مراقب اطلاعات خود باشید!

در هفته گذشته بار دیگر موضوع حملات سایبری در رابطه با جایگاه‌های سوخت مطرح شد. این البته اولین‌بار نیست که شاهد چنین اقداماتی و تایید آن از سوی برخی مقامات امنیتی و البته کارشناسان ذی‌ربط هستیم. هرچند دسترسی به اطلاعات در این زمینه به جهت امنیتی‌بودن ماجرا برای روزنامه‌نگاران تا حدی ناممکن است، اما می‌توان دستکم وجوه مختلف جریان را در نظر گرفت. از این منظر در پرونده‌ای، حملات سایبری و جنگ الکترونیک را در ابعاد مختلف بررسی کرده‌ایم. یکی از این رویکردها، بررسی ترفندهای مختلف در حملات سایبری، چه در حوزه شخصی و چه عمومی و حاکمیتی است. به همین منظور گفت‌وگویی انجام دادیم با محمدحسین خلیلی، کارشناس ارشد مهندسی هسته‌ای.

یکی از موضوعات مهم در مباحث مربوط به فضای مجازی و حملات سایبری، بحث هویت و در تقابل، جعل هویت است. این اتفاق چندان در ایران جدی گرفته نمی‌شود. اگر موافق باشید از این بحث شروع کنیم.

بحث گسترده‌ای است. من صرفا از یک مثال شروع کنم. ما سال گذشته برنامه‌ای با آقای جلیلی داشتیم که الان سرپرست دانشگاه صنعتی شریف شده‌اند و عضو شورای‌عالی فضای مجازی هم هستند. بخش اولی که من صحبت داشتم، درباره جعل هویت بود. گفتم من هویت سردبیر برنامه را جعل کرده‌ام و از طرف او به بچه‌های تحریریه در گروه پیام‌رسان، قول شام داده‌ام؛ به همین سادگی! خیلی از بچه‌ها هم نفهمیده بودند. وقتی در برنامه زنده این را گفتم تازه متوجه شدند. در واقع می‌خواهم بگویم چقدر ساده می‌شود چنین اتفاقاتی را رقم زد.

الگویی بود شبیه به باندی از بزهکاران فضای مجازی که هفته پیش دستگیر شدند. این گروه در اینستاگرام جعل هویت می‌کردند و از طریق هویت‌های تقلبی، کلاهبرداری‌هایی کرده بودند.

دقیقا. مثلا من رفته‌ام در اینترنت سرچ کرده‌ام، مطالب یک نفر را خوانده‌ام و تمام اطلاعات مربوط به او را جمع‌آوری کرده‌ام. بعد تماس می‌گیرم به سازمان هدف، به عنوان مثال دفتر یک مقام مسئول و اطلاعاتی را که می‌خواهم می‌گیرم. کافی است از موضع درست و محکمی صحبت کنم تا شما به عنوان سوژه ترفند، دستپاچه شوید. چون آدم‌ها زمانی که دستپاچه می‌شوند، فکر نمی‌کنند و احساسی عمل می‌کنند. البته عده‌ای در این زمینه، برای مهارت‌های لازم آموزش دیده‌ و تمرین داشته‌اند و می‌دانند که باید در این شرایط تمرکز خودشان را از دست ندهند و به‌درستی عمل کنند. اما همه که این‌طور نیستند.

این ترفند به شکل اقدامات تخریب‌گرانه سازمان مجاهدین در گزارشی ویدیویی منتشر شده. خبرگزاری‌های داخلی هم آن را منتشر کرده بودند. هرچند صرفا بحث جعل هویت بود و اقدامات سایبری نبود.

