کلاهبرداری پیامکی با سرخط ۳۰۰۰

فناوری
پیامک جعلی که از طرف یک شخص یا گروه متخلف برای 78هزار نفر از کاربران تلفن همراه در ایران ارسال شده و از قطع یارانه آنها خبر داده بود، شناسایی و مسدود شد.
 قربانیان این پیامک، به یک سایت جعلی هدایت می‌شدند که شبیه سایت‌های دولتی و درگاه‌های پرداخت بانکی جعل شده بود و از کاربر می‌خواست تا اطلاعات خصوصی بانکی شامل شماره کارت و رمزهای محرمانه را در این صفحه وارد کند. با این حساب، فرد متخلف با در اختیار‌گرفتن اطلاعات بانکی عملا می‌تواند تمام حساب کاربران را تخلیه کند.
برخلاف موارد مشابه این‌بار اما استفاده از سرخط ۳۰۰۰ برای ارسال پیامک که معمولا مردم آن را با پیامک بانک‌ها و مؤسسات معتبر می‌شناسند، تعداد قربانیان را بالا برده است.


 با پخش اطلاعات ارسال این پیامک جعلی، اینطور که محمدجواد آذری جهرمی، وزیر ارتباطات گزارش داد، خط ارسالی از داخل وزارتخانه بسته، گزارش به دادستانی ارائه و اقدامات قضایی برای شناسایی متخلف آغاز شد. او تأکید کرد که‌ ‌وزارت ارتباطات و پلیس فتا بلافاصله اطلاع‌رسانی‌های لازم پیامکی را انجام دادند. این ماجرا علاوه بر این، نیاز به بررسی دقیق‌تر در واگذاری پنل‌های پیامک با سر‌خط اپراتورها ازجمله ۱۰۰۰، ۲۰۰۰ و ۳۰۰۰ را برجسته کرده است.
این کلاهبرداری که با روش موسوم به «فیشینگ»‌ انجام شده، یکی از معروف‌ترین، ساده‌ترین و در عین حال، همه‌گیرترین روش‌های کلاهبرداری آنلاین در جهان است که البته راه‌‌ پیشگیری نسبتا ساده‌ای نیز دارد.

جداسازی سرشماره‌های حاکمیتی از عادی
محمدجعفر نعناکار، مدیرکل حقوقی سازمان فناوری اطلاعات ایران نقص‌های قانونی را که در ارائه سرشماره‌های خدماتی وجود دارد باعث دردسرهایی ازجمله پخش پیامک‌های خدماتی جعلی می‌داند. او در گفت‌وگو با همشهری، ضمن توضیح آنچه به‌وقوع پیوسته، راه‌حل حقوقی این مشکل را نیز ارائه می‌کند: «در کشور چند اپراتور اصلی وجود دارند که خدمات پیامکی را برای شرکت‌های مختلفی که بخواهند خدمات به مشتری ارائه کنند، به آنها ارائه می‌دهند. این اپراتورها سرشماره‌های رسمی را فراهم‌کننده اصلی گرفته و آن را در اختیار شرکت‌های حقوقی می‌گذارند. مجوز دادن به این شرکت‌ها و نظارت بر کارکرد آنها با وزارت ارشاد است. این سرشماره‌های رسمی که حاکمیتی و پنج‌رقمی هستند، باید طبق سازوکاری از سرشماره‌های خدماتی دیگر که با 3000، ‌5000 و... شروع می‌شوند اما معمولا 12رقم یا بیشتر دارند، جدا شود. ضمن اینکه، باید بر اساس سازوکاری برای کاربر مشخص شود، این شماره‌ها حاکمیتی هستند. برای رسیدن به این منظور، ‌شماره‌تلفن باید اصطلاحا «ماسکه»‌ شود؛ یعنی به‌جای شماره تلفن، نام ارگان ارسال‌کننده پیامک برای کاربر به نمایش در‌بیاید. برای نیل به این هدف، بخشی از حاکمیت که می‌خواهند خدمات پیامکی به مردم ارائه کنند، ‌باید درخواستی به وزارت ارتباطات ارائه داده و سرشماره مخصوص خودشان را تحویل بگیرند. از طرفی، باید نقص قانونی که در مورد برخورد با شرکت ارائه‌دهنده خدمات وجود دارد، برطرف شود تا بتوان نظارت بهتری روی این شرکت‌های ارائه‌دهنده سرشماره اعمال کرد. خوشبختانه در حال بررسی این موضوع هستیم و به‌زودی به راه‌حل خوبی در این‌باره خواهیم رسید.»

