اطلاعات لو رفته؛ ابزار جدید کلاهبرداران

عمادالدین قاسمی‌پناه-روزنامه‌نگار

به‌تازگی خبری در بعضی از رسانه‌ها و شبکه‌های اجتماعی منتشر شد که محتوای آن هک اطلاعات هویتی 130میلیون ایرانی در سازمان ثبت احوال بود. اگرچه این سازمان خبر سرقت اطلاعات را تکذیب کرد و اکنون سایت این سازمان هم در دسترس است، اما برای ساعتی، سایت سازمان ثبت احوال از دسترس خارج شد. گمانه هک، زمانی تقویت شد که هکر با انتشار تصاویری از اطلاعات این سامانه ادعا کرد که سایت سازمان ثبت احوال کشور هک شده است. چندی پیش هم اطلاعات کاربران یکی از تاکسی‌های اینترنتی باعث نگرانی مردم و رانندگان این سرویس شد. با این حال، تعدادی از کاربران که در میان آنها متخصصان حوزه آی‌تی هم دیده می‌شود، این سؤال را مطرح کردند که اطلاعات شخصی افراد شامل کد ملی، شماره کارت بانکی، نام و نام خانوادگی و حتی عکس پرسنلی مردم چه خطری می‌تواند برای آنها در پی داشته باشد؟ نخستین پاسخ این است که این اطلاعات، در حیطه حریم خصوصی مردم طبقه‌بندی می‌شود و قانون دسترسی به آن را بدون رضایت اشخاص ممنوع دانسته است. پاسخ بعدی را هم می‌توان «ایجاد بی‌اعتمادی نسبت به سازمان» توصیف کرد.

دشمن نادیده در فضای مجازی
میلاد نوری، کارشناس حوزه آی‌تی و برنامه‌نویس درباره لو‌رفتن اطلاعات مردم از تاکسی اینترنتی و اهمیت آن، با اشاره به اینکه این اطلاعات، جزو حریم خصوصی ماست و دیگران نباید به آن دسترسی داشته باشند، می‌گوید: «در کنار هم قرار‌دادن این اطلاعات جزئیات کاملی از شما در اختیار افراد قرار می‌دهد؛ از مقاصد کلاهبرداری تا اینکه ممکن است شما یک دشمن نادیده در فضای مجازی با روانی مریض داشته باشید که از این به بعد می‌تواند به لیست سفرها و آدرس‌های شما هم دسترسی داشته باشد و کلی مثال دیگر.»‌نوری اطلاعات لو‌رفته در هک تاکسی اینترنتی را علاوه بر اطلاعات مسافرها و راننده‌ها، شامل اطلاعات دیوایس‌های(گوشی و تبلت و...) کاربران می‌داند و ادامه می‌دهد: «اطلاعاتی مثل نسخه اپلیکیشن، مدل گوشی و برخی اطلاعات دیگر هم لو رفته است.»

جزئیات فنی هک
این برنامه‌نویس یادآوری می‌کند که 2پارامتر خیلی مهم در میان این دیتا با عناوین googleAdId و deviceId وجود دارد.‌نوری با اشاره به اینکه شناسه googleAdId یا همان AAID (یا همان GAID) منحصر‌به‌فرد و به ازای هر دیوایس(+ به ازای هر کاربر گوگل) است، اینگونه توضیح می‌دهد: «یعنی شما اگر با 2حساب کاربری گوگل روی یک گوشی لاگین کردید، به ازای هر اکانت گوگل لاگین‌شده، روی این دیوایس، یک شناسه منحصر‌به‌فرد AAID یا همان GAID وجود دارد.‌‌او مورد بعدی را deviceId می‌داند که با بررسی سورس اندروید شرکت هک شده یا هر اپلیکیشن دیگری، نحوه ساخت آن را می‌توان بررسی کرد که به‌احتمال خیلی زیاد در نسخه اندروید از ANDROID_ID استفاده می‌شود که در اندرویدهای ۸ به قبل، به ازای هر کاربر روی هر دیوایس، منحصر‌به‌فرد بوده است. هر‌چند در نسخه‌های بعدی اندروید کمی تغییر کرده است.