البته این مباحث، پیش‌زمینه‌های روان‌شناختی دارد و مقالات مختلفی هم درباره آن نوشته شده. ولی بحثم این است که در بحث جعل هویت، ترفندهای مختلفی وجود دارد. فرض کنید من با شما در کافه‌ای، جلسه‌ای کاری گذاشته‌ام. هم‌زمان با همدستم هماهنگ کرده‌ام، در فرصتی که به او اطلاع می‌دهم، بیاید و گوشی شما را بردارد ببرد یا مثلا کیف پول شما را بزند. حالا ترفندی که مد نظر دارم چیست؟ زمانی که همدست من کیف شما را می‌زند، همان زمان که شما مستاصل هستید، به شما می‌گویم طرف الان از کارت شما استفاده می‌کند، فورا باید کارت‌ها را بسوزانی. بعد می‌پرسم کارتت چیست؟ تو هم که در هول و‌ ولای گم کردن کیف قرار گرفته‌ای، چندان توجه نمی‌کنی که نباید اطلاعاتت را در اختیارم قرار بدهی. من هم تلفن را برمی‌دارم، شماره همدستم را می‌گیرم و طوری وانمود می‌کنم که انگار پشتیبانی بانک است؛ بعد از او می‌خواهم کارت شما را بسوزاند. هم‌زمان از شما کدملی می‌گیرم، شماره کارت می‌گیرم و غیره. برای اینکه خیال شما را هم راحت کنم، گوشی را دست خودت می‌دهم که رمز کارت را هم حتی خودت به همدستم بدهی. در واقع با یک ترفند ساده کاری کرده‌ام که بخشی از اطلاعات را حتی خودت به طرف بدهی. در آن شرایط شتابزده هم که شما فکر نمی‌کنی ممکن است فردی که داری پشت تلفن به او رمز کارت و دیگر اطلاعات مربوط به کارت‌ بانکی‌ات را می‌دهی، همکار من باشد! در مجموع اما اگر بخواهم کلی‌تر صحبت کنم، تمام این تکنیک‌ها ما را به مفهومی می‌رساند که به آن می‌گویند Social engineering. در Social engineering مبحثی مطرح می‌شود با این عنوان که ضعیف‌ترین بخش یک سازمان، آدم‌های آن سازمان هستند. مثالش هم هک توییتر است که سال گذشته اتفاق افتاد و از جاهای مختلف به اسم افراد معروف، توییت‌هایی زده بودند. ماجرا هم از این قرار بود که شخص خاصی داخل سازمان توسط افرادی هدف قرار گرفته بود و کاری کرده بودند که از طریق شخص مربوطه توانسته بودند به سیستم دسترسی پیدا کنند. در اکثر هک‌های بزرگ هم همین اتفاق می‌افتد و یک عامل انسانی در آن دخیل است؛ به این ترتیب که یکی از افراد داخل سازمان فریب خورده و در نهایت، هکر و همدستان احتمالی‌اش توانسته‌اند به سیستم‌های سازمان نفوذ پیدا کنند.

موردی که در خود اینستاگرام برای من پیش آمد به این شکل بود که فرد می‌آید، اکانتی می‌سازد با عکس شما و اسم شما و شبیه اکانت شما. بعد شروع می‌کند به دوستان شما و فالوورهای شما دایرکت می‌دهد. شما که فالوور من یا دوستم هستید، چک نمی‌کنید که این دقیقا همان اکانت من است یا اکانتی شبیه به اکانت من. آن لحظه هم نمی‌روید دقیقا صفحه را چک کنید. فرد هم دایرکت می‌دهد که فلانی من گرفتارم، می‌توانی فلان قدر برای من پول بریزی. فرض کنید از ده دوازده نفر از دوستان شما پول می‌گیرد، بعد هم اکانت را پاک می‌کند و می‌رود

در واقع به جای هزینه بسیار بالاتر و نفوذ مستقیم و چالش‌های احتمالی آن، به شکل غیرمستقیم از طریق عامل انسانی نفوذ می‌کنند.

