مهندسی اجتماعی ؛ شگرد جدید کلاهبرداران | مراقب حسابهایتان باشید
تاریخ انتشار: ۳۱ شهریور ۱۴۰۲ | کد خبر: ۳۸۷۳۱۳۹۴
به گزارش همشهری آنلاین، اگرچه این سازمان خبر سرقت اطلاعات را تکذیب کرد و اکنون سایت این سازمان هم در دسترس است، اما برای ساعتی، سایت سازمان ثبت احوال از دسترس خارج شد. گمانه هک، زمانی تقویت شد که هکر با انتشار تصاویری از اطلاعات این سامانه ادعا کرد که سایت سازمان ثبت احوال کشور هک شده است. چندی پیش هم اطلاعات کاربران یکی از تاکسیهای اینترنتی باعث نگرانی مردم و رانندگان این سرویس شد.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
دشمن نادیده در فضای مجازی
میلاد نوری، کارشناس حوزه آیتی و برنامهنویس درباره لورفتن اطلاعات مردم از تاکسی اینترنتی و اهمیت آن، با اشاره به اینکه این اطلاعات، جزو حریم خصوصی ماست و دیگران نباید به آن دسترسی داشته باشند، میگوید: «در کنار هم قراردادن این اطلاعات جزئیات کاملی از شما در اختیار افراد قرار میدهد؛ از مقاصد کلاهبرداری تا اینکه ممکن است شما یک دشمن نادیده در فضای مجازی با روانی مریض داشته باشید که از این به بعد میتواند به لیست سفرها و آدرسهای شما هم دسترسی داشته باشد و کلی مثال دیگر.»
بیشتر بخوانید:
برد و باخت فوتبال زیر سایه قمار آنلاین | امیدها نسبت به برخورد با این پدیده ویرانگر زنده شدنوری اطلاعات لورفته در هک تاکسی اینترنتی را علاوه بر اطلاعات مسافرها و رانندهها، شامل اطلاعات دیوایسهای(گوشی و تبلت و...) کاربران میداند و ادامه میدهد: «اطلاعاتی مثل نسخه اپلیکیشن، مدل گوشی و برخی اطلاعات دیگر هم لو رفته است.»
جزئیات فنی هک
این برنامهنویس یادآوری میکند که ۲پارامتر خیلی مهم در میان این دیتا با عناوین googleAdId و deviceId وجود دارد.
نوری با اشاره به اینکه شناسه googleAdId یا همان AAID (یا همان GAID) منحصربهفرد و به ازای هر دیوایس(+ به ازای هر کاربر گوگل) است، اینگونه توضیح میدهد: «یعنی شما اگر با ۲حساب کاربری گوگل روی یک گوشی لاگین کردید، به ازای هر اکانت گوگل لاگینشده، روی این دیوایس، یک شناسه منحصربهفرد AAID یا همان GAID وجود دارد.
او مورد بعدی را deviceId میداند که با بررسی سورس اندروید شرکت هک شده یا هر اپلیکیشن دیگری، نحوه ساخت آن را میتوان بررسی کرد که بهاحتمال خیلی زیاد در نسخه اندروید از ANDROID_ID استفاده میشود که در اندرویدهای ۸ به قبل، به ازای هر کاربر روی هر دیوایس، منحصربهفرد بوده است. هرچند در نسخههای بعدی اندروید کمی تغییر کرده است.
تطابق شناسهها چه میکند؟
کارشناس حوزه آیتی در ادامه میگوید: «حالا تصور کنید شما در اپلیکیشن دیگری، بهصورت ناشناس(از نظر خودتان) خبری میخوانید یا فعالیتی انجام میدهید و آن اپلیکیشن بنا بر مقاصد تبلیغاتی، آماری و... همین ۲پارامتر از شما را(بدون نیاز به سطح دسترسی خاصی)، ذخیره میکند. مثلا صرفا برای اینکه بازدیدهای شما از یک خبر را یکبار بشمارد و بازدیدهای تکراری شما را نشمارد.
