خطر فیشینگ در حوزه بازیهای رایانهای / مسئولان توجه کنند
یک قاضی جرائم بازیهای رایانهای گفت: برخی از گیمرها بدون هیچ گونه اطلاعاتی پولی را برای یک فرد معلوم الحالی واریز می کنند و در نهایت پس از نصب نرمافزار مورد فیشینگ قرار می گیرند.
یک قاضی جرائم بازیهای رایانهای گفت: برخی از گیمرها بدون هیچ گونه اطلاعاتی پولی را برای یک فرد معلوم الحالی واریز می کنند و در نهایت پس از نصب نرمافزار مورد فیشینگ قرار می گیرند.
خبرگزاری مهر، گروه فرهنگ و ادب _ زینب رازدشت: «تا کنون در کشورمان، فیشینگ های فلهای صورت گرفته است. برای مثال پیامکهایی که که از قوه قضائیه برای مردم ارسال میشود، نوعی فیشینگ است. در میان پروندههایم شکواییه ای ثبت شد که جالب است برای تان بگویم. شاکی پیرمردی بود که مطرح کرد: ساعت 2 بامداد زمانی که خواب بود، پیامکی از قوه قضائیه برایش رسید با این عنوان «حکم جلب صادر شد». از آنجا که او فرد آبروداری بود، این پیامک او را قدری ترسانده بود. در این پیامک عنوان شده بود که در صورت رؤیت برگه جلب، باید 200 تا تک تومنی از حسابش برداشته شود. این پیرمرد برای آنکه در جزئیات ماجرا قرار بگیرد، وارد لینک شد و سریعاً متوجه شد که 40 میلیون تومان پولی که برای جهازیه دخترش در حسابش گذاشته بود، برداشته شد.
درواقع فیشینگ به معنای حک حساب است و یک نوع بد افزاری را برای شما ارسال میکند و شما هم رمز را به فرد مقابل میدهید. بارها در خصوص این موضوع در برنامههای رادیویی مفصل صحبت میکنم تا مردم در جریان این ماجراها قرار بگیرند و در دام مجرمان نیفتند.»
فیشینگ به این صورت است که معمولاً یک دامی را برای شما ایجاد میکند و زمانی که این پیامک برای شما میآید، اولین کاری که باید انجام دهید این است که شناسه لینک را با دقت مشاهده کنید. مردم باید بدانند هر لینکی که https نداشته باشد، جعلی است. " اینها بخشی از صحبتهای محمدحسن جباری قاضی جوان جرایم رایانهای است.
در همین خصوص گفت و گویی با وی داشتهایم که بخش اول اینگفتگو در پیوند «قوانین مشخصی برای مجرمان جرایم بازیهای رایانهای وجود ندارد» از خبرگزاری مهر منتشر شد و هماکنون مشروح بخش دوم آن را از نظر میگذرانید.
* «فیشینگ» خطرناکترین شیوه کلاهبرداری سایبری است؛ این نوع کلاهبرداری را در حوزه بازیهای رایانهای برایمان تبیین بفرمائید؟
نخستین بار در سال 1987 مسأله «فیشینگ» رخ داد. عموماً فیشینگ های ما فلهای یا نیزری هستند. درواقع فیشینیگ یعنی ماهیگیری و زمانی که شما میخواهید ماهیگیری کنید، توری را پهن میکنید و از همان ابتدا ماهی خاصی مدنظر نیست و فقط میخواهید ماهی صید کنیدمعمولاً شاکیان ما افراد کم سن و سالی هستند به همین دلیل به همراه خانواده برای شکایت مراجعه میکنند. برای مثال گیمر کم سن و سالی در مرحله 10 یک بازی است؛ به مدرسه میرود و در مدرسه متوجه میشود که هم کلاسیهایش در مرحله 20 آن بازی قرار دارد. در اولین مرحله او در فضای مجازی جستجو میکند که چگونه بازی را دور بزند تا از مرحله 10 به مرحله 20 برسد. در این جستجوهای مجازی با شخص مجازی آشنا میشود که او میگوید 5 میلیون تومان برایم واریز کن تا بگویم که چه راهی را انتخاب کنی و حتی به مرحله 30 بازی یعنی 10 مرحله بالاتر از دوستانت برسی. آن گیمر 5 میلیون تومان را واریز میکند. گیمر برای ورود به آن لینک ارسالی از سوی فرد مجهول مجازی، نرم افزار را نصب میکند و پس از نصب مورد فیشینگ قرار میگیرد که این موضوع یکی از خطرناکترین مسائل سایبری است.