بله، مثالی دیگر بزنم. مثلا برای شما ایمیلی می‌آید با این مضمون که اکانت پریمیوم یک سایت مستهجن برای‌تان فعال شده و اگر می‌خواهید آن را غیرفعال کنید، لطفا روی فلان گزینه کلیک کنید. شما ایمیل‌تان را سرکار باز می‌کنید و ناگهان با چنین متن و تصاویر ناجور مربوط به آن مواجه می‌شوید. فرض کنید اصلا همین اتفاق جایی بیفتد که شما ایمیل سازمانی دارید. تصور کنید به ایمیل سازمانی شما متنی فرستاده شده، نام و نام‌خانوادگی‌تان هم در آن ذکر شده و این‌طور عنوان شده که اکانت فلان سایت مستهجن برای شما فعال شده است. خب شما همان لحظه تلاش می‌کنید هر طور شده این گزینه را غیرفعال کنید؛ با خودتان می‌گویید الان همکارانم می‌بینند و برایم بد می‌شود. بنابراین فورا روی گزینه‌‌ای که در ایمیل به شما با عنوان غیرفعال کردن گزینه آمده، کلیک می‌کنید. این یک روش بسیار معروف است برای نفوذهای سازمانی. چنین ایمیلی را برای صد نفر از کارمندان یک سازمان می‌فرستند و وقتی یکی از آنها هم روی آن کلیک کند، هدف هکرها محقق شده.

بحثی مطرح کردید درباره جعل هویت؛ همین موضوع درباره جعل هویت مقامات هم وجود دارد و نمونه‌اش را دیده‌ایم.

بله، مصداق‌هایی هم در این زمینه در کشور خودمان بوده که وارد آنها نمی‌شوم. ضمن اینکه گاهی حتی ممکن است با استفاده از فرهنگ عمومی چنین اتفاقاتی بیفتد. فردی با شما تماس می‌گیرد و این‌طور عنوان می‌کند که یکی از همکاران شما برای خواستگاری دخترش آمده است و او هم تماس گرفته تا برای این امر تحقیق کند. اگر برای خود من چنین چیزی پیش بیاید، فورا می‌گویم چه کسی شما را معرفی کرده. در واقع می‌روم سراغ سلسله آدم‌هایی که باعث آشنایی طرف و تماس طرف با من شده‌اند. بعد بررسی می‌کنم ببینم روند این سلسله آدم‌ها، درست و منطقی است؟ ما همین الان در حوزه شبکه‌های اجتماعی و پیام‌رسان‌ها، یعنی در حوزه واتس‌آپ، تلگرام و غیره، از این مسائل زیاد داریم. طرف رمز درستی انتخاب نمی‌کند یا اطلاعاتش را راحت در اختیار دیگران قرار می‌دهد و صفحه‌اش به سرقت می‌رود؛ به‌خصوص آدم‌هایی که بیشتر در چشم هستند و حساسیت‌های بیشتری روی آنها وجود دارد. مثلا کسی با او مشکل دارد، می‌رود رمز صفحه اینستاگرامش را پیدا و شروع می‌کند به آزار دادن. از این موارد فراوان است و متاسفانه خیلی‌ها دقت نمی‌کنند. مثلا موردی که در خود اینستاگرام برای من پیش آمد به این شکل بود که فرد می‌آید، اکانتی می‌سازد با عکس شما و اسم شما و شبیه اکانت شما. بعد شروع می‌کند به دوستان شما و فالوورهای شما دایرکت می‌دهد. شما که فالوور من یا دوستم هستید، چک نمی‌کنید که این دقیقا همان اکانت من است یا اکانتی شبیه به اکانت من. آن لحظه هم نمی‌روید دقیقا صفحه را چک کنید. فرد هم دایرکت می‌دهد که فلانی من گرفتارم، می‌توانی فلان قدر برای من پول بریزی. فرض کنید از ده دوازده نفر از دوستان شما پول می‌گیرد، بعد هم اکانت را پاک می‌کند و می‌رود. حالا شما بیا اثبات کن آن کسی که از شما قرض خواسته کس دیگری بوده! این اتفاق هم خیلی راحت می‌افتد. برای همین می‌گویند تمام اطلاعات شخصی‌تان را در اینترنت نگذارید و مراقب باشید.