بیشتر بخوانید:
تجربه داغترین تابستان تاریخ | انسان علیه انساننوری در ادامه به تطابق شناسهها اشاره میکند و میگوید: «با تطابق این شناسهها در سرویسهای مختلف، مشخص میشود شما که در فلان اپلیکیشن خبری، خبر ۱ و ۳ را خواندهای، همان کاربری هستی که در فلان اپلیکیشن، فلان عکس را آپلود کردهای و همین کاربری هستی که در تپسی فلان سفرها را رفتهای.»
بهگفته او «نشتهای اطلاعات سرویسهای مختلف باعث میشود این تطابق برای همه افرادی که به این دیتابیسها دسترسی پیدا میکنند، امکانپذیر باشد.»
مهندسی اجتماعی از طریق اطلاعات لورفته
آنچه باعث میشود اطلاعات لورفته کاربران خطرناک توصیف شود، دسترسی به بعضی از اطلاعات دقیق کاربران برای عملیات روانی به نام «مهندسی اجتماعی» است.
در مهندسی اجتماعی، کلاهبرداران با طراحی یک سناریو براساس اطلاعات در دسترس، تلاش میکنند به اطلاعات دیگری ازجمله رمزبانکی کاربران دست پیدا کنند. در مهندسی اجتماعی، کلاهبردار تلاش میکند که خود را به جای کارمند یک سازمان، یک بانک یا شرکت معرفی کند.
این اتفاق بارها افتاده و پلیس فتا هم بارها با پیامکهای مکرر هشدار، این موضوع را به کاربران گوشزد کرده است.
نمونه یک مهندسی اجتماعی
میلاد نوری درباره این نوع از کلاهبرداری به تجربه خود اشاره میکند و میگوید که از یک شماره با او تماس گرفته شده که صاحب صدا میگوید، از بانکی که «نوری» حساب دارد(با ذکر نام بانک) تماس گرفته و او را برنده یک جایزه اعلام کرده است.
بیشتر بخوانید:
رقابت ملی بازیسازان ایران آغاز شد | آمار جالب دانلود گیمهای ایرانیاو با اشاره به اینکه صاحب صدا کلی آب و تاب داد که مدیر بانک هم الان حضور دارد و شما بهدلیل تراکنشهای فلان کارتت (با ذکر شماره کارت)، نفر هشتم قرعهکشی شدی، ادامه میدهد: «اطلاعات همه حسابها و کارتهای بانکی مختلف من را هم داشت؛ همه بانکها.»
این برنامهنویس میگوید: {صاحب صدا} گفت کمک هزینهای که برنده شدید، ۲۰میلیون تومان است که ۱۰میلیون تومان را الان به کارت شما در همان بانک میزنیم. ۱۰میلیون هم از طریق همراهکارت که اسپانسر ما شده، به شما تقدیم میشود.
صحنهسازی کلاهبردار
این کارشناس حوزه آیتی صحنهسازی کلاهبردار را اینگونه توضیح میدهد: {صاحب صدا} پرسید ۱۰ میلیون رو به کدوم کارت واریز کنیم؟ شما فقط بانک رو بگید. اسم یه بانک دیگه رو گفتم. (مثلا) به همکارش گفت، خانم افشار مشخصات این بانک آقای نوری رو چک کنید. گفت توی این بانک ۲کارت دارید. با کدومش بیشتر کار میکنید به همون واریز کنیم. یکی از شماره کارتهای من رو خوند و گفت همینه؟ گفتم بله. همون لحظه رمز پویا برای انتقال وجه از طرف اپلیکیشن همراه بانک برای من ارسال شد.
بیشتر بخوانید:
سیاهچاله رمزارز برای کاربران آماتور | گردش مالی حوزه رمزارز عدهای را وسوسه به فعالیت میکند اما ...نوری در ادامه میگوید که {صاحب صدا} برای جلب اعتماد، بارها تأکید کرد کد پیامکشده رو غیر از خودتون و ما نباید به کسی بدهید. گفت اینو همیشه حواستون باشه.
بهگفته او «از این مرحله به بعد دیگه به روشون آوردم و مکالمه قطع شد».
