تله بورسی با سجام جعلی

در شرایطی که این روزها بازار سرمایه و با سودهای وسوسه‌انگیز، توجه مردم را به خود جلب کرده و بسیاری از افراد حتی بدون داشتن کمترین اطلاعات بورسی به این فضا وارد می‌شوند، کلاهبرداران هم این موقعیت را برای سوءاستفاده مناسب دیده‌اند. از طرفی از آنجایی که یکی از الزامات ورود به بازار بورس، ثبت‌نام در سامانه سجام است، مجرمان فضای مجازی با راه‌اندازی سایت و آدرس‌های جعلی، اقدام به کلاهبرداری و سوءاستفاده از تازه‌واردان بورسی کرده‌اند.

سودجویان با طراحی سایتی مشابه سایت‌های مشهور، به ایجاد صفحات فیشینگ و سرقت اطلاعات بانکی کاربران و برداشت از حساب آنان کنند. همچنین ممکن است با اطلاعات هویتی آنان اقدامات مجرمانه دیگری را نیز انجام دهند. فیشینگ به تلاش برای به دست‌آوردن اطلاعاتی مانند نام کاربری یا گذرواژه یا اطلاعات حساب بانکی ازطریق جعل وب‌سایت و آدرس ایمیل و روش‌های متنوع دیگر گفته می‌شود. به بیان ساده‌تر، هنگامی که شخصی تلاش می‌کند دیگری را فریب دهد تا اطلاعات شخصی‌اش را دراختیار بگیرد، حمله‌ فیشینگ رخ می‌دهد. هدف از فیشینگ (Phishing) این است که‌‌گیرنده ایمیل را فریب دهد و او را متقاعد کند به پیامی که ارسال شده، نیاز دارد، از جمله درخواستی که از طرف یک بانک ارسال شده یا یادداشتی از یکی از اشخاص در شرکتی که فرد مشغول به کار است؛ با القای این ایده در ذهن مخاطب، او را مجبور می‌کند که روی لینک دانلود یا فایلی که پیوست شده، کلیک کند. 

     شبیه‌سازی  سایت‌های  معروف  در برند  فیشینگ

آنچه واقعا فیشینگ را از سایر حملات متمایز می‌کند، شکل پیغام است. مهاجمان خود را به شکل یک شخص قابل اعتماد درمی‌آورند، اغلب یک شخص واقعی یا به‌ظاهر واقعی که قربانی در حال انجام تجارتی با آن شخص است. این روش یکی از قدیمی‌ترین انواع حملات سایبری است که قدمت آن به دهه 1990 بازمی‌گردد و هنوز هم یکی از گسترده‌ترین و فریبنده‌ترین موارد است، درحالی که پیام‌های فیشینگ و تکنیک‌های آن به‌طور فزاینده‌ای پیچیده‌تر می‌شود. در حملات برند فیشینگ، مهاجمان تلاش می‌کنند، وب‌سایت رسمی یک برند شناخته‌شده را با استفاده از نام دامنه و آدرس تقریبا یکسان و طراحی صفحات کاملا مشابه وب‌سایت اصلی، شبیه‌سازی کنند. هدایت به این وب‌سایت جعلی ممکن است از طریق ارسال لینک در ایمیل افراد یا به‌وسیله پیامک، با روش تغییر مسیر نشانی وب در حین وبگردی یا اپلیکیشن‌های جعلی انجام شود. وب‌سایت جعلی معمولا یک فرم برای سرقت اطلاعات حساب کاربران، جزییات حساب بانکی یا دیگر اطلاعات شخصی در خود جای داده است. هرچند استفاده از رمز پویا باعث شده میزان پرونده‌های تشکیل‌شده برای فیشینگ به حد چشمگیری کاهش پیدا کند، اما حملات فیشینگ هنوز هم ادامه دارند. طمع برنده شدن در مسابقه، باقی ماندن در صف قرعه‌کشی و مواردی از این دست شما را به لب پرتگاه فیشینگ و خالی شدن حسابتان می‌برد. این روزها که بازار بورس داغ است و چه افرادی که پیش از این در ساعات معاملاتی اقدام به خریدوفروش سهام می‌کردند و چه تازه‌وارد‌هایی که در مرحله ابتدایی ورود به این بخش اقتصادی هستند، بخشی از زمان خود را در روز، به معاملات بورسی اختصاص می‌دهند. این در حالی است که تازه‌واردانی که هنوز وارد بورس نشده و قصد دارند به تازگی کد بورسی بگیرند، هدف جدیدترین حملات هکری قرار گرفته‌اند.