نخستین بار در سال 1987 مسأله «فیشینگ» رخ داد. عموماً فیشینگ های ما فلهای یا نیزری هستند. درواقع فیشینیگ یعنی ماهیگیری و زمانی که شما میخواهید ماهیگیری کنید، توری را پهن میکنید و از همان ابتدا ماهی خاصی مدنظر نیست و فقط میخواهید ماهی صید کنید. اما گاهی اوقات نیزه در دست دارید و قصد دارید ماهی خاصی را صید کنید.
تا کنون در کشورمان، فیشینگ های فلهای صورت گرفته است. برای مثال پیامکهایی که که از قوه قضائیه برای مردم ارسال میشود، نوعی فیشینگ است. در میان پروندههایم شکواییه ای ثبت شد که جالب است برای تان بگویم. شاکی پیرمردی بود که مطرح کرد: ساعت 2 بامداد زمانی که خواب بود، پیامکی از قوه قضائیه برایش رسید با این عنوان «حکم جلب صادر شد». از آنجا که او فرد آبروداری بود، این پیامک او را قدری ترسانده بود. در این پیامک عنوان شده بود که در صورت رؤیت برگه جلب، باید 200 تا تک تومنی از حسابش برداشته شود. این پیرمرد برای آنکه در جزئیات ماجرا قرار بگیرد، وارد لینک شد و سریعاً متوجه شد که 40 میلیون تومان پولی که برای جهازیه دخترش در حسابش گذاشته بود، برداشته شد.
درواقع فیشینگ به معنای حک حساب است و یک نوع بد افزاری را برای شما ارسال میکند و شما هم رمز را به فرد مقابل میدهید. بارها در خصوص این موضوع در برنامههای رادیویی مفصل صحبت میکنم تا مردم در جریان این ماجراها قرار بگیرند و در دام مجرمان نیفتند.
مردم باید بدانند هر لینکی که https نداشته باشد، جعلی است
فیشینگ به این صورت است که معمولاً یک دامی را برای شما ایجاد میکند و زمانی که این پیامک برای شما میآید، اولین کاری که باید انجام دهید این است که شناسه لینک را با دقت مشاهده کنید. مردم باید بدانند هر لینکی که https نداشته باشد، جعلی است، یعنی پیامکهای جعلی قوه قضائیه با httpc یا hTtps برای فرد ارسال میشود. فیشینگ موضوع بسیار پیچیدهای است و مردم باید حواس شأن نسبت به این موضوع جمع باشد.
در بحث فیشینگ حوزه بازیها که خدمت تان عرض کردم؛ آن گیمر پول را مستقیم به حساب فرد مجازی نمیریزد بلکه این فرد کلاهبردار به دروغ میگوید که من با سازنده بازی در ارتباطم و این حساب سازنده بازی است و زمانی که شما پول را به حساب سازنده بازی واریز کنید، بلافاصله شما را به مرحله 30 یعنی 10 مرحله بالاتر از مراحل دوستانت میرسانیم. از آنجا که بچهها کم سن و سال هستند و عموماً با کارت پدر و مادرهایشان پول را واریز کنند، خود آن بدافزار بدون نیاز به رمز دوم وارد سامانه میشود و آن گیمر کم سن و سال هم اطلاعات بانکی کارت پدر یا مادر را میدهد و خود به خود آن بدافزار پول را از حسابش بر میدارد. یعنی حتی بدون نیاز به رمز دوم بطور کامل حساب را خالی میکند.
