آشنایی با کلاهبرداری های شایع در اینترنت

[saman1990]

در کنار گسترش روز افزون کاربران اینترنت و همچنین تسهیل شدن امور عادی بشر بواسطه استفاده از اینترنت، همواره مجرمین با سو استفاده از اعتماد عمومی مردم و با تطبیق خود با ویژگی­های محیط و ابزار روز، در جهت اقدامات و اهداف مجرمانه حرکت می­کنند.

در کنار سو استفاده ­ها و جرایم سایبری در حوزه اجتماعی و سیاسی، جرایم سایبری در حوزه اقتصادی پیشرفت­های قابلا توجهی به خود دیده است که بنابر آمار رسمی کشورهای غربی به خصوص آمریکا، جرایم سایبری در حوزه اقتصاد از رتبه بالایی برخوردار است. از سوی دیگر، با توجه به رشد این آمار، پنتاگون در کنار دفاع سایبری در حوزه سیاسی و نظامی، استراتژی مقابله با کلاهبرداری آنلاین را نیز از اولویت­های خود اعلام می­کند. با توجه به اهمیت موضوع، هشدارهای نهادهای مسئول به خصوص پلیس فضای تولید و تبادل اطلاعات (پلیس فتا) درباره انواع جرایم سایبری، ما با معرفی چند نوع از جرایم سایبری و یا کلاهبرداری آنلاین درصدد اطلاع رسانی و بررسی مشکلات اجتماعی ناشی از این جرایم، در سطح جامعه است.


آشنایی با کلاهبرداری شایع در اینترنت به نام (Phishing)

آشنایی با کلاهبرداری از طریق روش "Skimming"

[saman1990]

آشنایی با کلاهبرداری شایع در اینترنت به نام (Phishing)
فیشینگ روشی است که تبهکاران، اطلاعاتی نظیر کلمه کاربری، رمز عبور، شماره 16 رقمی عابر بانک، رمز دوم و CVV2 را از طریق ابزارهای الکترونیکی ارتباطات به سرقت می برند. شبکه های اجتماعی، سایت های حراجی و درگاه های پرداخت آنلاین نمونه ای از ابزار های الکترونیکی ارتباطات می باشند.
کلاهبرداری فیشینگ از طریق ایمیل ها و پیام ها صورت می پذیرد و قربانیان به صورت مستقیم اطلاعات حساس و محرمانه خود را در وب سایت های جعلی که در ظاهر کاملا شبیه وب سایت های سالم و قانونی می باشد وارد می نمایند. حقه ی فیشینگ یکی از تکنیک های مهندسی اجتماعی برای فریب کاربران می باشد که علی‌القاعده از ضعف امنیتی یک وب سایت برای انجام عملیات مجرمانه خود استفاده می کنند؛ برای اولین بار حقه ی فیشینگ در 1987 تعریف شد و اولین باری که واژه فیشینگ برای نام گذاری این واژه استفاده گردید، سال 1996 بود. جالب است بدانید phishing نوع دیگر کلمه fishing (ماهیگیری) است همانند خیلی از کلمات که در علوم رایانه ای به شکل مخفف یا دگرگون شده ای از کلمات دیگر به کار می روند. برای مثال لغت phreak که از ترکیب phone freak به معنای استراق سمع تلفنی گرفته شده است. با این توضیحات شاید بتوان phishing را سرقت اطلاعات اینترنتی با یک سایت قلابی ترجمه کرد.


کلاهبرداری فیشینگ چگونه انجام می­ شود؟

ممکن است سارق با یکی از اعضای سایتی که در آن خرید و فروش صورت می گیرد روبرو شود و پیام کوتاهی برای او مبنی بر وارد کردن رمز عبور بفرستد.برای اینکه قربانی احتمالی خوب به دام بیفتد آن پیام کوتاه ممکن است به صورت یک عبارت امری مانند این « اطلاعات صورتحساب را تأیید کنید» باشد. به محض اینکه قربانی رمز عبور خود را وارد کند شخص سارق می تواند به حساب طرف وارد شده و از آن برای انجام اهداف مجرمانه ی خود استفاده کند. البته این کار احتیاج به دانش برنامه نویسی دارد.

در اواخر سال 2006 یک کرم رایانه ای کنترل سایت MySpace را بدست آورد و تمام لینک های دانلود فایل ها را به سوی سایت هایی که برای دزدیدن اطلاعات حساب های اینترنتی درست کرده بود تغییر مسیر داد.


