سه‌شنبه 6 آذر 1403

خطر فیشینگ در حوزه بازی‌های رایانه‌ای / مسئولان توجه کنند

خبرگزاری مهر مشاهده در مرجع
خطر فیشینگ در حوزه بازی‌های رایانه‌ای / مسئولان توجه کنند

یک قاضی جرائم بازی‌های رایانه‌ای گفت: برخی از گیمرها بدون هیچ گونه اطلاعاتی پولی را برای یک فرد معلوم الحالی واریز می کنند و در نهایت پس از نصب نرم‌افزار مورد فیشینگ قرار می گیرند.

یک قاضی جرائم بازی‌های رایانه‌ای گفت: برخی از گیمرها بدون هیچ گونه اطلاعاتی پولی را برای یک فرد معلوم الحالی واریز می کنند و در نهایت پس از نصب نرم‌افزار مورد فیشینگ قرار می گیرند.

خبرگزاری مهر، گروه فرهنگ و ادب _ زینب رازدشت: «تا کنون در کشورمان، فیشینگ های فله‌ای صورت گرفته است. برای مثال پیامک‌هایی که که از قوه قضائیه برای مردم ارسال می‌شود، نوعی فیشینگ است. در میان پرونده‌هایم شکواییه ای ثبت شد که جالب است برای تان بگویم. شاکی پیرمردی بود که مطرح کرد: ساعت 2 بامداد زمانی که خواب بود، پیامکی از قوه قضائیه برایش رسید با این عنوان «حکم جلب صادر شد». از آنجا که او فرد آبروداری بود، این پیامک او را قدری ترسانده بود. در این پیامک عنوان شده بود که در صورت رؤیت برگه جلب، باید 200 تا تک تومنی از حسابش برداشته شود. این پیرمرد برای آنکه در جزئیات ماجرا قرار بگیرد، وارد لینک شد و سریعاً متوجه شد که 40 میلیون تومان پولی که برای جهازیه دخترش در حسابش گذاشته بود، برداشته شد.

درواقع فیشینگ به معنای حک حساب است و یک نوع بد افزاری را برای شما ارسال می‌کند و شما هم رمز را به فرد مقابل می‌دهید. بارها در خصوص این موضوع در برنامه‌های رادیویی مفصل صحبت می‌کنم تا مردم در جریان این ماجراها قرار بگیرند و در دام مجرمان نیفتند.»

فیشینگ به این صورت است که معمولاً یک دامی را برای شما ایجاد می‌کند و زمانی که این پیامک برای شما می‌آید، اولین کاری که باید انجام دهید این است که شناسه لینک را با دقت مشاهده کنید. مردم باید بدانند هر لینکی که https نداشته باشد، جعلی است. " اینها بخشی از صحبت‌های محمدحسن جباری قاضی جوان جرایم رایانه‌ای است.

در همین خصوص گفت و گویی با وی داشته‌ایم که بخش اول این‌گفتگو در پیوند «قوانین مشخصی برای مجرمان جرایم بازی‌های رایانه‌ای وجود ندارد» از خبرگزاری مهر منتشر شد و هم‌اکنون مشروح بخش دوم آن را از نظر می‌گذرانید.

* «فیشینگ» خطرناک‌ترین شیوه کلاهبرداری سایبری است؛ این نوع کلاهبرداری را در حوزه بازی‌های رایانه‌ای برای‌مان تبیین بفرمائید؟

نخستین بار در سال 1987 مسأله «فیشینگ» رخ داد. عموماً فیشینگ های ما فله‌ای یا نیزری هستند. درواقع فیشینیگ یعنی ماهیگیری و زمانی که شما می‌خواهید ماهیگیری کنید، توری را پهن می‌کنید و از همان ابتدا ماهی خاصی مدنظر نیست و فقط می‌خواهید ماهی صید کنیدمعمولاً شاکیان ما افراد کم سن و سالی هستند به همین دلیل به همراه خانواده برای شکایت مراجعه می‌کنند. برای مثال گیمر کم سن و سالی در مرحله 10 یک بازی است؛ به مدرسه می‌رود و در مدرسه متوجه می‌شود که هم کلاسی‌هایش در مرحله 20 آن بازی قرار دارد. در اولین مرحله او در فضای مجازی جستجو می‌کند که چگونه بازی را دور بزند تا از مرحله 10 به مرحله 20 برسد. در این جستجوهای مجازی با شخص مجازی آشنا می‌شود که او می‌گوید 5 میلیون تومان برایم واریز کن تا بگویم که چه راهی را انتخاب کنی و حتی به مرحله 30 بازی یعنی 10 مرحله بالاتر از دوستانت برسی. آن گیمر 5 میلیون تومان را واریز می‌کند. گیمر برای ورود به آن لینک ارسالی از سوی فرد مجهول مجازی، نرم افزار را نصب می‌کند و پس از نصب مورد فیشینگ قرار می‌گیرد که این موضوع یکی از خطرناک‌ترین مسائل سایبری است.