برخی از جرایم سقف دارد و این نوع جرم از لحاظ سیستم بانکداری ما بیشتر از سه میلیون نمیتواند از حساب بردارد، اما در بحث فیشینگ، کلاهبردار بطور کامل میتواند حساب را خالی کند. زیرا وقتی فرد فیشینگ میشود، به مانند آن میماند که کلید در خانه را به شخصی داده باشد، چون میتواند به همه جای حسابت وارد شود.
حتی پروندهای داشتم که از طریق فیشینگ دسترسی خود صاحب کارت به حسابش را مسدود کرد. یعنی خود مالک کارت هم نمیتوانست وارد حسابش شود. فرد خودش فهمید که او کلاهبردار است، اما هر کاری کرد نتوانست وارد حسابش شود. چون اولین کاری که کلاهبردار میکند این است که دسترسی خود مالک کارت را مسدود کند و حتی ما در پرونده داشتیم که از این طریق پول پدرش رفته بود و پدرش بسیار ناراحت بود؛ چراکه شاکی واقعی پسر 11 سالهای بود که فریب فردی در فضای مجازی را خورده بود. در این زمان شاهد هستیم حسابی که خالی شده بود، پدر و مادری که ناراحت بودند و بچهای که از عملش سرخورده بود و درهایت پروندهای که هنوز به جایی نرسیده است. البته تحقیقات ادامه دارد، اما به جایی نرسیدیم، چون حساب مقصد به راحتی قابل انتقال است و مالک حساب شناسایی نمیشود و لذا سخت میشود با آنها برخورد کرد.
این دو شیوه رایج کلاهبرداری در بازیهای رایانهای است و باید به مسئولان بگوییم که جرم با این شیوه وجود دارد و باید هرچه سریعتر قوانینی برای آن وضع کرد تا کمتر با چنین مسائلی روبرو باشیم.
*در حوزه سرقت چطور؟ پروندههایی داشتید که مربوط به جرایم بازیهای رایانهای در حوزه سرقت باشد؟
در جرایم رایانهای، سرقت وجود دارد و بر اساس آن ماده و قوانینی هم وضع شده است. سرقتهایی همچون سرقت لب تاپ از نوع سرقت سنتی است اما در سرقت رایانهای داده و محتوای داخل گوشی یا لب تاب که شامل عکس، فیلم، صدا، متن (پایان نامه) است، به سرقت میرود. به هرحال داده یعنی هرچیزی که از برای من در مقام دفاع یا دعوا قابل استناد باشددر یکی از پروندههایم شاکی داشتم که فکر میکنم مبلغی بالغ بر 500 میلیون تومان در یکی از سایتهای قمار باخته بود. این شاکی حدوداً بیست و چند ساله بود. زمانی که از او توضیح خواستم که چرا وقتی یک بار بازنده شدی، دوباره قمار کردی و او گفت هر بار که میباختم طمع من برای ادامه بیشتر میشد. او به نقطهای رسیده بود که برای اجاره خانه اش سرگردان مانده بود و به گفته خودش میخواست نزول کند. البته یکی از ویژگیهای قمار این است که افراد زمانی که در مرحلهای میبازند، طمع میکنند و دوباره به تکرار اشتباهات شأن میپردازند. سایتهای قمار ضربههای سنگینی به افراد وارد میکنند؛ چراکه این سایتها کاملاً بر مبنای ویژگیهای روانشناسی فعالیت شأن را پیش میبرند، درحالی که ما در کشورمان نسبت به این موضوعات بی اهمیت هستیم. برای مثال بازیهای خشن روی ذهن میتواند تأثیر بگذارد و مسئولان ما نسبت به این موضوع قدری بی اهمیت هستند.
در جرایم رایانهای، سرقت وجود دارد و بر اساس آن ماده و قوانینی هم وضع شده است. سرقتهایی همچون سرقت لب تاپ از نوع سرقت سنتی است اما در سرقت رایانهای داده و محتوای داخل گوشی یا لب تاب که شامل عکس، فیلم، صدا، متن (پایان نامه) است، به سرقت میرود. به هرحال داده یعنی هرچیزی که از برای من در مقام دفاع یا دعوا قابل استناد باشد.