مشکلاتی که فیشینگ بوجود می آورد: کمترین ضرری که می توان در نظر گرفت، دسترسی به ایمیل است و بزرگترین آن، سرقت از حساب مالی اینترنتی شما می تواند باشد. این نوع سرقت اطلاعات به سرعت در حال افزایش است و علت عدم آموزش و آشنایی کاربران در فاش کردن اطلاعات شخصی در برابر یک سارق اینترنتی است. این نگرانی نیز وجود دارد که سارق اطلاعات بدست آمده از افراد مختلف را تغییر دهد و با درست کردن حساب جعلی به اسم یکی از قربانیان از اعتبار او سوء استفاده نموده شهرت او را لکه دار کند. بنابر آمار وبسایت دیده بان کلاهبرداری بین الملل، روزانه 970 وبسایت تقلبی فیشینگ شناسایی شده و به طور متوسط عمر فیشینگ های شناسایی شده، 52 ساعت است.


خسارت هایی که فیشینگ به بار می آورد: خسارت هایی که فیشینگ به بار آورده است، مشکلات زیادی از قبیل عدم دست یابی به ایمیل، سو استفاده از شخصیت افراد حقیقی و حتی حقوقی، جعل اسناد و استفاده از کارت های اعتباری افراد و مشکلات دیگری است که بنابر سو استفاده فیشینگر
برآورد می شود که درفاصله زمانی می 2004 تا می 2005 در کشور ایالات متحده 2/1 میلیون کاربر کامپیوتر در مجموع تقریباً 969 میلیون دلار به خاطر فیشینگ از دست داده اند. در ایالات متحده به دلیل این که مشتریان شرکت ها قربانی فیشینگ بوده اند، شرکت ها سالانه 2 بیلیون دلار زیان دیده اند. در سال 2007 و در 12 ماه منتهی به آگوست 2007حملات تشدید شده فیشینگ منجر به زیان 2/ 3بیلیون دلاری حدود 6/3 میلیون نفر از جوانان گردید. مایکروسافت ادعا می کند این برآوردها بیش از حد اغراق آمیز هستند و زیان سالانه ناشی از حملات فیشینگ در آمریکا را 60 میلیون دلار برآورد می کند. در پادشاهی متحده بریتانیا زیان ناشی از کلاهبرداری بانکداری اینترنتی - که اکثراً فیشینگ هستند – تقریباٌ دو برابر شده و از 2/12 میلیون پوند در سال 2004 به 2/23 میلیون پوند در سال 2005 رسیده است. این در حالی است که در سال 2005 از هر 20 کاربر کامپیوتر یکی ادعا می کند که به دلیل آن که مورد حمله فیشینگ قرار گرفته است، با زیان مواجه شده است.


فیشینگ، تراژدی مردم عادی در عصر ارتباطات
"کرماک هرلی" محقق مایکروسافت در مقاله ای درباره مشکل فیشینگ می نویسد: اگر چه فیشینگ به عنوان یک هنر و مهارت در عصر ارتباطات تلقی می شود، لکن این مسئله تراژدی مردم عادی در عصر ارتباطات شناخته می شود، با توجه به اقتصاد لیبرالی و بازار جهانی اقتصاد، مردم عادی از هر گوشه این دینا مورد سو استفاده قرار گرفته و ثروت اندوخته خود را به دلیل عدم نظارت های و آموزش کافی از دست می دهند.


روش های مرسوم فیشینگ

کلاهبرداری آنلاین بواسطه روش فیشینگ، از طرق مختلفی قابل انجام است که با توجه به آمار 2010 سایت دیده بان کلاهبرداری بین الملل، به صورت زیر است:

1- دستکاری و تقلب در لینک ها و آدرس ها

یکی از شیوه های متداول و رایج در فیشینگ ارسال لینک ها و آدرس های متعلق به سازمان های غیر واقعی و جعلی از طریق ایمیل می باشد. آدرس هایی که تنها تفاوت آنها با آدرس اصلی یک یا دو حرف است یا از دامین های فرعی گمراه کننده برای ایجاد آنها استفاده گردیده است.

2- دور زدن فیلتر

فیشرها با استفاده کردن از عکس به جای متن، کار فیلترهای ضد فیشینگ را که برای شناسایی متن هایی که عموماً در ایمیل های حاوی آدرس های جعلی یافت می شوند، را سخت می کنند.