نخستین بار در سال 1987 مسأله «فیشینگ» رخ داد. عموماً فیشینگ های ما فله‌ای یا نیزری هستند. درواقع فیشینیگ یعنی ماهیگیری و زمانی که شما می‌خواهید ماهیگیری کنید، توری را پهن می‌کنید و از همان ابتدا ماهی خاصی مدنظر نیست و فقط می‌خواهید ماهی صید کنید. اما گاهی اوقات نیزه در دست دارید و قصد دارید ماهی خاصی را صید کنید.

تا کنون در کشورمان، فیشینگ های فله‌ای صورت گرفته است. برای مثال پیامک‌هایی که که از قوه قضائیه برای مردم ارسال می‌شود، نوعی فیشینگ است. در میان پرونده‌هایم شکواییه ای ثبت شد که جالب است برای تان بگویم. شاکی پیرمردی بود که مطرح کرد: ساعت 2 بامداد زمانی که خواب بود، پیامکی از قوه قضائیه برایش رسید با این عنوان «حکم جلب صادر شد». از آنجا که او فرد آبروداری بود، این پیامک او را قدری ترسانده بود. در این پیامک عنوان شده بود که در صورت رؤیت برگه جلب، باید 200 تا تک تومنی از حسابش برداشته شود. این پیرمرد برای آنکه در جزئیات ماجرا قرار بگیرد، وارد لینک شد و سریعاً متوجه شد که 40 میلیون تومان پولی که برای جهازیه دخترش در حسابش گذاشته بود، برداشته شد.

درواقع فیشینگ به معنای حک حساب است و یک نوع بد افزاری را برای شما ارسال می‌کند و شما هم رمز را به فرد مقابل می‌دهید. بارها در خصوص این موضوع در برنامه‌های رادیویی مفصل صحبت می‌کنم تا مردم در جریان این ماجراها قرار بگیرند و در دام مجرمان نیفتند.

مردم باید بدانند هر لینکی که https نداشته باشد، جعلی است

فیشینگ به این صورت است که معمولاً یک دامی را برای شما ایجاد می‌کند و زمانی که این پیامک برای شما می‌آید، اولین کاری که باید انجام دهید این است که شناسه لینک را با دقت مشاهده کنید. مردم باید بدانند هر لینکی که https نداشته باشد، جعلی است، یعنی پیامک‌های جعلی قوه قضائیه با httpc یا hTtps برای فرد ارسال می‌شود. فیشینگ موضوع بسیار پیچیده‌ای است و مردم باید حواس شأن نسبت به این موضوع جمع باشد.

در بحث فیشینگ حوزه بازی‌ها که خدمت تان عرض کردم؛ آن گیمر پول را مستقیم به حساب فرد مجازی نمی‌ریزد بلکه این فرد کلاهبردار به دروغ می‌گوید که من با سازنده بازی در ارتباطم و این حساب سازنده بازی است و زمانی که شما پول را به حساب سازنده بازی واریز کنید، بلافاصله شما را به مرحله 30 یعنی 10 مرحله بالاتر از مراحل دوستانت می‌رسانیم. از آنجا که بچه‌ها کم سن و سال هستند و عموماً با کارت پدر و مادرهایشان پول را واریز کنند، خود آن بدافزار بدون نیاز به رمز دوم وارد سامانه می‌شود و آن گیمر کم سن و سال هم اطلاعات بانکی کارت پدر یا مادر را می‌دهد و خود به خود آن بدافزار پول را از حسابش بر می‌دارد. یعنی حتی بدون نیاز به رمز دوم بطور کامل حساب را خالی می‌کند.

