کلاهبرداری، شیادی و اعتماد به نفس، از زمانی که بشر شروع به ابداع تجارت و بازرگانی کرد وجود داشته است. اگر یک سیستم ارزشگذاری به کار بسته شود، از برخی زوایا میتوان به موضوع نگاه کرد و فروختن برج میلاد کار چندان سختی نخواهد بود. ظهور شبکههای اجتماعی و سبک زندگی همیشه متصل ما بر این مشکل دامن زده و به دغلکاران بیوجدان، دسترسی دائمی به هر چیزی را در سراسر جهان داده است. اما پلتفرمهای اجتماعی در حال دست زدن به کارهایی هستند که میتواند به این هجوم کلاهبرداران مالی خاتمه دهد.
توییتر به صورت خاص طی سالهای اخیر با موارد متعددی از کلاهبرداریهای مالی رو به رو شده است. در ماه ژانویه، این پلتفرم به اشتباه توییتی را پروموت کرد که در نگاه نخست مانند اکانت پیپالی قابل اعتماد به نظر میرسید و جوایزی در پایان سال را وعده میداد؛ از جمله یک ماشین یا یک آیفون جدید. تنها کاری که لازم بود انجام شود، تایید جزییات اکانت آنها بود. در واقع یک تلاش ساده برای فیشیگ که به راحتی از پروسه نظارت بر تبلیغات توییتر رد شده بود. به محض اطلاع از این اشتباه، توییتر اکانت مورد نظر را بست.
سال گذشته یک مرد بریتانیایی که از مدت زمان لازم برای راهاندازی یک اکانت در بانک Barclays خسته شده بود، ناراحتیاش را به توییتر برد – همانطور که برای بسیاری اتفاق میافتد. او ضمناً اسکرینشاتی از ایمیلی که بانک برایش فرستاده بود را پست کرد که شامل اطلاعات شخصی میشد. کلاهبرداران با استفاده از آن اطلاعات، ایمیل دیگری برای او فرستادند و او تصور کرد از طرف بانک است. به این ترتیب، ۸ هزار یورویی که او قصد داشت میان دو اکانت جابهجا کند به سرقت رفت.
«من را هدف قرار دادند چون آنها بر کانال توییتری پشتیبانی مشتری بانکهای بزرگ نظارت میکنند و میتوانند اطلاعات کافی از نامها، لوکیشنها و تصاویر به دست آورند و با آنها، اطلاعاتی باز هم بیشتر پیدا کنند.» اینها سخنان آن مرد در مصاحبه با بیبیسی نیوز بود. نکته اخلاقی اینکه هیچوقت هنگام عصبانیت توییت نکنید.
موضوع همیشه هم درباره پول نیست. در سال ۲۰۰۹ و بعد در سال ۲۰۱۴، توییتر پر شده بود از کرمهای پروپاگاندا. آنها از فرمانهای مبتنی بر جاوا اسکریپت تعبیه شده در خود پیامها استفاده میکردند تا هر اکانتی که از طریق توییتدک آنها را میدید، به صورت خودکار ریتوییتشان کند. در سال ۲۰۱۴، یک حمله تزریق اسکریپت از طریق وبگاه (Cross-Site Scripting) که توسط کاربری به نام derGeruhn@ انجام شد، پیش از اینکه متوقف شود ۸۷ هزار اکانت را تحت تاثیر قرار داد. خوشبختانه به نظر میرسد مقاصدی کلاهبردارانه پشت این بازی با باگ امنیتی توییتدک نبوده است؛ حمله به خاطر اشتباهی در برنامهنویسی انجام شد که از فیلتر کردن فرمانهای جاوا اسکریپت از بدنه پیامها جلوگیری میکرد. از آن زمان به بعد، آسیبپذیری مورد اشاره رفع شد.
جرمی گراسمن، مدیرعامل پیشین WhiteHat Security طی ماه ژوئن اخیر به خبرگزاری Ars Technica گفت: «فیلتر بایپس در این مورد اندکی دردسرساز بود. اسکریپتینگ میان-سایتی مثل یک سوسک است. هیچ راهی برای نابودسازی کاملش وجود ندارد. مهم نیست چقدر سخت تلاش میکنید و چقدر سرمایهگذاری، در نهایت قرار است اشتباه کنید.»
حتی توییتهای به ظاهر بیآزار که از شما میپرسند فیلم مورد علاقهتان چیست یا تصویری از سگتان بفرستید، مانند چیزی که در پایین میبینید، میتوانند خطرناک باشند. به این خاطر که معمولاً اطلاعاتی را طلب میکنند که در چالشهای احراز هویت اکانتها خواسته میشوند.
«بله، به این کار آراستن [Grooming] گفته میشود». سینتیا هثرینگتون، متخصص کشف کلاهبرداری مدیر گروه Hetherrington، سازمانی فعال در زمینه مشاوره تحقیقات سایبری ادامه میدهد: «کاری رایج در زمینه جمعآوری اطلاعات است. در حال حاضر عموم مردم در حال عادت کردن به آن هستند. این روشی برای استخراج دیتا از مردم است تا از طریق آن به اطلاعاتی حیاتی نظیر پسوردهایشان، نامهای کاربریشان یا اطلاعاتی که برای احراز هویت کاربرد دارند دسترسی یابند.»