رمز بانک از اطلاعات شخصی افراد است
حتی اگر قرار است یارانه‌تان قطع شود یا هر اتفاق دیگری برایتان بیفتد، وارد‌کردن رمز دوم یا بقیه اطلاعات محرمانه کارت بانکی‌تان هیچ لزومی ندارد. مجتبی مصطفوی، کارشناس امنیت اینترنت در این‌باره به همشهری می‌گوید: «اطلاعات بانکی کاملا محرمانه هستند و به جز خود فرد هیچ‌کس دیگری حق دسترسی به آن را ندارد. اطلاعات بانکی فقط درصورتی باید وارد شوند که شخص بخواهد خرید اینترنتی انجام دهد، ‌در غیراین‌صورت برای شرکت در قرعه‌کشی، بررسی اطلاعات حساب و... هیچ نیازی به وارد‌کردن رمزهای بانکی نیست.»


مکث
چطور گول نخوریم!

بعضی از پیامک‌های کلاهبرداری بسیار حرفه‌ای جعل می‌شوند که شناسایی آنها در نگاه اول دشوار به‌نظر می‌رسد. با این همه، همیشه راهی برای شناسایی پیام‌های واقعی از جعلی وجود دارند. ایرادهای پیامک اخیر در مورد یارانه‌ها و سایتی را که مدعی شده بود، دولتی است‌ بررسی می‌کنیم.

شماره پیامک: به سرشماره‌ای که پیامک از آن فرستاده شده، دقت کنید. پیامک‌هایی که خدمات ارائه می‌کنند، از سرشماره‌هایی ارسال می‌شوند که با شماره‌های 1000، 2000، 3000 یا 5000 شروع می‌شوند. اما دقت کنید، شماره‌های حاکمیتی پنج‌رقمی هستند. در بعضی موارد نیز این شماره‌ها یک نام مشخص (مثلا قوه قضاییه، حسن روحانی و...)‌ دارند. پس اگر پیامکی با مضمون حاکمیتی (موضوع‌هایی مثلا از شماره‌ای عادی با سرشماره0912، 0910، 0939 و...‌) ‌دریافت کردید، پیامک قطعا جعلی است.

نوشتار بی‌دقت: متن‌هایی که توسط کلاهبردارها در تمام دنیا نوشته می‌شود، معمولا از نظر نوشتاری مشکل دارند. املایشان دارای ایراد است یا قواعد نوشتاری مثل محل گذاشتن نقطه، ویرگول و... را رعایت نکرده‌اند.

سایت بی‌اعتبار: سایت‌های حاکمیتی با پسوند ir . (دامنه ملی ایران) تمام می‌شوند. در نشانی بسیاری از این سایت‌ها عبارت Gov نیز پیش ازir . وجوددارد که نشان‌دهنده وابستگی این سایت به دولت است. با این حساب، سایت‌ها با دامنه com. یا هر دامنه دیگری، به‌احتمال زیاد کلاهبردار هستند.

طراحی سایت: سایت‌های کلاهبردار با جعل نشان سازمان‌های دولتی، نشان جمهوری اسلامی و... سعی می‌کنند خودشان را واقعی و مشروع جلوه بدهند اما از نظر فنی، ورود به این سایت‌ها باید طی دو مرحله انجام شده، رمز مرحله دوم به کاربر پیامک شود. حتی اگر این مورد هم وجود نداشته باشد، هیچ صفحه‌ای مستقیما به صفحه پرداخت هدایت نمی‌شود؛ ابتدا فرد باید وارد حساب کاربری شده و بعد، از داخل فهرست، گزینه پرداخت را انتخاب کند.

بررسی نشانی: قفلی که کنار نشانی به چشم می‌خورد، صرفا به این معناست که این صفحه رمزگذاری شده و از پروتکل https استفاده می‌کند اما لزوما باعث اطمینان کاربر نمی‌شود. در صفحه اصلی، کاربر با بررسی دقیق نشانی می‌تواند متوجه شود که وارد سایت درست شده‌‌ یا نه. درگاه‌های پرداخت با عبارت shaparak شروع می‌شوند. به املای دقیق این کلمه دقت کنید. برای مثال shaaparake اشتباه است.
بررسی مشخصات درگاه: درگاه‌ها باید نماد اعتماد الکترونیکی و شاپرک داشته باشند. ضمن اینکه، نام شرکت یا ارگان دریافت‌کننده هزینه، ‌نشانی سایت و در نهایت مبلغ واریزی باید در صفحه «درگاه»‌ ذکر شود. در غیر این‌صورت، سایت به‌احتمال زیاد جعلی است.