با عضویت در خبرنامه مطالب را در ایمیل خود دنبال کنید

فیشینگ (Phishing): مفهوم، روش های انجام، روش های مقابله، جرم انگاری، نحوه تعقیب قضایی

دکتر طاهر حبیب زاده

دکتری حقوق فناوری اطلاعات – انگلستان – عضو هیات علمی دانشکده حقوق دانشگاه امام صادق (ع) 

آی. دی. تلگرام و اینستاگرام: @drtaherhabibzadeh

واژه‌ی فیشینگ مخفف عبارت Password Harvesting Fishing یعنی شکار کردن گذرواژه کاربر از طریق یک طعمه است که در آن حرف Ph به جای F برای القای مفهوم فریفتن جایگزین شده است. اولین باری که واژه فیشینگ برای نام گذاری چنین اقداماتی استفاده گردید، دهه ۱۹۹۰ بود. با عمل فیشینگ، شخص فیشر (Phisher)، اطلاعاتی نظیر کلمه کاربری، رمز عبور، شماره ۱۶ رقمی عابر بانک، رمز دوم و CVV2 را از طریق ابزارهای ارتباطی الکترونیکی مانند ارتباط ایمیلی، پیامکی، وب سایتی، اپلیکیشنی و ربات های تلگرامی به سرقت می برد و برای این کار طعمه هایی را در مسیر کاربر قرار می دهد. در حال حاضر، بیشتر حملات فیشینگ از طریق وب سایت های شرط بندی، کانال های تلگرامی ، ایمیل و دستگاه های پوز و خودپرداز تقلبی صورت می گیرد.
در روش فیشینگ ایمیلی، فیشر یک ایمیلی را از یک آدرس ایمیلی به ظاهر معتبر مانند بانک مرکزی، شرکت یاهو، وزارت خانه مشخصی به مخاطبان ارسال می کند و اطلاعات مشخصی را مانند اطلاعات حساب بانکی به همراه هویت دارنده حساب درخواست می کند. به عنوان مثال، مدعی می شود که وی (گیرنده) یک مبلغ بالایی مثلا ۱۰۰ هزار دلار برنده شده است ولی برای ارسال این مبلغ به اطلاعات حساب بانکی و هویت وی نیازمند است. همچنین لازم است یک پیش پرداخت ابتدایی مثلا ۱۰۰۰ دلار صورت گیرد. مخاطب خوش خیال، به دام چنین فیشری می افتد و ضمن اینکه ۱۰۰۰ دلار درخواستی را ارسال می کند، اطلاعات حساب بانکی خود را نیز ارسال می کند و فیشر به راحتی تمامی موجودی حساب وی را بالا می کشد. نگارنده از این گونه ایمیل ها فراوان دریافت کرده است؛ مثلا ارسال کننده مدعی می شود اموال زیادی دارد و دارای ورثه نیست و می خواهد به شما ببخشد! یا اینکه ارسال کننده ایمیل می نویسد: «می‌توانید با کلیک بر روی لینک زیر شارژ ۱۰۰۰۰ تومانی را با قیمت ۸۰۰۰ تومان خریداری کنید. ممکن است مخاطب وسوسه شود و روی لینک کلیک کند؛ در این زمان، به صفحه ای هدایت می شود که درخواست پرداخت الکترونیکی می کند. وارد کردن اطلاعات کارت بانکی همان و کشیدن همه پول کاربر از حساب اعلامی همان. امروزه به سبب فناوری ضد اسپم که در جیمیل ایجاد شده است، اینگونه محتوی به جعبه اسپم وارد می شود. گاهی نیز یک بدافزار به ایمیل ضمیمه می شود. با نصب آن، هکر به دستگاه کاربر دسترسی کامل پیدا می کند. نرم‌افزار و بازی‌های جنجالی و اغلب تحت عناوین جذاب (مثل صیغه‌یاب، دوست یاب و ماهواره جیبی) از جمله خطرناک ترین بدافزارها هستند. کاربر پس از نصب نرم‌افزار، اقدام به پرداخت مبلغ خدمات در داخل نرم‌افزار می‌کند، غافل از اینکه اطلاعات کارت بانکی خود را در اختیار کلاهبرداران گذاشته است. هیچ وقت نباید چنین ضمایمی به ایمیل های دریافتی را باز کرد. در سال ۲۰۱۸ برخی از کاربران وورد پرس ایمیلی را برای به روز رسانی دیتابیس خود دریافت کردند. اگر کاربر بر روی کادر آبی کلیک می کرد وارد صفحه جدیدی می‌شد که آدرس سایت و نام کاربری را درخواست می‌کرد و سپس شروع به به روز رسانی جعلی می‌کرد. بعد از چند ثانیه رمز ورود به پیشخوان وردپرس را درخواست می‌کرد. اگر کاربر رمز را وارد می کرد، پیشخوان سایت وی (بخش مدیریت) در اختیار فیشر قرار می گرفت و دیگر سایت از دسترس دارنده آن خارج می شد:

در روش فیشینگ وب سایتی، فیشر یک صفحه اینترنتی عین صفحه پرداخت اینترنتی واقعی، طراحی می کنند و از طریق تبلیغات کالا یا خدمات و حتی تبلیغ جمع آوری کمک های خیریه و مردمی برای نیازمندان، مخاطب را به صفحه پرداخت قلابی هدایت می کنند. مخاطب اطلاعات کارت اعتباری خود را وارد می کند و ضمن اینکه مبلغی در همان ابتدا برای دریافت کالا یا خدمات به حساب مجرم واریز می کند، اطلاعات حساب خود را نیز عملا در اختیار وی قرار می دهد. مجرم با استفاده از این اطلاعات، می تواند تراکنش مالی انجام دهد. طراحی صفحه های پرداخت الکترونیکی بارزترین روش فیشینگ است. لذا امروزه در بانکداری اینترنتی یک از مباحث جدی امنیت حساب کاربران است و جلوگیری از فیشینگ یکی از دغدغه های جدی متصدیان بانکی است. امن تری درگاه پرداخت، درگاه پرداخت بانک مرکزی به آدرس www.shaparak.ir است. یک فیشر ممکن است آدرس اینترنتی شبیه شاپرک ایجاد کند و کاربر گمان کند درگاه معتبر شاپرک است و اطلاعات کارت بانکی خود را وارد کند. به تصویر زیر دقت فرمایید:

در روش دیگر، فیشر یک وب سایتی شبیه وب سایت واقعی می سازد. مخاطب وارد وب سایت جعلی می شود و برای ورود به حساب کاربردی خود اقدام می کند و اطلاعات لازم را وارد می کند. غافل از اینکه فیشر این اطلاعات را ذخیره می کند و به سراغ وب سایت واقعی می رود و وارد حساب کاربری مخاطب می شود و هر آنچه را که در نظر داشت انجام می دهد. به این روش مرد-در-میان (Man-in-the-middle) می گویند. فیشرها حتی وب سایت های نهادهای رسمی را نیز جعل می کنند مثلا در نام دامنه وب سایت آن نهاد، حروفی را کم یا اضافه یا تغییر می دهند تا مخاطب گمان کند که همان سایت واقعی نهاد مورد نظرش است، مانند اینکه وب سایت بانک ملی ایران را که به صورت www.bmi.ir است، با آدرس www.bme.ir شبیه سازی کند و مخاطب را فریب دهد. مثال شاپرک در تصویر بالا نمونه دیگری است. به عنوان یک نمونه دیگر می‌توان به دامنه‌ jimail.com اشاره کرد که از نظر تلفظی شبیه به gmail.com است و برای مدتی اکانت های گوگل را فیشینگ می کرد. به عنوان نمونه دیگر، سایت بایننس به آدرس Binance.com یک صرافی معتبر در حوزه رمز ارزهاست. هکر با ساخت آدرس مشابه bïnance.com مبالغ زیادی را از کاربران به سرقت برد. بهترین راه این است که کاربر آدرس وب سایت مورد نظر خود را به طور مستقیم در مرورگر تایپ کند. حتی پیشنهاد می شود که عنوان وب سایت موردنظر را در گوگل جستجو نکنید! به عنوان یک مثال، هکر با استفاده از روش‌های سئو یا تبلیغات در موتورهای جستجو، یک وب ‌سایت جعلی را در نتایج بالا می‌آورد و کاربر روی نتایج اولیه کلیک و اطلاعات شخصی خود را در یک سایت مخرب وارد می‌کند. نمونه واقعی از اینگونه انجام فیشینگ با استفاده از تبلیغات گوگل با سوءاستفاده از صرافی کراکن را در زیر می بینید – نتایج تبلیغاتی که در کنار خود یک کلمه Ad (به معنای تبلیغات) دارند، یکی از روش‌های انجام فیشینگ است:

در حوزه بانکی،‌ شرکت پی پینگ به عنوان پرداخت یار رسمی بانک مرکزی، در مقابل حملات فیشینگ اقدام گسترده ای انجام داده و سعی دارد با انجام اقداماتی برای حفاظت از اطلاعات کاربران کمک موثری کند. همچنین، در پرداخت الکترونیکی حتما باید از خدمات بانکداری الکترونیک و شرکت های مجاز حوزه فین‌تک کمک گرفت.
در شبکه های اجتماعی به ویژه تلگرام، نصب اپلیکیشن های مختلف مانند اپ پرداخت آنی پول تبلیغ می شود. مخاطب با نصب و به کارگیری آنها در واقع اطلاعات بانکی خود را در اختیار اداره کنندگان اپلیکیشن قرار می دهد. همچنین، اپلیکیشن هایی با امکان پرداخت درون برنامه تبلیغ می شوند مانند راز و رمز میلیاردر شدن در سه ماه، لاغری و تناسب اندام در یک ماه و مکالمه زبان انگلیسی در ۹۰ روز. کاربر با نصب آن و یک بار پرداخت درون برنامه برای استفاده از خدمات بیشتر، اطلاعات بانکی خود را در اختیار اداره کنندگان اپلیکیشن قرار می دهد. لذا باید توجه نمود که هر برنامه ای را از هر منبعی نصب نکرد.
برخی مجرمان با استفاده از دستگاه های POS مغازه ها و ATM های تقلبی که در جاهای مختلفی نصب می شود کارت‌های بانکی کاربران را کپی کرده و به بهانه فروش محصول و کالا رمز عبور آن‌ ها را می‌پرسند و سپس حساب بانکی کاربر را خالی می‌کنند.
استفاده از نرم‌ افزارهای ضد هک و فیشینگ مانند کومودو که با فایروال قوی خود مانع هک شدن می‌شود، توصیه می شود. همچنین، برای جلوگیری از افزایش آمار فیشینگ و سرقت اطلاعات باید آگاهی کاربران را افزایش داد. نباید به ایمیل هایی که از گیرنده درخواست می شود تا فرمی را پر کند اطمینان کرد. نباید اطلاعات حساب کاربری را در اختیار سایت ها قرار داد. کاربران برای پرداخت آنلاین باید از درگاه های مخصوص بانک ها استفاده کنند و به ایمیل های داخل Spam در حساب کاربری بی اعتنا باشند و آنها را پاک کنند.
روش دیگر، ارائه خدمات دسترسی به اینترنت از سوی فیشر است.فیشر یک شبکه بی سیم (wireless) جعلی ایجاد می کند و آن را در دسترس مخاطبان قرار می دهد مثلا در اماکن عمومی مانند فرودگاه ها، هتل ها و کافی شاپ ها؛ وقتی یک نفر وارد این شبکه جعلی می شود فیشر سعی می کند رمزعبور و یا سایر اطلاعات مرتبط با کارت اعتباری وی را ثبت و ضبط کنند و بعد از آن برای اهداف خود به کار گیرند. به این روش Evil twins یعنی دوقلوهای شر می گویند؛ شبکه وایرلس ایجاد شده به مانند دوقلوها مثل یک شبکه وایرلس واقعی و قانونی وانمود می شود. به همین دلیل، باید در استفاده از شبکه های وایرلس عمومی نهایت دقت و اطمینان را به کار برد.