گمان کنم اصلا همین گوشی همراه خودش نوعی جاسوس سرخود باشد! درست است؟

من زیاد نمی‌خواهم این موضوع را باز کنم؛ فقط همین‌قدر بگویم اگر کسی به شما بگوید از طریق گوشی، اطلاعات شما شبانه‌روز در حال جاسوسی است، بی‌راه نگفته است. چون اگر دقت کنید گوشی شما قابلیت ضبط صدا و تصویر دارد و بسیاری از آمار و اطلاعات زندگی ما، داخل آن است. حالا فرض کنید اگر ساعت هوشمند هم داشته باشید، ضربان قلب، بعضی مولفه‌های مربوط به بدن شما، خواب و بیداری شما و حتی دستشویی رفتن شما هم در اختیار است. این اطلاعات در واقع روی گوشی‌های شما هست و شرکت‌های بزرگ به‌راحتی می‌توانند از آنها استفاده کنند. غیر از اینها، شما اگر گوگل‌سرویس را نصب نکنید، خیلی از اپلیکیشن‌ها روی گوشی‌تان نصب نمی‌شود. در واقع منی که می‌خواهم از اپلیکیشن‌های مختلف استفاده کنم، ناچارم به این موارد تن بدهم؛ این یک چالش جدی برای همه کاربران تلفن همراه در دنیاست. اما در داخل مشکل اینجاست ما در حوزه اپلیکیشن‌های ایرانی هیچ قانونی در این زمینه نداریم. یعنی قانون‌گذار نیامده شرایطی مشخص کند یا پروتکلی بگذارد و اپلیکشن‌ها هر نوع دسترسی‌ که بخواهند از شما می‌گیرند. یعنی مثلا من می‌خواهم یک اپلیکیشن بانکی یا اپ پرداخت نصب کنم، دسترسی به دوربین از من می‌خواهد. بعد وقتی دلیلش را می‌پرسی می‌گویند اگر شما خواستی زمانی شماره کارتی را بدهی، کافی است عکس بگیری، ما عکس را تحلیل می‌کنیم و شماره کارت را خودمان درمی‌آوریم. درحالی‌که پرسش اینجاست نیازی نیست این دسترسی زمان نصب گرفته شود؛ زمانی که من خواستم از امکان جدید این نرم‌افزار استفاده کنم، آن زمان باید از من درخواست شود که اجازه دسترسی به دوربین بدهم. در بعضی کشورها، اپلیکیشن‌ها ملزم به رعایت این قوانین هستند.

در داخل مشکل اینجاست ما در حوزه اپلیکیشن‌های ایرانی هیچ قانونی در این زمینه نداریم. یعنی قانون‌گذار نیامده شرایطی مشخص کند یا پروتکلی بگذارد و اپلیکشن‌ها هر نوع دسترسی‌ که بخواهند از شما می‌گیرند. یعنی مثلا من می‌خواهم یک اپلیکیشن بانکی یا اپ پرداخت نصب کنم، دسترسی به دوربین از من می‌خواهد. بعد وقتی دلیلش را می‌پرسی می‌گویند اگر شما خواستی زمانی شماره کارتی را بدهی، کافی است عکس بگیری، ما عکس را تحلیل می‌کنیم و شماره کارت را خودمان درمی‌آوریم. درحالی‌که پرسش اینجاست نیازی نیست این دسترسی زمان نصب گرفته شود

بله، این بحث همین دو سه سال پیش هم مطرح شد که چرا یک اپلیکیشن ساده ایرانی، تمام دسترسی را برای نصب از ما می‌خواهد؟!