3- وب سایت جعلی

تنها با ورود و بازدید یک قربانی به سایت جعلی عمل کلاهبرداری صورت نمی پذیرد . در برخی از روش های فیشینگ از دستورات جاوا اسکریپت استفاده می شود تا نوار آدرس را اصلاح کند و تغییر دهد. این کار با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن یک نوار آدرس جدید که حاوی آدرس اینترنتی قانونی و موجه است، انجام می شود.

یک فیشر(مهاجم) حتی می تواند از نقایص موجود در برنامه جاوا اسکریپت یک سایت معتبر و قانونی علیه قربانیان خوداستفاده نمایند. این نوع حمله ها ( که به کراس سایت اسکریپتینگ معروف هستند) به طور خاص سخت و پیچیده هستند، چون آنها قربانی را به صفحه اینترنتی ثبت نام خدمات بانکی خود ارجاع می دهند. صفحه ای که در آن همه چیز از آدرس سایت گرفته تا گواهی امنیتی، همه درست و صحیح به نظر می رسند. در حقیقت لینک دادن به صفحه اصلی حقه ای برای به ثمر رساندن سرقت و انجام دادن حمله است.
با انجام این کار کشف این حمله برای افرادی که دانش لازم را ندارند، کار بسیار سختی است. در سال 2006 چنین حمله ای علیه سایت Pay Pal انجام شد.

[saman1990]

فیشینگ از طریق تلفن


تمامی حملات فیشینگ نیاز به استفاده از یک وب سایت جعلی و ساختگی ندارند. این نوع حملات شامل پیام هایی هم می شوند که ادعا می کند از طرف بانک هستند و از مشتری ها (استفاده کنندگان خدمات بانکی) می خواهند با توجه به مشکلی که برای حساب های آنها به وجود آمده است، با یک شماره تماس بگیرند. به محض این که مشتری با این شماره تلفن (که متعلق به مهاجم است و یک سرویس تلفن اینترنتی است) تماس بگیرد، دستوراتی به مشتری داده می شود تا شماره حساب و رمز خود را وارد کند. فیشرهایی که از سرویس تلفن اینترنتی استفاده می کنند، گاهی اوقات از داده های جعلی برای آی دی کالر استفاده می‌نمایند تا برای مشتریان این گونه به نظر برسد که این تماس از طرف یک سازمان مطمئن و معتبر انجام می شود.

سایر روش ها
• نوع دیگری از حمله که موفقیت آمیز بودنش ثابت شده است، ارجاع دادن قربانی به وب سایت اصلی بانک است. سپس یک پنجره پاپ آپ در بالای صفحه سایت به نمایش در می آید و به شکلی که به نظر برسد این صفحه و این سایت متعلق به بانک است، اطلاعات حساس قربانی را درخواست می کنند.

• یکی از جدیدترین روش های فیشینگ تب نبینگ است. این برنامه از صفحاتی که کاربر باز کرده استفاده می کند و به طور آهسته کاربر را به سایت ساختگی ارجاع می دهد.

• دوقلوهای شر یا Evil twins روشی است که شناسایی و کشف آن کار بسیار سختی است. یک فیشر یک شبکه بی سیم (وایرلس) ساختگی ایجاد می کند. این شبکه همانند شبکه های معتبر عمومی و قانونی می تواند در مکان هایی مانند فرودگاه ها، هتل ها و کافی شاپ ها وجود داشته باشد. وقتی که یک نفر وارد شبکه جعلی می شود، کلاهبرداران سعی می کنند رمزهای عبور و یا سایر اطلاعات مرتبط با کارت اعتباری او را ثبت و ضبط کنند.


مردم آمریکا بیشترین قربانی فیشینگ سیاسی

بنابر مقاله مدرسه انفورماتیک وابسته به دانشگاه ایندیانا آمریکا، در دوره های انتخابات ریاست جمهوری آمریکا، هکرها با استفاده از وبسایت های نامزدهای ریاست جمهوری ایمیل هایی برای مشترکین وبسایت هایی همچون ebay، Pay Pal ایمیل هایی ارسال می شود که مخاطب در صورت فریب و کلیک کردن بر لینک ارسالی قربانی حمله هکر شده و اطلاعات کارت اعتباری وی توسط فیشینگ به سرقت می رود.
کارشناسان اقتصادی آمریکا با توجه به رشد آمار استفاده از فیشینگ در این کشور نسبت به سلب امنیت اقتصادی و کاهش مشترکین انلاین به مسؤلین این کشور هشدار داده اند.