حتی جک دورسی، همموسس و مدیرعامل توییتر هم از کلاهبرداری در پلتفرم کمپانیاش در امان نیست
شدیداً غیرمحتمل است که دیوید لیویت، خبرنگار چندرسانهای برنده جایزه که تایید توییتر را هم دریافت کرده کلاهبردار باشد، اما تمام جهان قادر به مشاهده توییتهایی که در پاسخ به سوالات او فرستاده میشوند خواهند بود. هرکسی میتواند از آن اطلاعات برای ساخت پروندهای درباره یک نفر استفاده کند؛ درست مانند همان مرد بختبرگشتهای که پیشتر دربارهاش صحبت کردیم. بنابراین تنها یک پاسخ درست هنگام مشارکت در این میمهای توییتری وجود دارد: اینکه از اساس دروغ بگویید.
حتی جک دورسی، همموسس و مدیرعامل توییتر هم از کلاهبرداری در پلتفرم کمپانیاش در امان نیست. همین ماه آگوست اخیر، اکانت او برای مدتی کوتاه و از طریق تکنیکی به نام SIM Swapping ربوده شد. مهاجمین از اپلیکیشنی به نام Cloudhopper که توییتر در سال ۲۰۱۰ میلادی خرید و امروز کاملاً به دست فراموشی سپرده شده استفاده کردند. Cloudhopper به کاربران اجازه میدهد با استفاده از پیامک، وارد اکانت خود شده و توییت کنند. با اندکی برنامهنویسی، مهاجمین توانستند شماره تلفن دورسی را جعل کنند و به اکانت او دسترسی یابند.
آخرین موارد نفوذ به اکانتهای توییتر، به نظر باعث شدهاند که صبر این پلتفرم اجتماعی لبریز شود. طی ماههای بعد از هک اکانت جک دورسی، توییتر خبر از بازنگری در قوانین مرتبط با رفتار کاربران در سایت و در زمینه کلاهبرداریهای مالی داد.
در قوانین تازه توییتر آمده: «ما میخواهیم توییتر جایی باشد که مردم در آن قادر به برقراری روابط انسانی و دسترسی به اطلاعات قابل اعتماد هستند. به همین خاطر، نمیتوانید از سرویسهای توییتر برای فریب و ترغیب دیگران به ارسال پول یا اطلاعات مالی از طریق تاکتیکهای کلاهبرداری، فیشینگ یا متدهای شیادانه و فریبآمیز استفاده کنید».
توییتر به صورت خاص چهار روش رایج کلاهبرداری را نیز باز کرده است:
کلاهبرداری از طریق برقراری ارتباط و جلب اعتماد:
شما نمیتوانید از طریق مدیریت یک اکانت تقلبی یا ایفای نقش به عنوان شخصیتی شناخته شده یا یک سازمان، دیگران را فریب داده و آنها را به ارسال پول یا اطلاعات مالی شخصی ترغیب کنید.
این یعنی کلاهبرداریهای مرتبط با رمزارز که اخیرا در توییتر به وفور دیده میشوند، متدهایی هستند که به خاطرشان در توییتر بن میشوید. در این روش از کلاهبرداری، شیادان با دستکاری آواتار خود، از یک شخصیت مطرح در زمینه رمزارز تقلید میکنند و با استفاده از شباهت به وجود آمده، گوش دارندگان بیتکوین را میبرند.
شگردهای افزایش تصاعدی پول:
شما اجازه ندارید از شگردهای افزایش تصاعدی پول استفاده کنید (برای مثال به کسی تضمین دهید که در ازای یک پرداخت ابتدایی کوچک، مقادیر عظیمی از پول را دریافت خواهند کرد).
این همان شگردی است که در صحبتهای روزمره به عنوان کلاهبرداری به روش «شاهزاده نیجریه» شناخته میشود. در ازای سپردهای ناچیز، انبوهی از پول ظاهراً روانه جیبتان خواهد شد.
تخفیفهای کلاهبردارانه:
شما اجازه ندارید از ترفندهایی استفاده کنید که در آن به دیگران تخفیفی داده میشود و مابهالتفاوت هزینه از طریق کارتهای اعتباری یا اطلاعات مالی به سرقت رفته پرداخت میشود.
فیشینگ:
شما اجازه ندارید خود را به عنوان بانک یا دیگر موسسات مالی معرفی کنید که نیازمند اطلاعات مالی و شخصی افراد هستند. در نظر داشته باشید که فرمهای دیگر فیشینگ برای دستیابی به چنین اطلاعاتی هم تخطی از قوانین دستورزی و اسپم پلتفرم ما به حساب میآیند.
بنابراین چه در حال جا زدن خود به جای شخصی دیگر برای پخش یک اسپم باشید و چه از هویت آنها برای نصب باجافزار استفاده کنید، همچنان در حال تخطی از قوانین توییتر در قبال فیشینگ خواهید بود.