    راه‌اندازی آدرس‌های جعلی برای کلاهبرداری

دراین راستا علی‌محمد رجبی، رییس مرکز تشخیص ‌و پیشگیری از جرایم سایبری پلیس فتای ناجا، نسبت به کلاهبرداری از کاربران فضای مجازی با راه‌اندازی سایت تقلبی سجام هشدار داد. وی در گفت‌وگو با ایسنا با اشاره به افزایش تمایل شهروندان به حضور در بازار سرمایه و بورس اظهارکرد: یکی از الزامات ورود به بازار بورس ثبت‌نام در سامانه سجام است. از همین رو متاسفانه برخی از مجرمان فضای مجازی نیز دست‌به کار شده و با راه‌اندازی سایت و آدرس‌های جعلی اقدام به کلاهبرداری و سوءاستفاده از متقاضیان ورود به بورس کرده‌اند. رجبی درباره شیوه‌های این کلاهبرداران گفت: برخی از این افراد با درج تبلیغات در فضای مجازی اطلاعات کاربران را برای ثبت‌نام در سامانه سجام دریافت کرده و معمولا پس از اخذ مبالغی دیگر ارتباطی با کاربر برقرار نمی‌کنند که در این خصوص لازم است شهروندان از ارایه اطلاعات هویتی خود و نیز پرداخت مبلغ به دیگران برای ثبت‌نام در سجام خودداری کنند. وی افزود: شیوه دیگری که متاسفانه اخیرا نیز موردی از آن مشاهده شد است، ایجاد آدرس جعلی و مشابه سامانه سجام است. به‌طوری که سودجویان با طراحی سایتی مشابه و نیز با آدرسی مشابه که تنها در یک یا دو حرف با آدرس اصلی تفاوت دارد، اقدام به ایجاد صفحات فیشینگ و سرقت اطلاعات بانکی کاربران و برداشت از حساب آنان کنند. همچنین ممکن است با اطلاعات هویتی آنان اقدامات مجرمانه دیگری را نیز انجام دهند. رییس مرکز تشخیص ‌و پیشگیری از جرایم سایبری پلیس فتای ناجا با تاکید بر اینکه کاربران در صورت نیاز به ثبت نام در بورس و سامانه سجام تنها باید به آدرس www.sejam.ir مراجعه کنند. گفت: هر آدرس دیگری جز این آدرس مورد تایید نبوده و احتمال اقدامات مجرمانه و سودجویانه از طریق آن وجود دارد. وی از شهروندان خواست که در صورت مشاهده هرگونه موارد مشکوک و آدرس‌های جعلی موضوع را به پلیس فتا گزارش دهند.

    هجوم هکری در پوشش هر یک از افراد جامعه

همچنین یکی از راه‌های هکرها برای به دست آوردن اطلاعات کاربران، مهندسی اجتماعی است و مهاجمان در این روشی با جمع کردن اندک‌اندک اطلاعات می‌توانند تهدید جدی علیه امنیت و حریم شخصی شما به حساب بیایند. مهندسی اجتماعی یا

social engineering، سوءاستفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است که به کمک مجموعه‌ای از تکنیک‌ها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد می‌کند. بسیاری از حملات مهندسی اجتماعی نیازی به اطلاعات فنی تخصصی ندارند و لازم نیست که یک متخصص رایانه و یک هکر حرفه‌ای به شما حمله کند، بلکه هر یک از افراد جامعه می‌تواند نقش یک مهاجم را ایفا کند، بنابراین باید همیشه نسبت به محیط اطراف آگاه بود. در سیستم مهندسی اجتماعی، مهاجم به جای استفاده از روش‌های معمول و مستقیم نفوذ جمع‌آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستم‌های سازمان و پایگاه داده‌های آن، از مسیر انسان‌هایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیک‌های فریفتن، به جمع‌آوری اطلاعات در راستای دستیابی به خواسته‌های خود اقدام می‌کند. علی‌اصغر زارعی، کارشناس فناوری اطلاعات، درباره اینکه این تکنیک چیست و چگونه قربانی می‌گیرد، اظهار کرد: هکرها افراد خرابکار و ماموران امنیتی و سایبری، همیشه در کمین هستند تا اطلاعاتی که برای رسیدن به هدفشان لازم دارند را به دست بیاورند؛ یکی از راه‌های به دست آوردن اطلاعات شخصی و هویتی کاربران که از آن استفاده می‌کنند، مهندسی اجتماعی است. شما با یک دوست مجازی در اینستاگرام یا توییتر ارتباط برقرار می‌کنید بدون اینکه واقعا بدانید پشت صفحه مانیتور چه کسی نشسته است و بر اساس حرف‌هایی که رد وبدل کرده‌اید، تا حدودی به این شخص اعتماد می‌کنید. در بین همین صحبت‌های روزمره و شاید معمولی همین فرد به سادگی می‌تواند اطلاعاتی از قبیل شهر محل زندگی‌تان، محل تحصیلتان، محل کارتان و غیره را به دست بیاورد. کارشناس ارشد مدیریت سیستم‌های اطلاعاتی با بیان اینکه ممکن است چند نفر برای رسیدن به این هدف، هم‌دست شوند و هر کدام مسوول به دست آوردن بخشی از اطلاعات شما باشند، افزود: در آخر این اطلاعات مثل قطعات پازل در هم قرار می‌گیرند. متاسفانه کاربران زیادی بودند که با این شیوه در دام ماموران امنیتی و هکرها و افراد سودجو افتاده‌اند. حتی گاهی این افراد دست به کارهای دور از ذهن می‌زنند و با انتشار پست‌های سرگرم‌کننده و منشن کردن شما و سایر کاربران مورد نظرشان می‌خواهند که به هدفشان برسند. برای مثال ممکن است سوالاتی بپرسند از قبیل اینکه دو رقم آخر کد ملی‌تان را کامنت کنید، یا مواردی از این دست، که ممکن است به نظر شما یک پست سرگرم‌کننده و معمولی باشد، اما این افراد با جمع کردن اندک‌اندک این اطلاعات می‌توانند تهدید جدی علیه امنیت و حریم شخصی شما به حساب بیایند. بنابراین اگر فعالیت در شبکه‌های اجتماعی دارید هیچ اطلاعاتی از خودتان، هرچند ساده و معمولی در اختیار همگان نگذارید و با افرادی که شناخت کافی از آنها ندارید ارتباط برقرار نکنید، زیرا دریافت یک مطلب جذاب و خنده‌دار از طرف یک فرد مشکوک و ناشناس ممکن است برای به دست آوردن اطلاعات هویتی شما باشد.