کم‌کاری در مقابل مافیای فیشینگ

عمادالدین قاسمی‌پناه- روزنامه‌نگار

صدای اعلان پیامک‌هایی که از گوشی‌ها شنیده می‌شود، در واقع می‌تواند زنگ خطر فیشینگ باشد. روزی نیست که کاربران پیامک‌هایی را با سرشماره‌های شخصی یا عمومی دریافت نکنند که آنها را تشویق به لمس لینک پیامک می‌کنند. کافی است که کاربران لینک پیامک را لمس کنند تا خیلی سریع در دام یک کلاهبردار بیفتند. البته تقریبا هر روز از سوی پلیس فتا پیامک‌های هشدار هم به گوشی کاربران ارسال می‌شود تا آنها را نسبت به خطر اینگونه پیامک‌ها آگاه کند. با این حال، مسئله این است که چرا ریشه پیامک‌های فیشینگ خشک نمی‌شود. کارشناسان حوزه امنیت سایبری معتقدند که فیشینگ نابود نمی‌شود، بلکه از شکلی به شکل دیگر در می‌آید؛ بنابراین مهم‌ترین کاری که در این حوزه می‌توان انجام داد، صرفا آگاهی‌رسانی است.

پیامک‌های فیشینگ قابل رصد هستند
بهناز آریا، رئیس کمیسیون افتا سازمان نظام صنفی رایانه‌ای تهران در گفت‌وگو با همشهری با اشاره به اینکه کسانی که این پیامک‌ها را می‌فرستند از جایی سرویس می‌گیرند و بستر ارسال این پیامک‌ها زیرساخت و مخابرات و زیرمجموعه رگولاتوری است، می‌گوید: «این پیامک‌ها قابلیت رصد و پیگیری دارند و می‌توان مشخص کرد که چه‌کسی، چه سرویسی گرفته و چه کاری از طریق این بستر انجام می‌دهد.» آریا مسئله VAS  یا پیامک‌های ارزش‌افزوده در دولت قبلی را یادآوری می‌کند و معتقد است: از آنجا که در این حوزه‌ها شاهد گردش مالی بالایی هستیم، اجازه داده نمی‌شود که این شریان اقتصادی به راحتی بسته شود. به‌گفته او «نیاز به تلاش زیاد و همت مضاعف در این حوزه داریم تا جلوی این پیامک‌ها گرفته شده و ذی‌نفعان جریمه شوند.»

گستردگی حوزه فیشینگ
کارشناس مدیریت فناوری و امنیت اطلاعات با اشاره به اینکه این افراد هر روز از یک سرشماره یا سیم‌کارت، پیامک‌های فیشینگ را ارسال می‌کنند و این کار به حدی گسترده است که با بلاک کردن یک شماره یا چند شماره متوقف نمی‌شود، تأکید می‌کند که «باید سراغ ریشه این کار رفت و آن شخص یا مجموعه‌ای را که این کار را انجام می‌دهد، پیدا کرد.»
آریا همچنین این پیامک‌ها را قابل ردیابی می‌داند و می‌گوید: «به‌عنوان مثال، پلیس فتا می‌تواند با روش‌های پیگیری جرم در جلوگیری از این اتفاق سهیم باشد. به‌عبارت دیگر، متوقف کردن این پیامک‌ها به یک کار اشتراکی با همکاری پلیس فتا، مخابرات و رگولاتوری نیاز دارد.»
به‌گفته او «حوزه فیشینگ به اندازه‌ای خطرناک است که پای کار آمدن همه دستگاه‌های مرتبط ناگزیر است؛ هرچند که متأسفانه تاکنون شاهد این هم‌افزایی بین دستگاهی نبوده‌ایم.»

اصل اول، آگاهی‌رسانی
رئیس کمیسیون افتا سازمان نظام صنفی رایانه‌ای تهران با اشاره به اینکه در زمینه ارسال این نوع پیامک‌ها قطعا ذی‌نفعانی وجود دارند و هر روز با روش‌ها و فناوری‌های جدیدی روبه‌رو هستیم، می‌گوید: «مسئله مهمی که در این میان وجود دارد این است که شاید امروز به‌نحوی بتوانیم این نوع پیامک‌ها را مسدود کنیم، اما روز بعد فیشینگ به شکلی دیگر خود را نشان می‌دهد.» آریا معتقد است که با مسدود شدن این پیامک‌ها فیشینگ پایان نمی‌یابد و تأکید می‌کند: «در موضوعی مانند فیشینگ که به نوعی با حوزه مهندسی اجتماعی مرتبط است، مهم‌ترین راه‌حل «آگاهی‌رسانی» است.» به‌گفته او «چون هر روز کلاهبرداران در جست‌وجوی راه جدیدی برای اقدامات تبهکارانه خود هستند، بسیاری از اقدامات متولیان ناکام می‌ماند؛ بنابراین مهم‌ترین وظیفه‌ای که دولت‌ها، رگولاتورها و متولیان بر عهده دارند، آگاه‌سازی عموم مردم است. اکنون پلیس فتا این وظیفه را به‌عهده گرفته و در حال انجام این مسئولیت است.»
کارشناس مدیریت فناوری و امنیت اطلاعات با اشاره به اینکه ما همیشه در کشور به‌دنبال حذف صورت مسئله بوده‌ایم، این رویکرد را مؤثر نمی‌داند و تأکید می‌کند که علت تأثیرگذار نبودن این رویکرد این است که ما هر لحظه با یک صورت مسئله جدید روبه‌رو هستیم. آریا همچنین در پاسخ به این پرسش که آیا سامانه‌های ارسال پیامک انبوه، سفارش‌دهندگان پیامک را احراز هویت می‌کنند یا نه، پاسخ مثبت می‌دهد، اما در عین حال می‌گوید: «احتمال دارد که بعضی از این هویت‌ها جعلی باشد. همانگونه که در بعضی از اختلاس‌ها و جرایم سایبری و موارد مشابه از کسانی برای باز کردن حساب استفاده شده که در واقع هویت و محل اسکان آنها مشخص نبود؛ بنابراین ساختن هویت جعلی یا حتی هویت واقعی که مجهول‌المکان است، کار دشواری نیست.» او راه‌حل نهایی کنترل فیشینگ و همه حوزه‌های مهندسی اجتماعی در کل دنیا را صرفا آگاهی‌رسانی امنیتی در سطح آحاد مردم می‌داند و می‌گوید: «همه در این موضوع موظف هستیم و بیشترین سهم نیز به‌عهده دولت، حاکمیت و متولیان در راستای آگاهی‌رسانی است. این یک اکوسیستم است که همه ذی‌نفعان ازجمله رسانه‌ها وظایفی دارند.»