هشدار برای مهندسی اجتماعی
این کارشناس حوزه آیتی از مردم میخواهد که خیلی مراقب باشند تا حساب خود و اطرافیانشان خالی نشود.
نوری میگوید: من از اول متوجه موضوع شدم و فقط برای اینکه ببینم شگردهای آنها به چه شکلی است، مکالمه را ادامه دادم. {آنها} به قدری به اطلاعات دسترسی داشتند که احتمال فریبخوردن افراد غیرمطلع خیلی خیلی بالاست. هر کس ممکن است بهدلیل این اطلاعات، {به کلاهبرداران} اعتماد کند.
کد خبر 790005 برچسبها بانک اینترنت - هکر تکنولوژی (فناوری) اینترنت کارت ملی کارت بانکی اینترنت - دیتا سنتر ملیمنبع: همشهری آنلاین
کلیدواژه: بانک اینترنت هکر تکنولوژی فناوری اینترنت کارت ملی کارت بانکی مهندسی اجتماعی بیشتر بخوانید صاحب صدا
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.hamshahrionline.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «همشهری آنلاین» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۸۷۳۱۳۹۴ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
مستاجران مراقب کلاهبرداری در سامانه خودنویس باشند
در برنامه تهران ۲۰ رسانه ملی با حضور کارشناسان و مسئولان در رابطه با سامانه خود نویس نکاتی مطرح شد. در این رابطه فرهاد بیضایی، کارشناس مسکن گفت: متاسفانه با اطلاعات فیک (شماره شبا و شماره کارت) میتوان داده خود را ثبت کرده و به راحتی ملک دیگری را اجاره داد.
در ادامه داود بیگینژاد، نایب رئیس اول اتحادیه مشاور املاک اظهار داشت: در ماده ۱۸ جهش تولید عنوان شده که دسترسی برای مردم ایجاد شود، اما متاسفانه با تاسیس این سامانه مستقل، عملاً دسترسی مشاوران املاک قطع شده و اکوسیستم خرید و فروش تغییر کرده است.
وی با اشاره به اینکه سامانه خودنویس دارای ایرادات فنی و قانونی است، گفت: با عنایت به احراز هویت از طریق تلفن همراه، در صورتی که کد رهگیری اولیه برای متعاملین پیامک میشود در اختیار مشاور املاک قرار نگیرد، امکان گرفتن کد رهگیری برای مشاور املاک دیگر میسر نیست. در صورتی که قانونگذار در صورت عدم دریافت کد رهگیری، تنبیهاتی را برای مشاور املاک در نظر گرفته است.
نایب رئیس اول اتحادیه مشاور املاک عنوان کرد: علاوه بر این، در سامانه خودنویس متعاملین قبل از خواندن قرارداد، تمامی موارد را پذیرفتهاند و دیگر امکان رد و تغییر قرارداد را ندارند.
وی عنوان کرد: سیاست واحد در حوزه مسکن نداریم و مشاوران املاک باعث ایجاد تورم نشدهاند. آن چیزی که مهم بوده اجرای درست قانون است.
فرهاد بیضایی، کارشناس مسکن نیز با بیان اینکه در قراردادهای اجاره برای موجران و مستاجران، امنیت معامله حائز اهمیت است، گفت: با ایرادات که این سامانه برخوردار است، به راحتی میتوان ملک دیگری را اجازه داد.
وی تصریح کرد: متاسفانه احراز هویت در این سامانه وجود ندارد و با اطلاعات فیک (شماره شبا و شماره کارت) میتوان اطلاعات خود را ثبت کرده و در کمال تاسف این دادهها پذیرفته میشود.
این کارشناس مسکن ضمن انتقاد به سامانه خودنویس عنوان کرد: صراحتاً در سامانه خودنویس آمده که هیچ گونه مسئولیتی در قبال صحت اطلاعات ندارد. آیا در آینده میزان پروندههای قضایی بیشتر نمیشود؟ چه کسانی باید صحت سنجی اطلاعات وارد شده را بررسی کنند که متاسفانه اجبارا به غیر رسمی شدن اسناد مالی دامن میزنیم.
باشگاه خبرنگاران جوان اقتصادی راه و شهرسازی