برخی از جرایم سقف دارد و این نوع جرم از لحاظ سیستم بانکداری ما بیشتر از سه میلیون نمی‌تواند از حساب بردارد، اما در بحث فیشینگ، کلاهبردار بطور کامل می‌تواند حساب را خالی کند. زیرا وقتی فرد فیشینگ می‌شود، به مانند آن می‌ماند که کلید در خانه را به شخصی داده باشد، چون می‌تواند به همه جای حسابت وارد شود.

حتی پرونده‌ای داشتم که از طریق فیشینگ دسترسی خود صاحب کارت به حسابش را مسدود کرد. یعنی خود مالک کارت هم نمی‌توانست وارد حسابش شود. فرد خودش فهمید که او کلاهبردار است، اما هر کاری کرد نتوانست وارد حسابش شود. چون اولین کاری که کلاهبردار می‌کند این است که دسترسی خود مالک کارت را مسدود کند و حتی ما در پرونده داشتیم که از این طریق پول پدرش رفته بود و پدرش بسیار ناراحت بود؛ چراکه شاکی واقعی پسر 11 ساله‌ای بود که فریب فردی در فضای مجازی را خورده بود. در این زمان شاهد هستیم حسابی که خالی شده بود، پدر و مادری که ناراحت بودند و بچه‌ای که از عملش سرخورده بود و درهایت پرونده‌ای که هنوز به جایی نرسیده است. البته تحقیقات ادامه دارد، اما به جایی نرسیدیم، چون حساب مقصد به راحتی قابل انتقال است و مالک حساب شناسایی نمی‌شود و لذا سخت می‌شود با آنها برخورد کرد.

این دو شیوه رایج کلاهبرداری در بازی‌های رایانه‌ای است و باید به مسئولان بگوییم که جرم با این شیوه وجود دارد و باید هرچه سریع‌تر قوانینی برای آن وضع کرد تا کمتر با چنین مسائلی روبرو باشیم.

*در حوزه سرقت چطور؟ پرونده‌هایی داشتید که مربوط به جرایم بازی‌های رایانه‌ای در حوزه سرقت باشد؟

در جرایم رایانه‌ای، سرقت وجود دارد و بر اساس آن ماده و قوانینی هم وضع شده است. سرقت‌هایی همچون سرقت لب تاپ از نوع سرقت سنتی است اما در سرقت رایانه‌ای داده و محتوای داخل گوشی یا لب تاب که شامل عکس، فیلم، صدا، متن (پایان نامه) است، به سرقت می‌رود. به هرحال داده یعنی هرچیزی که از برای من در مقام دفاع یا دعوا قابل استناد باشددر یکی از پرونده‌هایم شاکی داشتم که فکر می‌کنم مبلغی بالغ بر 500 میلیون تومان در یکی از سایت‌های قمار باخته بود. این شاکی حدوداً بیست و چند ساله بود. زمانی که از او توضیح خواستم که چرا وقتی یک بار بازنده شدی، دوباره قمار کردی و او گفت هر بار که می‌باختم طمع من برای ادامه بیشتر می‌شد. او به نقطه‌ای رسیده بود که برای اجاره خانه اش سرگردان مانده بود و به گفته خودش می‌خواست نزول کند. البته یکی از ویژگی‌های قمار این است که افراد زمانی که در مرحله‌ای می‌بازند، طمع می‌کنند و دوباره به تکرار اشتباهات شأن می‌پردازند. سایت‌های قمار ضربه‌های سنگینی به افراد وارد می‌کنند؛ چراکه این سایت‌ها کاملاً بر مبنای ویژگی‌های روانشناسی فعالیت شأن را پیش می‌برند، درحالی که ما در کشورمان نسبت به این موضوعات بی اهمیت هستیم. برای مثال بازی‌های خشن روی ذهن می‌تواند تأثیر بگذارد و مسئولان ما نسبت به این موضوع قدری بی اهمیت هستند.

در جرایم رایانه‌ای، سرقت وجود دارد و بر اساس آن ماده و قوانینی هم وضع شده است. سرقت‌هایی همچون سرقت لب تاپ از نوع سرقت سنتی است اما در سرقت رایانه‌ای داده و محتوای داخل گوشی یا لب تاب که شامل عکس، فیلم، صدا، متن (پایان نامه) است، به سرقت می‌رود. به هرحال داده یعنی هرچیزی که از برای من در مقام دفاع یا دعوا قابل استناد باشد.

