عصر ارتباط – صبا رضایی – ورود به دنیای هکرها و آشنایی با روش کار و گفتوگو با آنها همیشه برای مخاطبان جالب است.
البته این کار به دلایل متعدد از ترویج روشهای مخرب گرفته تا تمایل هکرها به مخفی ماندن هویت و شیوه کارشان، همیشه امکانپذیر نیست و از این رو تعداد گفتوگو با هکرها در رسانهها بسیار کم است.
از سوی دیگر این روزها با جستوجوی عبارت آموزش هک، با کتابها، فیلمها و حتی آموزشگاههایی در ایران مواجه میشویم که تقریبا هیچ کدام از آنها نیز فیلتر نبوده و در دسترس علاقهمندان است. اگرچه چرایی و چگونگی این موضوع روشن نیست، اما در این میان یکی از آموزشگاههایی که امکان تماس با آن میسر نشد، مدعی «برگزاری دوره آموزش هک اخلاقمدار از نوع CEH )The Certified Ethical Hacker) توسط یک کارشناس شناخته شده و برگزاری جامعترین آموزش هک اخلاقی است که به متخصصان امنیت برای فهم بهتر هک اخلاقی کمک میکند.» این سایت لوگوی موقت مرکز فناوری اطلاعات وزارت ارشاد را نیز دارد. هرچند در لوگوی اعطا شده آمده است: «این نماد صرفا به منزله شناسایی بوده و به معنای مجوز نمیباشد.»
پدیده هک در ایران به علت دارا بودن جمعیت جوان و شرایط خاص اقتصادی در کشور و علاقه برخی جوانان به طی کردن یک شبه راه صد ساله، میتواند هم زمینهای برای به گمراهی کشاندن متقاضیان و هم زمینهای برای کلاهبرداری از آنها به اسم آموزش تبدیل شود.
علاوه بر سایتها و شبکههای اجتماعی داخلی، در اینستاگرام و تلگرام نیز طبعا مدعیان هک و آموزش هکری (گاه با تعداد بالایی فالوور) یافت میشوند و در میان آنها بسیارند کسانی که به این بهانه در واقع طعمههای خود را به دام میاندازند و در برخی موارد که در ادامه به آنها پرداخته شده قربانیان خود را تبدیل به عامل اصلی یک جرم سایبری کرده و به دردسر میاندازند.
البته بسیاری از مدعیان هک حسابهای کاربری در شبکههای اجتماعی، متقاضیان را دعوت به مکاتبه مستقیم و خصوصی با خود کردهاند و قاعدتا به علت ایجاد یک رابطه غیرقانونی امکان شکایت قربانیان از کلاهبرداران به حداقل میرسد.
اگرچه در این میان کم نیستند افرادی که در حال آموزش و اطلاعرسانی در خصوص انواع روشهای هک هستند که مشخص نیست آیا به طور غیرمستقیم در حال تبلیغات و بازاریابی برای دریافت سفارشات و درخواستهای پشت پرده هستند یا واقعا نیت خیر دارند.
عمده تبلیغات این هکرها نیز با وعده هک کارت بانکی، هک حسابهای کاربری دیگر افراد در شبکههای اجتماعی، هک کیف پول ارز دیجیتال و … است.
هک یا شناسایی ضعفهای امنیتی
هک یا حمله سایبری اگرچه اقدامی کلاهبردارانه و خطرناک نامیده میشود اما طرفداران بسیاری دارد. در عین حال بسیاری از هکهایی که صورت میگیرند برای پیدا کردن باگها و ضعفهای امنیتی سیستمها، پلتفرمها، سایتها و نرمافزارها بوده و تنها راه یافتن باگهای امنیتی هک کردن است.
به همین روی بسیاری هک کردن را نه راهی منفی که اقدامی ضروری برای حفاظت از امنیت سایبری میدانند. این روزها کانالهای بسیاری در تلگرام انواع روشهای هکری را آموزش میدهند، اما هکرها معتقدند باید پیشنیازهای بسیاری آموزش داده شود تا بتوان هک کردن را آموخت. از سویی دیگر هک کردن اکانت اینستاگرام یا تلگرام ساختگی است و تنها در صورتی میتوان کاربری را هک کرد که روی لینک نادرستی کلیک کند، بدافزار نصب کند یا اطلاعات خود را در اختیار افراد سودجو قرار دهد.
یا اگر در یک کانال تلگرام به کارت بانکی برخوردید که رمزپویای آن نیز منتشر شده است، از آن پول سرقت نکنید زیرا در این صورت شما شریک هکرها هستید یا ممکن است تمام تقصیرات بر گردن شما بیفتد. از سویی دیگر مطمئن باشید هکر در ظاهر خیرخواه حساب را قبلا خالی کرده است.