البته اشکالی ندارد یک اپلیکیشن به خاطر امکاناتی که می‌دهد مثلا لازم داشته باشد به لیست مخاطبان شما دسترسی داشته باشد. اما من تا زمانی که نخواهم از آن ویژگی استفاده کنم، باید اجازه داشته باشم که این دسترسی را ندهم. اما اپلیکیشن‌های ایرانی همان ابتدا از تو تمام دسترسی‌ها را می‌خواهند. اینجاست که نکته مهم دیگری مطرح می‌شود؛ اینکه آیا اطلاعات من و دسترسی‌هایی که از من گرفته شده، جای امنی است. فرض کنید اپلیکیشن مربوطه یک استارت‌آپ است؛ کارمندی را هم گذاشته‌اند که به این بخش‌ها دسترسی دارد. حالا این فرد اگر بخواهد سوءاستفاده کند، تکلیف چیست؟ نکته اینجاست که ما ضعف قانونی در این زمینه داریم و قانونی وجود ندارد که اپلیکیشن‌ها را به رعایت حقوق کاربران ملزم ‌کند. کار دشواری هم نیست که قرار باشد از اول تمام این قوانین را بنویسیم؛ کافی است قوانین بعضی کشورهایی را که در این زمینه کار کرده‌اند، بگیریم، بررسی کنیم، آنها را بومی کنیم و بعد به مرحله اجرا برسانیم. همین مشکل را ما در چت‌های بعضی سیستم‌های سازمانی هم می‌بینیم. اینکه مطرح نمی‌کنند گفت‌وگوهای من داخل چت سیستم سازمان، آیا برای مدیریت قابل رؤیت است یا نه؟ در اکثر مواقع این چت‌ها به شکل تکست خالص ذخیره می‌شود و ادمین سیستم می‌تواند آنها را ببیند، درحالی‌که به کارمندها گفته نمی‌شود! دقیقا مثل مغازه‌هایی که دوربین نصب می‌کنند و ملزم هستند مراجعه‌کننده را آگاه کنند، این موارد هم باید اعلام شوند. مورد آخر هم درباره تاییدهای دومرحله‌ای است. در یکی دو سال اخیر، به خاطر خیلی از مشکلاتی که پیش آمده، تاییدهای دومرحله‌ای را اضافه کرده‌اند. همین «رمز پویا»ی بانکی خودش نوعی تایید دومرحله‌ای است.

بله، همان الگویی است که پیشتر در استفاده از بعضی اپ‌ها دیده‌ایم.

همان الگوست. این سیستم تایید دومرحله‌ای خیلی جاهای دیگر هم وجود دارد؛ اینستاگرام شما،‌ اپلیکیشن‌های مربوط به امور مالی شما و… اما مشکلی که وجود دارد، خیلی از این تاییدهای دومرحله‌ای، روی سیم‌کارت و اس‌ام‌اس است. یعنی اگر شما برای من هدف ارزشمندی باشید، با یکسری تجهیزات ساده می‌توانم وقتی به شما نزدیک شوم، پیامک‌های‌تان را شنود کنم. یا اینکه کار راحت‌تری می‌کنم؛ جعل هویت می‌کنم. چطور؟ کوکی کارت‌ملی شما همه جا هست؛ هم در کامپیوتر منزل، هم سیستم محل کارتان، هم اداره‌ای که قبلا کار می‌کردید، یا حتی داخل سایتی که رفته‌اید و اسکن کپی کارت‌ملی برای‌شان فرستاده‌اید. بسیاری از اطلاعات شما در این جاها موجود است. فرض کنید من اینها را برمی‌دارم، می‌روم یک دفتر خدمات ارتباطی -دفتر کوچکی را هم انتخاب می‌کنم که مثلا در حاشیه شهر است- بعد می‌گویم ببخشید، من سیم‌کارتم دچار مشکل شده، کپی کارت‌ملی همراهم است و اسکن آن را دارم، اما گرفتارم و الان باید سر جلسه مهمی بروم، الان نمی‌توانم کارت را بیاورم. طرف هم ممکن است دلش بسوزد، بدون اینکه اصل کارت مرا ببیند، با دیدن همان اسکن، یک سیم کارت به من بدهد و سیم کارت قبلی را غیرفعال کند. به این ترتیب من می‌رسم به سیم کارت شما و می‌توانم از تایید دومرحله‌ای شما استفاده کنم؛ حالا این تایید دومرحله‌ای می‌تواند به امور بانکی و مالی شما مربوط باشد یا به موارد دیگر.