در حوزه جرایم بازی‌ها در بخش سرقت به این صورت است که نصب برخی از بازی‌ها نیازمند ایمیل یا جیمیل است و از طرفی هم شاهد فروش اکانت هستیم. در این بخش، بازی مورد نظر به یک ایمیل وصل بوده و اکانتی که به ایمیل متصل است را در عین واقعیت به شمار می‌فروشد. برای مثال اگر بازی 90 مرحله است، عین همان 90 مرحله را به شما می‌فروشد، یعنی ایمیل بازی با همان 90 مرحله در اختیارتان قرار می‌گیرد. در این شیوه از سرقت اکانت با ایمیل برای شما اختصاص می‌یابد اما فرد کلاهبردار به محض انتقال ایمیل بازی به شما، سریعاً رمز را تغییر می‌دهد، یعنی بازی با ایمیل در دست شما قرار می‌گیرد اما شما به رمز ایمیل دسترسی ندارید. این امر به مانند گوشی ریجستر نشده‌ای می‌ماند که تنها فیزیکش در دست مان است و هیچ کاری نمی‌توانیم با آن انجام دهیم.

شیوه دوم بسیار جالب‌تر و سهل تر از شیوه اول است؛ شیوه دوم به این صورت بوده که برای مثال بازی PS4 یا PS5 که همگی از یک سرور تغذیه می‌شوند و کنسول همه آنها خارجی است؛ ناگهان به هنگام بازی از پلی استور پیامی می‌آید مبنی بر اینکه اکانت شما هک شده است و به این صورت شما را از بازی خارج می‌کند، چون به اینترنت وصل است. در این موقعیت شما به سراغ پلی استور می‌روید. از آنجا که پلی استور پیش بینی کرده است که این بازی ممکن است هک شود، به همین دلیل به م حض اینکه احساس کند بازی حک شده است، اکانت را قفل می‌کند تا تعیین تکلیف شود. این امر به مانند پول مشکوکی می‌ماند که به حساب فرد واریز می‌شود و بانک مرکزی به دلیل آنکه پول مشکوک است، آن را قفل می‌کند تا تکلیف پول مشخص شود. با این تفاسیر فرد با اکانت قفل شده‌ای روبروست که توسط هکری انجام شده است.

هکر در چنین مواقعی کاری می‌کند که جای هکر و صاحب اکانت عوض می‌شود، یعنی هکر می‌شود صاحب بازی و صاحب اکانت به عنوان هکر معرفی می‌شود و دیگر خدماتی به فرد ارائه نمی‌شود، چون اکانت برای فرد قفل می‌شود. در این شرایط در حقیقت داده شما به سرقت رفته است. سرقت داده از این طریق بسیار خطرناک است.

*راهکار شما در شیوه دوم چیست؟

اگر چنین پیامی در حین بازی دریافت کردید، وارد پلی استور آن بازی شوید و شکایت خود را ثبت کنید این نرم افزار طی 24 تا 48 ساعت به صورت مکتوب پاسخ شما را خواهد داد که حک شده اید. در 70 درصد مواقع پلی استور شما را هکر معرفی می‌کند و اکانتی برای شما باز نمی‌کند، چون این بستر در ایران نیست، باید به پلیس فتا بروید و در آنجا شکایت کنید تا شکایت تان بررسی شود. اگر آی پی هکر متعلق به ایران بود، متهم قابل شناسایی است اما در بسیاری از موارد سرور این آی پی‌ها در ایران نیست و دیگر نمی‌توان کاری کرد. به همین علت این مسأله چقدر خطرناک است.

همچنین شیوه جدیدی که متأسفانه متهمان استفاده می‌کنند این است که به هنگام جرم، از فیلترشکن استفاده می‌کنند تا به سرور کشوری دیگر متصل شوند. برای مثال خانمی پرونده‌ای داشت مبنی بر اینکه عکس‌هایش در فضای مجازی منتشر شده است به این صورت که پیجش عمومی بود و مجرم عکس‌های او را برداشته بود و در پیج فیک آن عکس‌ها را منتشر کرده بود. زمانی که وضعیت را پیگیری کردیم متوجه شدیم که مجرم با اتصال به فیلترشکن، محل وقوع جرمش در کشور دیگری نشان می‌دهند.