هکرهای حرفهای اما این اقدامات را بیارزش و تبلیغاتی میدانند و معتقدند هیچگاه در کارتها پولی یافت نخواهید کرد. پیش از رمزپویا، حسابهای بسیاری از کاربران از طریق فیشینگ خالی میشد. اکنون اما هکرها مدعی هستند فیشینگ و سرقت از کارتهای بانکی سادهتر هم شده است و در این میان تنها کاربران به دردسر افتاده و باید منتظر دریافت رمزپویا باشند. (ادعایی که بر خلاف آمار منتشره از سوی بانکها و پلیس فتا مبنی بر کاهش کلاهبرداریها از این طریق است و جدیدترین آمار جهانی نیز نشان از کاهش کلاهبرداریهای بانکی در ایران دارد.)
داستان یک هکر متواری
(توضیح مهم: هفتهنامه عصر ارتباط به هیچ وجه امکان تایید اظهارات و ادعاهای مطرح شده از سوی این هکر ناشناس که از طریق تلگرام پاسخگوی سوالات ما بود را ندارد و متن حاضر به معنی تایید این مدعیات نیست. کمااینکه بخشهای زیادی از اظهارات این فرد، به دلیل غیرقابل اثبات بودن و طرح برخی اتهامات منتشر نشده است.)
یک هکر که در هنگام بازداشت توسط پلیس فتا کمتر از 18 سال داشت، در خصوص انواع روشهای هک، فیشینگ، سرقت و کلاهبرداری اینترنتی به خبرنگار «عصر ارتباط» توضیحاتی ارایه داده است.
او در زمینه انواع فعالیتهای غیرقانونی از جمله هک و فیشینگ در فضای اینترنتی گفت: هک به معنای نفوذ به یک پلتفرم، نرمافزار، سایت یا سیستم تکنولوژی است. مستقیم نمیتوان به سیستم یا پلتفرمی نفوذ کرد. به طور کلی ما یک برنامه مخرب برای دارنده سیستم ارسال میکنیم، بعد از نصب آن، سیستم او هک میشود. اسم آن برنامه رات یا تروجان است و اسم این اقدام نیز هک.
هک به روش فیشینگ
او افزود: فیشینگ زیرمجموعه هک است. بسیاری تصور میکنند به دلیل راهاندازی رمزپویا نمیتوان از کارتهای بانکی به صورت اینترنتی سرقت کرد.
وی مدعی شد: اما بعد از راهاندازی رمزپویا بسیار راحتتر از قبل میتوان فیشینگ کرده و حسابهای بانکی را خالی کرد. برای دریافت رمزپویا نیز به پیامک دارنده حساب بانکی دسترسی میگیریم. این اقدام از طریق رات انجام میشود.
به این طریق که تلگرام غیررسمی نصب میکنیم و سپس به سادگی دسترسی به پیامک دارنده حساب میگیریم.
هکر جوان مدعی است که زمانی بزرگترین هکر ایران بوده است! و بسیاری از واژههایی که فیشینگرها (افرادی که اقدام به فیشینگ میکنند) اکنون استفاده میکنند را او وارد جامعه فعالان فیشینگ کرده است. بسیاری از راههای فیشینگ نیز ابتکار اوست.
او درباره باند فیشینگ که به دست پلیس فتا دستگیر شد، گفت: ما گروه فیشینگ داشتیم و به یکدیگر کمک میکردیم. اما در هر فیشینگ همه سهم نمیبردیم. هرکدام به صورت تکی فعالیت میکردیم. پول فیشینگ نیز به جیب خود فرد میرفت اما در گروه، کمک همدیگر بودیم.
هک به روش اسنیف
هکر جوان درباره روشهای دیگر هک کردن که استفاده میکرد، گفت: ما از روش اسنیف نیز استفاده میکردیم. این روش در اروپا بازدهی بالایی دارد. در ایران اما به صرفه نیست. به طور مثال اگر خانه شما در عسگرآباد است، از اینترنت عسگرآباد استفاده میکنید، اینترنت آن منطقه از فلان دکل تامین میشود.
پس من میروم کنار دکل، هرزمان وارد صفحه بانکیتان شدید، اطلاعات خود را در سیستم وارد کردید، از طریق دکل تور پهن میکنم، در سر راه که دیتای شما منتقل میشود، با ابزار خاصی، اطلاعات حساب بانکیتان را دریافت کرده و حساب شما را خالی میکنم. دیتا از دکل اینترنت منتقل میشود و میتوان از طریق دکل دزدی کرد. این روش دستگاه خاصی نیاز دارد که 400 دلار هزینه دارد.