در حوزه جرایم بازیها در بخش سرقت به این صورت است که نصب برخی از بازیها نیازمند ایمیل یا جیمیل است و از طرفی هم شاهد فروش اکانت هستیم. در این بخش، بازی مورد نظر به یک ایمیل وصل بوده و اکانتی که به ایمیل متصل است را در عین واقعیت به شمار میفروشد. برای مثال اگر بازی 90 مرحله است، عین همان 90 مرحله را به شما میفروشد، یعنی ایمیل بازی با همان 90 مرحله در اختیارتان قرار میگیرد. در این شیوه از سرقت اکانت با ایمیل برای شما اختصاص مییابد اما فرد کلاهبردار به محض انتقال ایمیل بازی به شما، سریعاً رمز را تغییر میدهد، یعنی بازی با ایمیل در دست شما قرار میگیرد اما شما به رمز ایمیل دسترسی ندارید. این امر به مانند گوشی ریجستر نشدهای میماند که تنها فیزیکش در دست مان است و هیچ کاری نمیتوانیم با آن انجام دهیم.
شیوه دوم بسیار جالبتر و سهل تر از شیوه اول است؛ شیوه دوم به این صورت بوده که برای مثال بازی PS4 یا PS5 که همگی از یک سرور تغذیه میشوند و کنسول همه آنها خارجی است؛ ناگهان به هنگام بازی از پلی استور پیامی میآید مبنی بر اینکه اکانت شما هک شده است و به این صورت شما را از بازی خارج میکند، چون به اینترنت وصل است. در این موقعیت شما به سراغ پلی استور میروید. از آنجا که پلی استور پیش بینی کرده است که این بازی ممکن است هک شود، به همین دلیل به م حض اینکه احساس کند بازی حک شده است، اکانت را قفل میکند تا تعیین تکلیف شود. این امر به مانند پول مشکوکی میماند که به حساب فرد واریز میشود و بانک مرکزی به دلیل آنکه پول مشکوک است، آن را قفل میکند تا تکلیف پول مشخص شود. با این تفاسیر فرد با اکانت قفل شدهای روبروست که توسط هکری انجام شده است.
هکر در چنین مواقعی کاری میکند که جای هکر و صاحب اکانت عوض میشود، یعنی هکر میشود صاحب بازی و صاحب اکانت به عنوان هکر معرفی میشود و دیگر خدماتی به فرد ارائه نمیشود، چون اکانت برای فرد قفل میشود. در این شرایط در حقیقت داده شما به سرقت رفته است. سرقت داده از این طریق بسیار خطرناک است.
*راهکار شما در شیوه دوم چیست؟
اگر چنین پیامی در حین بازی دریافت کردید، وارد پلی استور آن بازی شوید و شکایت خود را ثبت کنید این نرم افزار طی 24 تا 48 ساعت به صورت مکتوب پاسخ شما را خواهد داد که حک شده اید. در 70 درصد مواقع پلی استور شما را هکر معرفی میکند و اکانتی برای شما باز نمیکند، چون این بستر در ایران نیست، باید به پلیس فتا بروید و در آنجا شکایت کنید تا شکایت تان بررسی شود. اگر آی پی هکر متعلق به ایران بود، متهم قابل شناسایی است اما در بسیاری از موارد سرور این آی پیها در ایران نیست و دیگر نمیتوان کاری کرد. به همین علت این مسأله چقدر خطرناک است.
همچنین شیوه جدیدی که متأسفانه متهمان استفاده میکنند این است که به هنگام جرم، از فیلترشکن استفاده میکنند تا به سرور کشوری دیگر متصل شوند. برای مثال خانمی پروندهای داشت مبنی بر اینکه عکسهایش در فضای مجازی منتشر شده است به این صورت که پیجش عمومی بود و مجرم عکسهای او را برداشته بود و در پیج فیک آن عکسها را منتشر کرده بود. زمانی که وضعیت را پیگیری کردیم متوجه شدیم که مجرم با اتصال به فیلترشکن، محل وقوع جرمش در کشور دیگری نشان میدهند.