علاوه بر فیشینگ، از اسمیشینگ (Smishing / SMS phishing) نیز برای کلاهبرداری استفاده می شود. این نوع کلاهبرداری با استفاده از پیامک صورت می‌گیرد و از شخص درخواست می‌شود تا با شماره خاصی تماس بگیرد. برای مثال گفته می‌شود که برای پشتیبانی از شماره حساب ‌تان با این شماره تماس بگیرید و یا وارد وب ‌سایت خاصی شوید که در واقع آلوده است. یا اینکه گفته می شود در یک قرعه کشی بانکی برنده شده است و برای واریز مبلغ جایزه به حساب شما،‌ لازم است اطلاعات حساب خود را ارسال کنید. به عنوان مثال دیگر، پیامکی به افراد ایرانی ارسال می شود با این مضمون که یارانه نقدی شما قطع شده است و برای ثبت نام مجدد باید به لینک داخل پیامک وارد شوید. پس از وارد شدن به صفحه، از کاربران درخواست وارد کردن اطلاعات کارت بانکی می‌ کند.
شکل دیگر از کلاهبرداری‌ های اینترنتی، ویشینگ (Vshing /Voice phishing) نام دارد که قربانی یک پیام صوتی مثلا از طریق تلفن دریافت می‌کند که حاکی تقاضا برای ارسال اطلاعات خاصی مانند شماره حساب است.
از نظر دامنه مخاطبان هدف برای فیشینگ، مجرم گاهی عموم مردم را هدف قرار می دهد مانند اینکه یک وب سایت جعلی عمومی طراحی می کند و همه نوع مخاطب، هدف مجرم است و گاهی مخاطبان خاصی مانند افراد خاص یا شرکت ها، سازمان ها و نهادهای خاصی را مورد هدف قرار می دهد. به این روش، فیشینگ نیزه ای یا نقطه ای یا هدف دار (Spear Phishing) می گویند. در این روش، فیشر سعی می کند از اطلاعات واقعی گیرنده استفاده کند تا اطمینان وی را جلب نماید. به عنوان مثال، می نویسد: جناب آقای حسین علیدوست، شما برنده ۱۰ میلیون تومان وجه نقد از بانک ملی ایران شده اید. ضمن تبریک، لطفا اطلاعات حساب بانکی خود را ارسال کنید تا مبلغ فوق به حساب شما واریز شود. بالاخره ممکن است از بین هزاران مخاطب، یکی در دام چنین پیامی بیافتد. گروه خرس فانتزی روسیه در سال ۲۰۱۶ از روش فیشینگ نیزه‌ای برای هدف گرفتن ایمیل‌های ستاد انتخاباتی هیلاری کلینتون در هنگام انتخابات ریاست‌جمهوری ایالات متحده آمریکا استفاده کردند. آنها به بیش از ۱۸۰۰ حساب کاربری گوگل حمله و از دامنه accounts-google.com را برای تهدید کاربران هدف استفاده کردند.
کشورهای مختلف، برای مبارزه با عمل فیشینگ مقررات گذاری کرده اند. برخی از این مقررات با نام قانون ضدفیشینگ (Anti-Phishing ) شناخته می شوند و برخی از کشورها در قوانین جزایی به معنی عام یا قوانین جرایم رایانه ای به معنی خاص به جرم انگاری عمل فیشینگ پرداخته اند مانند لایحه قانون ضد فیشنیگ سال ۲۰۰۵ آمریکا، قانون کلاهبرداری مصوب ۲۰۰۶ بریتانیا و دستورالعمل مربوط به حملات علیه سیستم های اطلاعاتی مصوب ۲۰۱۳ اتحادیه اروپا نمونه ای از قانونگذاری های مرتبط با فیشینگ است.
