکانت من است یا اکانتی شبیه به اکانت من. آن لحظه هم نمیروید دقیقا صفحه را چک کنید. فرد هم دایرکت میدهد که فلانی من گرفتارم، میتوانی فلان قدر برای من پول بریزی. فرض کنید از ده دوازده نفر از دوستان شما پول میگیرد، بعد هم اکانت را پاک میکند و میرود
در واقع به جای هزینه بسیار بالاتر و نفوذ مستقیم و چالشهای احتمالی آن، به شکل غیرمستقیم از طریق عامل انسانی نفوذ میکنند.
بله، مثالی دیگر بزنم. مثلا برای شما ایمیلی میآید با این مضمون که اکانت پریمیوم یک سایت مستهجن برایتان فعال شده و اگر میخواهید آن را غیرفعال کنید، لطفا روی فلان گزینه کلیک کنید. شما ایمیلتان را سرکار باز میکنید و ناگهان با چنین متن و تصاویر ناجور مربوط به آن مواجه میشوید. فرض کنید اصلا همین اتفاق جایی بیفتد که شما ایمیل سازمانی دارید. تصور کنید به ایمیل سازمانی شما متنی فرستاده شده، نام و نامخانوادگیتان هم در آن ذکر شده و اینطور عنوان شده که اکانت فلان سایت مستهجن برای شما فعال شده است. خب شما همان لحظه تلاش میکنید هر طور شده این گزینه را غیرفعال کنید؛ با خودتان میگویید الان همکارانم میبینند و برایم بد میشود. بنابراین فورا روی گزینهای که در ایمیل به شما با عنوان غیرفعال کردن گزینه آمده، کلیک میکنید. این یک روش بسیار معروف است برای نفوذهای سازمانی. چنین ایمیلی را برای صد نفر از کارمندان یک سازمان میفرستند و وقتی یکی از آنها هم روی آن کلیک کند، هدف هکرها محقق شده.
بحثی مطرح کردید درباره جعل هویت؛ همین موضوع درباره جعل هویت مقامات هم وجود دارد و نمونهاش را دیدهایم.
بله، مصداقهایی هم در این زمینه در کشور خودمان بوده که وارد آنها نمیشوم. ضمن اینکه گاهی حتی ممکن است با استفاده از فرهنگ عمومی چنین اتفاقاتی بیفتد. فردی با شما تماس میگیرد و اینطور عنوان میکند که یکی از همکاران شما برای خواستگاری دخترش آمده است و او هم تماس گرفته تا برای این امر تحقیق کند. اگر برای خود من چنین چیزی پیش بیاید، فورا میگویم چه کسی شما را معرفی کرده. در واقع میروم سراغ سلسله آدمهایی که باعث آشنایی طرف و تماس طرف با من شدهاند. بعد بررسی میکنم ببینم روند این سلسله آدمها، درست و منطقی است؟ ما همین الان در حوزه شبکههای اجتماعی و پیامرسانها، یعنی در حوزه واتسآپ، تلگرام و غیره، از این مسائل زیاد داریم. طرف رمز درستی انتخاب نمیکند یا اطلاعاتش را راحت در اختیار دیگران قرار میدهد و صفحهاش به سرقت میرود؛ بهخصوص آدمهایی که بیشتر در چشم هستند و حساسیتهای بیشتری روی آنها وجود دارد. مثلا کسی با او مشکل دارد، میرود رمز صفحه اینستاگرامش را پیدا و شروع میکند به آزار دادن. از این موارد فراوان است و متاسفانه خیلیها دقت نمیکنند. مثلا موردی که در خود اینستاگرام برای من پیش آمد به این شکل بود که فرد میآید، اکانتی میسازد با عکس شما و اسم شما و شبیه اکانت شما. بعد شروع میکند به دوستان شما و فالوورهای شما دایرکت میدهد. شما که فالوور من یا دوستم هستید، چک نمیکنید که این دقیقا همان اکانت من است یا اکانتی شبیه به اکانت من. آن لحظه هم نمیروید دقیقا صفحه را چک کنید. فرد هم دایرکت میدهد که فلانی من گرفتارم، میتوانی فلان قدر برای من پول بریزی. فرض کنید از ده دوازده نفر از دوستان شما پول میگیرد، بعد هم اکانت را پاک میکند و میرود. حالا شما بیا اثبات کن آن کسی که از شما قرض خواسته کس دیگری بوده! این اتفاق هم خیلی راحت میافتد. برای همین میگویند تمام اطلاعات شخصیتان را در اینترنت نگذارید و مراقب باشید.