این هکر کارتهای بانکی و رمزهای پویای منتشر شده در شبکههای اجتماعی را تبلیغات بیاساس و پایه میداند.
او گفت: فیشینگ در ایران گدابازی است. در اروپا کمتر از یک سال میتوان پول زیادی به جیب زد، اما در ایران هربار باید ایده جدیدی داشته باشیم چون طی کمتر از یک هفته همه هکرها از روی آن کپی کرده و همه همین روش را استفاده میکنند.
او پانزی فیشینگ را از دیگر روشهایی که استفاده میکرد، نامیده و میگوید: برای فیشینگ دو راه وجود دارد؛ یا باید روی طمع مردم دست گذاشت یا شهوت. پانزی طمع مردم را هدف میگیرد. انواع روشهای مختلف هم دارد، گلدکوئست یا بورس داخلی و بینالملل از حوزههایی است که میتوان از طریق پانزی در آن سود کرد. انواع روشهای بازایابی هرمی در کلاهبرداری به روش پانزی مورد استفاده قرار میگیرند.این هکر جوان معتقد است بیشتر هکرها کمتر از 18 سال سن دارند.
هک یا امنیت سایبری؟
برای بررسی صحت و سقم اظهارات این هکر سراغ یک کارشناس امنیت سایبری رفتیم.
جواد دادگر به «عصر ارتباط» گفت: هک قانونی وجود ندارد بلکه علم و دانش مربوط به امنیت سایبری است که برخی آن را هک قانونی مینامند. به این صورت است که کارشناسان امنیت سایبری باگهای نرمافزار یا سایت مربوطه را پیدا کرده و برای رفت باگ، آن را به مدیر انفورماتیک اطلاعرسانی میکنند.
او افزود: به طور کلی هک بار منفی ندارد اما به صورت یک فعالیت غیرقانونی و سرقت در بین مردم شناخته شده است. در صورتی که کارکرد اصلی هک، یافتن نقاط ضعف امنیتی سازمان و گزارش آن به مسوولان مربوطه است. در گذشته به آن هکرهای کلاه سفید گفته میشد اما اکنون دیگر از این واژه استفاده نمیشود.
حال رویکرد برخی هکرها کمک و حفاظت از امنیت اطلاعات است، رویکرد برخی دیگر خرابکارانه و سرقت است.
هشدار کلاهبرداری با انتشار رمزپویا
دادگر در خصوص کارتهای بانکی که در شبکههای اجتماعی به همراه رمزپویا منتشر میشود نیز گفت: معمولا افرادی که کارهای فیشینگ انجام میدهند، یکی از کارتهایی که از آن سرقت کردهاند در کانالهای شبکههای اجتماعی منتشر میکنند. این امر میتواند تبدیل به یک مشکل سایبری شود. اگر از رمزپویا استفاده کرده و مبلغی از کارت خالی کرده یا روی لینک کلیک کنید، ممکن است سرقت از کارت مربوطه به گردن شما بیفتد.
او در خصوص دورههای آموزشی هکری در شبکههای اجتماعی گفت: هک نیز مانند دیگر حوزههای فناوری یک رشته علمی است و آموزشهای مختلفی در این زمینه وجود دارد. بسیار هم هیجانانگیز است و به همین خاطر بسیاری علاقهمند به یادگیری آن هستند.
ادعای پوچ هک شبکههای اجتماعی
این کارشناس امنیت سایبری در زمینه هک اینستاگرام و دیگر شبکههای اجتماعی گفت: ادعای توانایی هک اینستاگرام و دیگر شبکههای اجتماعی، ادعایی پوچ بوده و امکانپذیر نیست.
هکرها میتوانند آسیبپذیریها را پیدا کنند اما این به معنای هک کامل شبکه اجتماعی مربوطه نیست. باگها همواره به کارشناسان مربوطه گزارش شده و رفع میشوند. ممکن است حساب کاربری یک کاربر بر اثر سهلانگاری، در اختیار قرار دادن اطلاعات اکانت به افراد اشتباه یا باز کردن لینکهای خطرناک، هک شود. در غیر این صورت هیچ راهی برای هک اکانتهای کاربران وجود ندارد و انواع آموزشهای هک شبکههای اجتماعی در واقع نوعی تبلیغات، بزرگنمایی و بازارگرمی برای فریب و کلاهبرداری از دیگران است.