نکته مهمی که با متهمان در این شیوه‌ها روبرو هستیم این است که متهمان این پرونده‌ها بسیار باهوش شوند و باید در تمامی این پرونده‌ها چنین نکته‌ای را مدنظر قرار دهیم که با چه متهمانی روبرو هستیم.

در یکی از پرونده‌هایم شاهد بودم که خواستگار یا نامزد قبلی متوجه شده بود که فرد ازدواج کرده است، به همین دلیل همه عکس‌های فرد را در پیجی منتشر کرده بود که بنام پیج پورنو بود. زمانی که این پرونده را رسیدگی کردیم متوجه شدیم آی پی خارج از کشور خورده است که در این شرایط نتوانستیم ماجرا را پیگیری کنیم. جرایم مربوط به اینستاگرام در بسیاری از موارد قابل پیگیری نیست اما در واتس آپ به دلیل آنکه مجرم به واسطه شماره تلفن، مرتکب ارتکاب می‌شود، بخشی از جرایم آن قابل پیگیری است.

در یکی دیگر از پرونده‌هایم، فردی بود که وام ازدواج 80 میلیونش فیشینگ شده بود و زمانی که پرونده را رسیدگی کردیم متوجه شدیم که آی پی از کشور روسیه بود یعنی زمانی که وی پی ان را روشن کرده بود، محل وقوع جرم روسیه بود.

* به‌نظر می‌رسد در بازی‌های آنلاین خطر بسیار باشد؛ چراکه ممکن است مورد هجمه ای از کلاهبرداران سایبری قرار بگیرند.

بله کاملاً درست است؛ اشخاصی که بازی‌های آنلاین را به صورت گروهی انجام می‌دهند، توصیه می‌کنم با دوستان شأن بازی را انجام دهند و از بازی کردن با غریبه‌ها بپرهیزند؛ چراکه ممکن است هکرها در کمین باشند و اکانت بازی را از شما دریافت کنند. در این شرایط بسیار سخت است که بتوان متهمی که جرم رایانه‌ای را انجام داده است، دستگیر کنند.

* در ماه چند درصد از جرایم رایانه‌ای مربوط به بازی‌های رایانه‌ای است؟

شخصی با شخصی دیگر لج می‌کند که این‌مساله اکثراً برای خانم‌های جوان رخ می‌دهد، شماره خانم بر اثر این لجبازی در سایت مستهجن گذاشته می‌شود و روزی ده‌ها نفر زنگ می‌زنند و فرد قیمت می‌دهند. این رفتار جرم نیست اما سوءاستفاده از شماره رخ داده است اما قانونی نداریم که بخواهیم برایش جرم انگاری کنیم و در نهایت پرونده مختومه اعلام می‌شود درحالی که آبروی طرف رفته دختر 20 ساله را چگونه می‌توان جبران کرد؟ از 190 پرونده جرایم رایانه‌ای حداقل 10 پرونده مربوط به بازی‌های رایانه‌ای است. از این 10 پرونده اکثراً آقا و در رده سنی 16 تا 20 سال هستند که حتی آن اشخاص 16 ساله به دلیل آنکه به سن قانونی نرسیده اند، باید با پدران یا قیم شأن برای شکایت مراجعه کنند. به هرحال بسیار موضوع دردسرسازی است.

* با توجه به مثال‌های مصداقی که از پرونده‌هایی که با آن روبرو بودید برای مان عنوان کردید، تا چه اندازه ما نیازمند قوانین مدون در این حوزه هستیم؟

ما قانونی نیاز داریم که علاوه بر اینکه این مسأله را پوشش دهد، بتواند قضاوت درستی را هم داشته باشد. به عنوان کسی که قاضی جرایم رایانه‌ای هستم، به هیچ وجه موافق محدودیت در هیچ حوزه جرایم در مسأله فضای مجازی نیستم. به قول آیت الله جوادی آملی شما تخلف یک شخص راننده را می‌بینید، نمی آیید کل رانندگی را ممنوع کنید بلکه آن تخلف شخص را مدنظر قرار می‌دهید. معتقدم فضای مجازی و بازی‌های رایانه‌ای نباید محدود شود.