اگرچه این تغییرات در قوانین، اکثر جنبههای کلاهبرداری آنلاین را پوشش میدهند، هثرینگتون میگوید که اشکال دیگری از کلاهبرداری نیز وجود دارد که کاربران باید از آنها آگاه باشند.
«یکی از ترندترین روشهای فعلی، کلاهبرداری با تبلیغاتی است که از طریق پلتفرمهای شبکه اجتماعی نشر پیدا میکنند»
«یکی از دردسرسازترین و ترندترین روشهای فعلی، کلاهبرداری با تبلیغاتی است که از طریق پلتفرمهای شبکه اجتماعی نشر پیدا میکنند.» هثرینگتون اضافه میکند که انبوهی از تبلیغات مرتبط با کسبوکارهای قانونی در شبکههای اجتماعی وجود دارد، اما «به ازای هر کمپانی خوب و قابل اعتماد، احتمالاً چهار خردهفروشی کلاهبردار وجود داشته باشد که ورژنی غیر اصلی از یک محصول را ارائه میکنند یا خیلی ساده به شگردهای کلاهبردارانه متکی هستند.» به محض اینکه نوبت به یک اکانت کلاهبرداری میرسد و از سوی توییتر مسدود میشود، کاربری که پشت آن اکانت است میتواند خیلی ساده حسابی دیگر ساخته و کارش را ادامه دهد.
این کلاهبرداریها میتوانند توسط اشخاص، حلقههای مجرمانه و حتی نمایندگان ایالاتی انجام شوند. هثرینگتون به موردی اخیر اشاره میکند که از او خواسته شد در دادگاه، درباره پرونده «بزرگترین مرکز مدیای اجتماعی جهان» شهادت دهد. «میخواهم این راه روشن کنم که خود پلتفرم در حال سوء استفاده نبود، بلکه یک نفر داشت از این پلتفرم سوء استفاده میکرد؛ آن هم از طریق گروه تبهکار سازمانیافتهای که سیستم خرید تبلیغات را در پیش گرفته بود».
هثرینگتون توضیح میدهد که این ترفند چنین رویهای دارد: «میتوانید در فیسبوک “اندرو تارانتولا” باشید و پروفایل فیسبوک شما میتواند خیلی تر و تمیز و واضح باشد، اما متوجه نیستید… فضای بزرگی برای تبلیغات پشت پروفایل کاملاً مشروع شما قرار دارد».
در این کلاهبرداری، یک نفر به سراغ شما میآید و رقمی بین ۵ الی ۵۰ هزار دلار را در ازای استفاده از فضای تبلیغاتی پروفایلتان پیشنهاد میدهد. اگر بپذیرید، آن شخص سپس از آن فضا برای تبلیغات محصولات غیرقانونی استفاده خواهد کرد؛ آن هم در حالی که استانداردهای فیسبوک در قبال هزینه تبلیغات را رعایت کرده تا هیچ توجه ناخواستهای را به خود جلب نکند. درست مانند عملیاتهای مواد مخدر غیرقانونی که همیشه قبض آب و برق خود را در زمان مقرر میپردازند. این مورد خاص به پروندهای قانونی و چند میلیارد دلاری تبدیل شده و از آنجایی که متهم از کشور گریخته، همچنان باز باقی مانده است.
علاوه بر این، هثرینگتون هشدار میدهد که نباید درگیر هر تکنیکی که «آبرو» را هدف قرار میدهد شد. اگر یک نفر با شما ارتباط برقرار کند و تهدید که اطلاعاتی آسیبرسان از شما یافته و آن را منتشر خواهد کرد (مثلا در دارک وب)، با «کلاهبرداری به روش اخاذی» روبهرو شدهاید.
متاسفانه کلاهبرداری مالی آنلاین، احتمالاً هیچوقت به صورت تمام و کمال از بین نرود. نابودی کامل کلاهبرداری در فضای مجازی، احتمالاً چیزی بیشتر از یک رویای خام نباشد. اما کارهای زیادی از دست صاحبان پلتفرمها برمیآید تا از تاثیرات منفی این کلاهبرداریها بکاهند.
فیسبوک به عنوان مثال سرمایهگذاری عظیمی روی هوش مصنوعی کرده تا قادر به نظارت بر پستهایی باشد که محتویات خشونتآمیز یا غیرقانونی دارند. توییتر هم به نوبه خودش، هنوز اتکای زیادی بر ریپورتهای کاربران دارد اما در عین حال دپارتمانی تشکیل داده که به صورت فعالانه به موارد کلاهبرداری رسیدگی میکند. کاربران هم موظف به ایفای نقش خود در این معادله هستند.
«ما مسئولیت داریم که نسبت به استفاده از این محصولات و سرویسها، هوشیار باشیم.» هثرینگتون توضیح میدهد: «اگر من به فیسبوک، اینستاگرام، لینکدین یا هر سرویسی میپیوندم، وظیفهام اینست که این ابزار قدرتمندی که وارد زندگیام میکنم را بشناسم. چون دارم آن را در موبایلم قرار میدهم، دارم از آن روی کامپیوترهای مختلف استفاده میکنم و آن را به خانهام میآورم».