گمان کنم اصلا همین گوشی همراه خودش نوعی جاسوس سرخود باشد! درست است؟
من زیاد نمیخواهم این موضوع را باز کنم؛ فقط همینقدر بگویم اگر کسی به شما بگوید از طریق گوشی، اطلاعات شما شبانهروز در حال جاسوسی است، بیراه نگفته است. چون اگر دقت کنید گوشی شما قابلیت ضبط صدا و تصویر دارد و بسیاری از آمار و اطلاعات زندگی ما، داخل آن است. حالا فرض کنید اگر ساعت هوشمند هم داشته باشید، ضربان قلب، بعضی مولفههای مربوط به بدن شما، خواب و بیداری شما و حتی دستشویی رفتن شما هم در اختیار است. این اطلاعات در واقع روی گوشیهای شما هست و شرکتهای بزرگ بهراحتی میتوانند از آنها استفاده کنند. غیر از اینها، شما اگر گوگلسرویس را نصب نکنید، خیلی از اپلیکیشنها روی گوشیتان نصب نمیشود. در واقع منی که میخواهم از اپلیکیشنهای مختلف استفاده کنم، ناچارم به این موارد تن بدهم؛ این یک چالش جدی برای همه کاربران تلفن همراه در دنیاست. اما در داخل مشکل اینجاست ما در حوزه اپلیکیشنهای ایرانی هیچ قانونی در این زمینه نداریم. یعنی قانونگذار نیامده شرایطی مشخص کند یا پروتکلی بگذارد و اپلیکشنها هر نوع دسترسی که بخواهند از شما میگیرند. یعنی مثلا من میخواهم یک اپلیکیشن بانکی یا اپ پرداخت نصب کنم، دسترسی به دوربین از من میخواهد. بعد وقتی دلیلش را میپرسی میگویند اگر شما خواستی زمانی شماره کارتی را بدهی، کافی است عکس بگیری، ما عکس را تحلیل میکنیم و شماره کارت را خودمان درمیآوریم. درحالیکه پرسش اینجاست نیازی نیست این دسترسی زمان نصب گرفته شود؛ زمانی که من خواستم از امکان جدید این نرمافزار استفاده کنم، آن زمان باید از من درخواست شود که اجازه دسترسی به دوربین بدهم. در بعضی کشورها، اپلیکیشنها ملزم به رعایت این قوانین هستند.
در داخل مشکل اینجاست ما در حوزه اپلیکیشنهای ایرانی هیچ قانونی در این زمینه نداریم. یعنی قانونگذار نیامده شرایطی مشخص کند یا پروتکلی بگذارد و اپلیکشنها هر نوع دسترسی که بخواهند از شما میگیرند. یعنی مثلا من میخواهم یک اپلیکیشن بانکی یا اپ پرداخت نصب کنم، دسترسی به دوربین از من میخواهد. بعد وقتی دلیلش را میپرسی میگویند اگر شما خواستی زمانی شماره کارتی را بدهی، کافی است عکس بگیری، ما عکس را تحلیل میکنیم و شماره کارت را خودمان درمیآوریم. درحالیکه پرسش اینجاست نیازی نیست این دسترسی زمان نصب گرفته شود
بله، این بحث همین دو سه سال پیش هم مطرح شد که چرا یک اپلیکیشن ساده ایرانی، تمام دسترسی را برای نصب از ما میخواهد؟!