نکته مهمی که با متهمان در این شیوهها روبرو هستیم این است که متهمان این پروندهها بسیار باهوش شوند و باید در تمامی این پروندهها چنین نکتهای را مدنظر قرار دهیم که با چه متهمانی روبرو هستیم.
در یکی از پروندههایم شاهد بودم که خواستگار یا نامزد قبلی متوجه شده بود که فرد ازدواج کرده است، به همین دلیل همه عکسهای فرد را در پیجی منتشر کرده بود که بنام پیج پورنو بود. زمانی که این پرونده را رسیدگی کردیم متوجه شدیم آی پی خارج از کشور خورده است که در این شرایط نتوانستیم ماجرا را پیگیری کنیم. جرایم مربوط به اینستاگرام در بسیاری از موارد قابل پیگیری نیست اما در واتس آپ به دلیل آنکه مجرم به واسطه شماره تلفن، مرتکب ارتکاب میشود، بخشی از جرایم آن قابل پیگیری است.
در یکی دیگر از پروندههایم، فردی بود که وام ازدواج 80 میلیونش فیشینگ شده بود و زمانی که پرونده را رسیدگی کردیم متوجه شدیم که آی پی از کشور روسیه بود یعنی زمانی که وی پی ان را روشن کرده بود، محل وقوع جرم روسیه بود.
* بهنظر میرسد در بازیهای آنلاین خطر بسیار باشد؛ چراکه ممکن است مورد هجمه ای از کلاهبرداران سایبری قرار بگیرند.
بله کاملاً درست است؛ اشخاصی که بازیهای آنلاین را به صورت گروهی انجام میدهند، توصیه میکنم با دوستان شأن بازی را انجام دهند و از بازی کردن با غریبهها بپرهیزند؛ چراکه ممکن است هکرها در کمین باشند و اکانت بازی را از شما دریافت کنند. در این شرایط بسیار سخت است که بتوان متهمی که جرم رایانهای را انجام داده است، دستگیر کنند.
* در ماه چند درصد از جرایم رایانهای مربوط به بازیهای رایانهای است؟
شخصی با شخصی دیگر لج میکند که اینمساله اکثراً برای خانمهای جوان رخ میدهد، شماره خانم بر اثر این لجبازی در سایت مستهجن گذاشته میشود و روزی دهها نفر زنگ میزنند و فرد قیمت میدهند. این رفتار جرم نیست اما سوءاستفاده از شماره رخ داده است اما قانونی نداریم که بخواهیم برایش جرم انگاری کنیم و در نهایت پرونده مختومه اعلام میشود درحالی که آبروی طرف رفته دختر 20 ساله را چگونه میتوان جبران کرد؟ از 190 پرونده جرایم رایانهای حداقل 10 پرونده مربوط به بازیهای رایانهای است. از این 10 پرونده اکثراً آقا و در رده سنی 16 تا 20 سال هستند که حتی آن اشخاص 16 ساله به دلیل آنکه به سن قانونی نرسیده اند، باید با پدران یا قیم شأن برای شکایت مراجعه کنند. به هرحال بسیار موضوع دردسرسازی است.
* با توجه به مثالهای مصداقی که از پروندههایی که با آن روبرو بودید برای مان عنوان کردید، تا چه اندازه ما نیازمند قوانین مدون در این حوزه هستیم؟
ما قانونی نیاز داریم که علاوه بر اینکه این مسأله را پوشش دهد، بتواند قضاوت درستی را هم داشته باشد. به عنوان کسی که قاضی جرایم رایانهای هستم، به هیچ وجه موافق محدودیت در هیچ حوزه جرایم در مسأله فضای مجازی نیستم. به قول آیت الله جوادی آملی شما تخلف یک شخص راننده را میبینید، نمی آیید کل رانندگی را ممنوع کنید بلکه آن تخلف شخص را مدنظر قرار میدهید. معتقدم فضای مجازی و بازیهای رایانهای نباید محدود شود.