اگر قرار است قانونی بگذاریم و یا جرم انگاری کنیم، باید قانون جامعی وضع کنیم تا همه از آن حمایت کنند و در کنار آن هم عنوان شود که این رفتارها تحت حمایت قانون بوده و یا جرم است، یعنی بطور کامل باید در این حوزه وارد شد و جرم انگاری انجام شود.

متأسفانه قانون جرایم رایانه‌ای برای سال 88 است. مدتی پیش بازرسی به شعبه مان آمده بود و عنوان کرد که چرا برخی پرونده‌ها قفل است. در پاسخ گفتم آیا سال 88 واتس آپ، تلگرام و اینستاگرام بود؟ آیا ما در سال 88 دستگاه ATM، دستگاه پز، رمز امرز یا دستگاه ماینر داشتیم؟ قطعاً در آن سال هیچ کدام از اینها نبود که قانونگذار بتواند قانونی برایش وضع کند. حال چگونه می‌توانم با قانون سال 88 جرایم رایانه‌ای با این نیازهای جدیدی به روز رسانی و انطباق دهم؟ برخی جرایمی که رخ می‌دهد از لحاظ عرف واقعاً جرم بوده، اما جرم انگاری نشده است.

برای مثال شخصی با شخصی دیگر لج می‌کند که این‌مساله اکثراً برای خانم‌های جوان رخ می‌دهد، شماره خانم بر اثر این لجبازی در سایت مستهجن گذاشته می‌شود و روزی ده‌ها نفر زنگ می‌زنند و فرد قیمت می‌دهند. این رفتار جرم نیست اما سوءاستفاده از شماره رخ داده است اما قانونی نداریم که بخواهیم برایش جرم انگاری کنیم و در نهایت پرونده مختومه اعلام می‌شود درحالی که آبروی طرف رفته دختر 20 ساله را چگونه می‌توان جبران کرد؟

در پرونده‌ای دیگر دو جاری به جان هم افتاده بودند و یکی از جاری‌ها برای لجبازی شماره جاری را در سایت خدماتی (نگهداری از سالمندان، بچه، سگ...) گذاشته بود و روزی ده نفر به او زنگ می‌زدند. این رفتارجرم نیست اما سوءاستفاده از شماره افراد جرم انگاری نشده استهمچنین در یکی از پرونده‌ها با طلافروشی روبرو بودم که به مرز ورشکستگی رسیده بود. داستان از این قرار بود که فروشنده دستگاه پز داشت. از آنجا که فروشنده نمی‌داند پولی که مشتری می‌کشد، از کجا آورده است و آیا این پول کلاه برداری است یا سرقت و پولشویی. به همین دلیل فردی آمده بود و از این طلافروش مقداری طلا خریده بود. زمانی که پلیس فتا رد زنی می‌کند، متوجه قضایا می‌شود و در نهایت حساب را مسدود می‌کند چون پولی که به حساب طلافروش آمده بود، پول نامشروع و دزدی بود. شاید بگویید این رفتار جرم نیست اما سوءاستفاده از حساب بانکی دیگران هنوز در قانون ما جرم انگاری نشده است.

در پرونده‌ای دیگر دو جاری به جان هم افتاده بودند و یکی از جاری‌ها برای لجبازی شماره جاری را در سایت خدماتی (نگهداری از سالمندان، بچه، سگ...) گذاشته بود و روزی ده نفر به او زنگ می‌زدند. این رفتار هم جرم نیست اما سوءاستفاده از شماره افراد جرم انگاری نشده است. این شخص مشکوک بود و پس از بازجویی فنی، او اعتراف کرد که چنین کاری انجام داده است. اگر ما به کسی مشکوک نبودیم، از کجا متوجه می‌شدیم؟ بر فرض مثال حتی اگر مشکوک هم باشید و در نهایت متهم شناسایی شود، باز هم جرم نیست و پرونده در نهایت بسته می‌شود.

در جرایم رایانه‌ای در سطح کلان ما آنقدر ضعف داریم که چه برسد به بازی‌های رایانه‌ای. اوضاع بسیار وخیم است. همچنین اکثر متهمان هم بچه‌های کم سن و سالی هستند که به سن قانونی نرسیده اند، واقعاً گاهی اوقات نمی‌توان کاری کرد.