[saman1990]

آشنایی با کلاهبرداری از طریق روش "Skimming"
با وجود تلاش های هماهنگ از سوی مؤسسات مالی در سراسر جهان، تقلب و دستکاری در جهت دسترسی به حساب افراد از طریق دستگاه های خودپرداز همچنان بصورت یک مشکل رو به رشد است؛ این معضل هنگامی پیش می آید که مجرمان(Skimmers) با سرقت اطلاعات بدست آمده از کارت عابر بانک افراد و بدون اطلاع دارنده کارت، از آن سوءاستفاده می نمایند.

جرائم تکنولوژیکی پیچیده، نیاز به پاسخ های تکنولوژیکی پیچیده دارد. مجرمان با نصب ابزار پیشرفته در محل ورودی کارت دستگاه خودپرداز و خواندن اطلاعات کارت و نصب یک دوربین کوچک، تمامی اطلاعات مورد نیاز برای دسترسی به حساب افراد را بدست می آورند و از این طریق سرقت الکترونیکی اتفاق می افتد. دامنه تقلب و دستکاری در دستگاه های خودپرداز رو به گسترش می باشد. نزدیک به 70 درصد از مؤسسات مالی، در پاسخ به یک نظرسنجی انجام شده توسط شرکت Actimize گفته اند که افزایش جرائم الکترونیکی در دستگاه هایخودپرداز، در سال 2008 در مقایسه با سال 2007 را تجربه کرده بودند و انتظار می رود این رشد در سال های 2009 و 2010 بصورت فزاینده ای اتفاق بیافتد. به عنوان مثال، رئیس جمهور آمریکا اشاره کرده است که پیش از راه اندازی Anti Skimmer در آن سال، سارقان 9،000،000$ را در زمان 30 دقیقه از حسابها خارج نموده و به سرقت بردند.
اساساً تلفات ناشی از دستکاری درکارتخوان برروی دستگاه های خودپردازدرهمه جا رخ می دهد. در ارزیابی که توسط تیم امنیتی اروپا در زمینه سرقت از خودپردازها انجام گردید، 8 درصد افزایش حملات کلاهبرداری مربوط به دستگاه های خودپرداز در سال 2009، علاوه بر 149 درصد افزایش در حملات کلاهبرداری مشابه در سال 2008 بوده است. افزایش حوادث از 701 مورد در سال 2008 به 2166 مورد در سال 2009 رسیده است.با وجود افزایش Skimming، تعداد حوادث موفق گزارش شده، 1 درصد بیش از مدت مشابه کاهش یافته است. با این حال نکته قابل تأمل در نتایج گزارشات منتشر شده، 36 درصد کاهش در زیان ناشی از تقلب در دستگاه های خودپرداز مربوط به سال 2009، با مجموع گزارش خسارت 312،000،000€ (400.000.000$)، را از 485،000،000€ (622.000.000$) در سال 2008 بوده است. بر اساس تمامی اقدامات و بررسی های انجام شده توسط مؤسسات بزرگ اروپایی، راه های زیادی برای مبارزه با جرائم الکترونیکی و سرقت از طریق ATM وجود ندارد ولی در صورت استفاده از آن ها، درصد بسیار زیادی از حوادث و اتفاقات قابل کنترل می باشد.


روش مقابله با اسکیمینگ 1- دستگاه های خودپرداز جدید به حس گرهای مخصوص جهت خواندن اطلاعات اثر انگشت مجهز شوند که در آن صورت نیازی به وارد کردن رمز کارت نمی باشد و فقط اثر انگشت صاحب حساب برای برداشت از حساب مجوز دارد.



2- روش دیگر، دستگاه های سری قدیمی به Anti Skimmer (ضد اسکیمینگ) مجهز شوند و باید توجه نمود که کار تمامی Skimmerهای ساخته شده، خواندن اطلاعات کارت و نصب دوربین جهت دیدن رمز افراد است و چون اطلاعات کارت توسط یک هد مغناطیسی خوانده می شود، بهترین روش مغشوش نمودن آن اطلاعات مغناطیسی است که برای ساخت یک کارت کپی توسط سارق، استخراج می شود و در این مسیر شرکت های تولید کننده و همچنین استانداردهای متعددی در دنیا وجود دارد که هر یک از روش خاص خود استفاده می کنند.