تطابق شناسه‌ها چه می‌کند؟
کارشناس حوزه آی‌تی در ادامه می‌گوید: «حالا تصور کنید شما در اپلیکیشن دیگری، به‌صورت ناشناس(از نظر خودتان) خبری می‌خوانید یا فعالیتی انجام می‌دهید و آن اپلیکیشن بنا بر مقاصد تبلیغاتی، آماری و... همین 2پارامتر از شما را(بدون نیاز به سطح دسترسی خاصی)، ذخیره می‌کند، ‌مثلا صرفا برای اینکه بازدیدهای شما از یک خبر را یک‌بار بشمارد و بازدیدهای تکراری شما را نشمارد.نوری در ادامه به تطابق شناسه‌ها اشاره می‌کند و می‌گوید: «با تطابق این شناسه‌ها در سرویس‌های مختلف، مشخص می‌شود شما که در فلان اپلیکیشن خبری، خبر ۱ و ۳ را خوانده‌ای، همان کاربری هستی که در فلان اپلیکیشن، فلان عکس را آپلود کرده‌ای و همین کاربری هستی که در تپ‌سی فلان سفرها را رفته‌ای.»‌به‌گفته او «نشت‌های اطلاعات سرویس‌های مختلف باعث می‌شود این تطابق برای همه افرادی که به این دیتابیس‌ها دسترسی پیدا می‌کنند، امکان‌پذیر باشد.»


مهندسی اجتماعی از طریق اطلاعات لو‌رفته
آنچه باعث می‌شود اطلاعات لورفته کاربران خطرناک توصیف شود، دسترسی به بعضی از اطلاعات دقیق کاربران برای عملیات روانی به نام «مهندسی اجتماعی» است.در مهندسی اجتماعی، کلاهبرداران با طراحی یک سناریو براساس اطلاعات در دسترس، تلاش می‌کنند به اطلاعات دیگری ازجمله رمز‌بانکی کاربران دست پیدا کنند. در مهندسی اجتماعی، کلاهبردار تلاش می‌کند که خود را به جای کارمند یک سازمان، یک بانک یا شرکت معرفی کند.این اتفاق بارها افتاده و پلیس فتا هم بارها با پیامک‌های مکرر هشدار، این موضوع را به کاربران گوشزد کرده است.
 
نمونه یک مهندسی اجتماعی
میلاد نوری درباره این نوع از کلاهبرداری به تجربه ‌خود اشاره می‌کند و می‌گوید که از یک شماره با او تماس گرفته شده که صاحب صدا می‌گوید، از بانکی که «نوری» حساب دارد
(با ذکر نام بانک) تماس گرفته و او را برنده یک جایزه اعلام کرده است.
او با اشاره به اینکه صاحب صدا کلی آب و تاب داد که مدیر بانک هم الان حضور دارد و شما به‌دلیل تراکنش‌های فلان کارتت (با ذکر شماره کارت)، نفر هشتم قرعه‌کشی شدی، ادامه می‌دهد: «اطلاعات همه حساب‌ها و کارت‌های بانکی مختلف من را هم داشت؛ همه بانک‌ها.»این برنامه‌نویس می‌گوید: [صاحب صدا] گفت کمک هزینه‌ای که برنده شدید، 20میلیون تومان است که 10میلیون تومان را الان به کارت شما در همان بانک می‌زنیم. 10میلیون هم از طریق همراه‌کارت که اسپانسر ما شده، به شما تقدیم می‌شود.‌

صحنه‌سازی‌ کلاهبردار
این کارشناس حوزه آی‌تی صحنه‌سازی‌ کلاهبردار را اینگونه توضیح می‌دهد: {صاحب صدا} پرسید 10میلیون رو به کدوم کارت واریز کنیم؟ شما فقط بانک رو بگید. اسم یه بانک دیگه رو گفتم. (مثلا) به همکارش گفت، خانم افشار مشخصات این بانک آقای نوری رو چک کنید. گفت توی این بانک 2کارت دارید. با کدومش بیشتر کار می‌کنید به همون واریز کنیم. یکی از شماره کارت‌های من رو خوند و گفت همینه؟ گفتم بله. همون لحظه رمز پویا برای انتقال وجه از طرف اپلیکیشن همراه بانک برای من ارسال شد.

مکث
هشدار برای مهندسی اجتماعی
میلادنوری،‌کارشناس حوزه آی‌تی از مردم می‌خواهد که خیلی مراقب باشند تا حساب خود و اطرافیان‌شان خالی نشود.‌نوری می‌گوید: من از اول متوجه موضوع شدم و فقط برای اینکه ببینم شگردهای آنها به چه شکلی است، مکالمه را ادامه دادم. [آنها] به قدری به اطلاعات دسترسی داشتند که احتمال فریب‌خوردن افراد غیرمطلع خیلی خیلی بالاست. هر کس ممکن است به‌دلیل این اطلاعات، [به کلاهبرداران] اعتماد کند.