اگر قرار است قانونی بگذاریم و یا جرم انگاری کنیم، باید قانون جامعی وضع کنیم تا همه از آن حمایت کنند و در کنار آن هم عنوان شود که این رفتارها تحت حمایت قانون بوده و یا جرم است، یعنی بطور کامل باید در این حوزه وارد شد و جرم انگاری انجام شود.
متأسفانه قانون جرایم رایانهای برای سال 88 است. مدتی پیش بازرسی به شعبه مان آمده بود و عنوان کرد که چرا برخی پروندهها قفل است. در پاسخ گفتم آیا سال 88 واتس آپ، تلگرام و اینستاگرام بود؟ آیا ما در سال 88 دستگاه ATM، دستگاه پز، رمز امرز یا دستگاه ماینر داشتیم؟ قطعاً در آن سال هیچ کدام از اینها نبود که قانونگذار بتواند قانونی برایش وضع کند. حال چگونه میتوانم با قانون سال 88 جرایم رایانهای با این نیازهای جدیدی به روز رسانی و انطباق دهم؟ برخی جرایمی که رخ میدهد از لحاظ عرف واقعاً جرم بوده، اما جرم انگاری نشده است.
برای مثال شخصی با شخصی دیگر لج میکند که اینمساله اکثراً برای خانمهای جوان رخ میدهد، شماره خانم بر اثر این لجبازی در سایت مستهجن گذاشته میشود و روزی دهها نفر زنگ میزنند و فرد قیمت میدهند. این رفتار جرم نیست اما سوءاستفاده از شماره رخ داده است اما قانونی نداریم که بخواهیم برایش جرم انگاری کنیم و در نهایت پرونده مختومه اعلام میشود درحالی که آبروی طرف رفته دختر 20 ساله را چگونه میتوان جبران کرد؟
در پروندهای دیگر دو جاری به جان هم افتاده بودند و یکی از جاریها برای لجبازی شماره جاری را در سایت خدماتی (نگهداری از سالمندان، بچه، سگ...) گذاشته بود و روزی ده نفر به او زنگ میزدند. این رفتارجرم نیست اما سوءاستفاده از شماره افراد جرم انگاری نشده استهمچنین در یکی از پروندهها با طلافروشی روبرو بودم که به مرز ورشکستگی رسیده بود. داستان از این قرار بود که فروشنده دستگاه پز داشت. از آنجا که فروشنده نمیداند پولی که مشتری میکشد، از کجا آورده است و آیا این پول کلاه برداری است یا سرقت و پولشویی. به همین دلیل فردی آمده بود و از این طلافروش مقداری طلا خریده بود. زمانی که پلیس فتا رد زنی میکند، متوجه قضایا میشود و در نهایت حساب را مسدود میکند چون پولی که به حساب طلافروش آمده بود، پول نامشروع و دزدی بود. شاید بگویید این رفتار جرم نیست اما سوءاستفاده از حساب بانکی دیگران هنوز در قانون ما جرم انگاری نشده است.
در پروندهای دیگر دو جاری به جان هم افتاده بودند و یکی از جاریها برای لجبازی شماره جاری را در سایت خدماتی (نگهداری از سالمندان، بچه، سگ...) گذاشته بود و روزی ده نفر به او زنگ میزدند. این رفتار هم جرم نیست اما سوءاستفاده از شماره افراد جرم انگاری نشده است. این شخص مشکوک بود و پس از بازجویی فنی، او اعتراف کرد که چنین کاری انجام داده است. اگر ما به کسی مشکوک نبودیم، از کجا متوجه میشدیم؟ بر فرض مثال حتی اگر مشکوک هم باشید و در نهایت متهم شناسایی شود، باز هم جرم نیست و پرونده در نهایت بسته میشود.
در جرایم رایانهای در سطح کلان ما آنقدر ضعف داریم که چه برسد به بازیهای رایانهای. اوضاع بسیار وخیم است. همچنین اکثر متهمان هم بچههای کم سن و سالی هستند که به سن قانونی نرسیده اند، واقعاً گاهی اوقات نمیتوان کاری کرد.