البته اشکالی ندارد یک اپلیکیشن به خاطر امکاناتی که میدهد مثلا لازم داشته باشد به لیست مخاطبان شما دسترسی داشته باشد. اما من تا زمانی که نخواهم از آن ویژگی استفاده کنم، باید اجازه داشته باشم که این دسترسی را ندهم. اما اپلیکیشنهای ایرانی همان ابتدا از تو تمام دسترسیها را میخواهند. اینجاست که نکته مهم دیگری مطرح میشود؛ اینکه آیا اطلاعات من و دسترسیهایی که از من گرفته شده، جای امنی است. فرض کنید اپلیکیشن مربوطه یک استارتآپ است؛ کارمندی را هم گذاشتهاند که به این بخشها دسترسی دارد. حالا این فرد اگر بخواهد سوءاستفاده کند، تکلیف چیست؟ نکته اینجاست که ما ضعف قانونی در این زمینه داریم و قانونی وجود ندارد که اپلیکیشنها را به رعایت حقوق کاربران ملزم کند. کار دشواری هم نیست که قرار باشد از اول تمام این قوانین را بنویسیم؛ کافی است قوانین بعضی کشورهایی را که در این زمینه کار کردهاند، بگیریم، بررسی کنیم، آنها را بومی کنیم و بعد به مرحله اجرا برسانیم. همین مشکل را ما در چتهای بعضی سیستمهای سازمانی هم میبینیم. اینکه مطرح نمیکنند گفتوگوهای من داخل چت سیستم سازمان، آیا برای مدیریت قابل رؤیت است یا نه؟ در اکثر مواقع این چتها به شکل تکست خالص ذخیره میشود و ادمین سیستم میتواند آنها را ببیند، درحالیکه به کارمندها گفته نمیشود! دقیقا مثل مغازههایی که دوربین نصب میکنند و ملزم هستند مراجعهکننده را آگاه کنند، این موارد هم باید اعلام شوند. مورد آخر هم درباره تاییدهای دومرحلهای است. در یکی دو سال اخیر، به خاطر خیلی از مشکلاتی که پیش آمده، تاییدهای دومرحلهای را اضافه کردهاند. همین «رمز پویا»ی بانکی خودش نوعی تایید دومرحلهای است.
بله، همان الگویی است که پیشتر در استفاده از بعضی اپها دیدهایم.
همان الگوست. این سیستم تایید دومرحلهای خیلی جاهای دیگر هم وجود دارد؛ اینستاگرام شما، اپلیکیشنهای مربوط به امور مالی شما و… اما مشکلی که وجود دارد، خیلی از این تاییدهای دومرحلهای، روی سیمکارت و اساماس است. یعنی اگر شما برای من هدف ارزشمندی باشید، با یکسری تجهیزات ساده میتوانم وقتی به شما نزدیک شوم، پیامکهایتان را شنود کنم. یا اینکه کار راحتتری میکنم؛ جعل هویت میکنم. چطور؟ کوکی کارتملی شما همه جا هست؛ هم در کامپیوتر منزل، هم سیستم محل کارتان، هم ادارهای که قبلا کار میکردید، یا حتی داخل سایتی که رفتهاید و اسکن کپی کارتملی برایشان فرستادهاید. بسیاری از اطلاعات شما در این جاها موجود است. فرض کنید من اینها را برمیدارم، میروم یک دفتر خدمات ارتباطی -دفتر کوچکی را هم انتخاب میکنم که مثلا در حاشیه شهر است- بعد میگویم ببخشید، من سیمکارتم دچار مشکل شده، کپی کارتملی همراهم است و اسکن آن را دارم، اما گرفتارم و الان باید سر جلسه مهمی بروم، الان نمیتوانم کارت را بیاورم. طرف هم ممکن است دلش بسوزد، بدون اینکه اصل کارت مرا ببیند، با دیدن همان اسکن، یک سیم کارت به من بدهد و سیم کارت قبلی را غیرفعال کند. به این ترتیب من میرسم به سیم کارت شما و میتوانم از تایید دومرحلهای شما استفاده کنم؛ حالا این تایید دومرحلهای میتواند به امور بانکی و مالی شما مربوط باشد یا به موارد دیگر.