از منظر قانونگذاری در ایران، فیشینگ با همین نام جرم انگاری نشده است. اما نحوه اقدام در آن که «تلاش به دست یابی غیرمجاز به داده های متعلق به دیگری است» مانند زمانی که فیشر می خواهد اطلاعات حساب بانکی و هویتی کاربر را به دست آورد یا «تحصیل مال نامشروع به طور مستقیم است» مانند زمانی که فیشر کاربر را مستقیما به صفحه پرداخت جعلی هدایت می کند تا مبلغی به حساب وی واریز کند، جرم انگاری شده است. در قانون جرایم رایانه ای مصوب ۱۳۸۸ (که اینک بخشی از قسمت تعزیزات قانون مجازات اسلامی مصوب ۱۳۹۲ است) تحت عنوان سرقت و کلاهبرداری مرتبط با رایانه مواد روشنی این زمینه آمده است:
ماده ۱ قانون جرایم رایانه ای (ماده ۷۲۹ بخش تعزیرات قانون مجازات اسلامی مصوب ۱۳۹۲ ):
هرکس به طور غیرمجاز به داده ها یا سامانه های رایانه ای یا مخابراتی که به وسیله تدابیر امنیتی حفاظت شده است دسترسی یابد، به حبس از نود و یک روز تا یک سال یا جزای نقدی از پنج میلیون (۵.۰۰۰.۰۰۰) ریال تا بیست میلیون (۲۰.۰۰۰.۰۰۰) ریال یا هر دو مجازات محکوم خواهد شد.
ماده ۱۲ قانون جرایم رایانه ای (ماده ۷۴۰ بخش تعزیرات قانون مجازات اسلامی مصوب ۱۳۹۲ ):
هرکس به طور غیرمجاز داده های متعلق به دیگری را برباید، چنانچه عین داده ها در اختیار صاحب آن باشد، به جرای نقدی از یک میلیون (۱.۰۰۰.۰۰۰) ریال تا بیست میلیون (۲۰.۰۰۰.۰۰۰) ریال و در غیر این صورت به حبس از نود و یک روز تا یک سال یا جزای نقدی از پنج میلیون (۵.۰۰۰.۰۰۰) ریال تا بیست میلیون (۲۰.۰۰۰.۰۰۰) ریال یا هر دو مجازات محکوم خواهد شد.
ماده ۱۳ قانون جرایم رایانه ای (ماده ۷۴۱ بخش تعزیرات قانون مجازات اسلامی مصوب ۱۳۹۲ ):
هرکس به طور غیرمجاز از سامانه های رایانه ای یا مخابراتی با ارتکاب اعمالی از قبیل وارد کردن، تغییر، محو، ایجاد یا متوقف کردن داده ها یا مختل کردن سامانه، وجه یا مـال یا منفعت یا خدمات یا امتیازات مالی برای خود یا دیگری تحصیل کند علاوه بر رد مال به صاحب آن به حبس از یک تا پنج سال یا جزای نقدی از بیست میلیون (۲۰.۰۰۰.۰۰۰) ریال تا یکصد میلیون (۱۰۰.۰۰۰.۰۰۰) ریال یا هر دو مجازات محکوم خواهد شد.
برای پیگیری فیشینیگ، باید بزه دیده سریعا به دادسرای عمومی و انقلاب محل وقوع جرم مراجعه کند و اگر در تهران سکونت دارد به دادسرای جرایم رایانه ای مراجعه نماید. نهایتا پرونده به دادگاهی ارسال می شود که جرم فیشینگ در آنجا اتفاق افتاده است و تشخیص این امر با دادسراست و به کمک پلیس فتا انجام می شود. وقتی حکم قطعی و نهایی شد، دادگاه صادرکننده رای، آن را به دادسرا می‌فرستد و به صورت خودکار اجرای حکم آغاز می شود.

 

دکتر طاهر حبیب زاده

دکتری حقوق فناوری اطلاعات – انگلستان – عضو هیات علمی دانشکده حقوق دانشگاه امام صادق (ع)

آی. دی. تلگرام و اینستاگرام: @drtaherhabibzadeh

 

  • تاریخ انتشار: 20 دی 1398
  • تعداد بازدید: 1925
  • بدون دیدگاه