3- در برخی روش ها، سعی در جلوگیری از امکان نصب Skimmer در دستگاه مورد نظر می باشد که این نوع از تجهیزات Anti Fraud نامیده می شوند.

4- در برخی دیگر از روش ها که از گروه Anti Skimming محسوب می شود، ضمن صرف زمان زیاد و البته اجبار در ایجاد تغییراتی در مسیرهای اطلاعات دریافتی از کارت خوان دستگاه، صرفاً از حس گر برای جلوگیری از نصب Skimmer استفاده می شود که در صورت بروز خطر، دستگاه ها دائماً Reset می شوند که این خود، یک عامل مهم درایجاد خرابی بر روی دستگاه می باشد.


5- در روشهای پیشرفته Anti Skimming که مورد استاندارد اروپا نیز می باشد ضمن نصب حس گرهای لازم جهت جلوگیری از نصب Skimmer هایی با تکنولوژی متفاوت، تجهیزات پیشرفته دیگری نصب می شود که دقیقاً درزمان نمونه برداری اطلاعات کارت، وارد عمل شده و با ایجاد سینگال التراسونیک در مکان مورد نظر، عملاً مانع استخراج اطلاعات بصورت سالم در Skimmer می شود، ضمن اینکه به دستگاه و مکانیزم عملیاتی آن آسیبی وارد نمی کند و پس از اتمام عملیات در کارت خوان، مجدداً در زمان خروج کارت، دستگاه فعال گردیده و مانع استخراج اطلاعات می گردد.

بنابر آمار منتشر شده، این اقدامات سبب کاهش چشمگیر تخلفات سایبری توسط اسکیمرها شده است.

[saman1990]

سایت هایی که حراجی اینترنتی نیستند

حراجی اینترنتی به روشی از فروش دارایی از طریق مزایده گفته می شود که در یک رقابت عمومی، کالا در مدت زمان مشخصی در اختیار کسی قرار می گیرد که بالاترین قیمت را پیشنهاد دهد و همچنین تمامی این مراحل به صورت آنلاین و از طریق اینترنت صورت گیرد. اخیراً شاهد ظهور یک سری از سایت ها (در ایران) بودیم که روشی متفاوت را در حراج کالا و مزایده خود ارائه می دهند.

اساس کار اینگونه سایت ها به این صورت می باشد که مشتریان این سایت ها ابتدا ثبت نام اولیه را انجام می دهند. در این ثبت نام از مشتریان، نام، نام خانوادگی، آدرس و شماره تماسشان را می خواهند. که در صورت برنده شدن در مزایده، محصول مورد نظرشان را ارسال نمایند. محصولات این سایت ها بیشتر گوشی تلفن همراه، کارت شارژ تلفن همراه، دستگاه های پخش موزیک و چیزهای از این قبیل می باشد که با قیمت های غیرمعقول به مزایده گذاشته می شوند.

این محصولات توسط گردانندگان سایت تهیه می گردد و برای مدت مثلاً 5 روز به مزایده گذاشته می شوند و یک ثانیه شمار هم در کنار آن قرار می دهند که زمان باقی مانده مزایده را نشان می دهد. در برخی از این سایت ها به ازای هر کلیک که روی محصول می شود، قیمت آن مقدار کمی افزایش می یابد و در برخی دیگر افزایش قیمت وجود ندارد و در نهایت کسی که آخرین کلیک را روی محصول انجام داده است، برنده مزایده می باشد.

مشتریان این سایت ها برای اینکه بتوانند در مزایده شرکت کنند، باید به حساب این سایت ها پول واریز نمایند. به این دلیل که به ازای هر کلیکی که روی محصول انجام می دهند، از حسابشان مبلغی کسر می گردد. اما سوال اینجاست که فروش محصول به این روش چه منفعتی را برای سایت به همراه دارد که آن را با قیمتی بسیار پایین تر از قیمت بازار به فروش می رسانند؟

جواب این است که سود این سایت ها بر روی کلیک هاست. به ازای هر کلیک از حساب کاربر مبلغی کسر می گردد و در نهایت شاید روی هر کالا سودی تقریباً دو برابر قیمت اصلی آن کالا نصیب متصدیان سایت گردد.