به گزارش همشهری آنلاین، اگرچه این سازمان خبر سرقت اطلاعات را تکذیب کرد و اکنون سایت این سازمان هم در دسترس است، اما برای ساعتی، سایت سازمان ثبت احوال از دسترس خارج شد. گمانه هک، زمانی تقویت شد که هکر با انتشار تصاویری از اطلاعات این سامانه ادعا کرد که سایت سازمان ثبت احوال کشور هک شده است. چندی پیش هم اطلاعات کاربران یکی از تاکسیهای اینترنتی باعث نگرانی مردم و رانندگان این سرویس شد. با این حال، تعدادی از کاربران که در میان آنها متخصصان حوزه آیتی هم دیده میشود، این سؤال را مطرح کردند که اطلاعات شخصی افراد شامل کد ملی، شماره کارت بانکی، نام و نام خانوادگی و حتی عکس پرسنلی مردم چه خطری میتواند برای آنها در پی داشته باشد؟ نخستین پاسخ این است که این اطلاعات، در حیطه حریم خصوصی مردم طبقهبندی میشود و قانون دسترسی به آن را بدون رضایت اشخاص ممنوع دانسته است. پاسخ بعدی را هم میتوان «ایجاد بیاعتمادی نسبت به سازمان» توصیف کرد.
دشمن نادیده در فضای مجازی
میلاد نوری، کارشناس حوزه آیتی و برنامهنویس درباره لورفتن اطلاعات مردم از تاکسی اینترنتی و اهمیت آن، با اشاره به اینکه این اطلاعات، جزو حریم خصوصی ماست و دیگران نباید به آن دسترسی داشته باشند، میگوید: «در کنار هم قراردادن این اطلاعات جزئیات کاملی از شما در اختیار افراد قرار میدهد؛ از مقاصد کلاهبرداری تا اینکه ممکن است شما یک دشمن نادیده در فضای مجازی با روانی مریض داشته باشید که از این به بعد میتواند به لیست سفرها و آدرسهای شما هم دسترسی داشته باشد و کلی مثال دیگر.»
بیشتر بخوانید:
نوری اطلاعات لورفته در هک تاکسی اینترنتی را علاوه بر اطلاعات مسافرها و رانندهها، شامل اطلاعات دیوایسهای(گوشی و تبلت و...) کاربران میداند و ادامه میدهد: «اطلاعاتی مثل نسخه اپلیکیشن، مدل گوشی و برخی اطلاعات دیگر هم لو رفته است.»
جزئیات فنی هک
این برنامهنویس یادآوری میکند که ۲پارامتر خیلی مهم در میان این دیتا با عناوین googleAdId و deviceId وجود دارد.
نوری با اشاره به اینکه شناسه googleAdId یا همان AAID (یا همان GAID) منحصربهفرد و به ازای هر دیوایس(+ به ازای هر کاربر گوگل) است، اینگونه توضیح میدهد: «یعنی شما اگر با ۲حساب کاربری گوگل روی یک گوشی لاگین کردید، به ازای هر اکانت گوگل لاگینشده، روی این دیوایس، یک شناسه منحصربهفرد AAID یا همان GAID وجود دارد.
او مورد بعدی را deviceId میداند که با بررسی سورس اندروید شرکت هک شده یا هر اپلیکیشن دیگری، نحوه ساخت آن را میتوان بررسی کرد که بهاحتمال خیلی زیاد در نسخه اندروید از ANDROID_ID استفاده میشود که در اندرویدهای ۸ به قبل، به ازای هر کاربر روی هر دیوایس، منحصربهفرد بوده است. هرچند در نسخههای بعدی اندروید کمی تغییر کرده است.
تطابق شناسهها چه میکند؟
کارشناس حوزه آیتی در ادامه میگوید: «حالا تصور کنید شما در اپلیکیشن دیگری، بهصورت ناشناس(از نظر خودتان) خبری میخوانید یا فعالیتی انجام میدهید و آن اپلیکیشن بنا بر مقاصد تبلیغاتی، آماری و... همین ۲پارامتر از شما را(بدون نیاز به سطح دسترسی خاصی)، ذخیره میکند. مثلا صرفا برای اینکه بازدیدهای شما از یک خبر را یکبار بشمارد و بازدیدهای تکراری شما را نشمارد.
بیشتر بخوانید:
نوری در ادامه به تطابق شناسهها اشاره میکند و میگوید: «با تطابق این شناسهها در سرویسهای مختلف، مشخص میشود شما که در فلان اپلیکیشن خبری، خبر ۱ و ۳ را خواندهای، همان کاربری هستی که در فلان اپلیکیشن، فلان عکس را آپلود کردهای و همین کاربری هستی که در تپسی فلان سفرها را رفتهای.»
بهگفته او «نشتهای اطلاعات سرویسهای مختلف باعث میشود این تطابق برای همه افرادی که به این دیتابیسها دسترسی پیدا میکنند، امکانپذیر باشد.»
مهندسی اجتماعی از طریق اطلاعات لورفته
آنچه باعث میشود اطلاعات لورفته کاربران خطرناک توصیف شود، دسترسی به بعضی از اطلاعات دقیق کاربران برای عملیات روانی به نام «مهندسی اجتماعی» است.
در مهندسی اجتماعی، کلاهبرداران با طراحی یک سناریو براساس اطلاعات در دسترس، تلاش میکنند به اطلاعات دیگری ازجمله رمزبانکی کاربران دست پیدا کنند. در مهندسی اجتماعی، کلاهبردار تلاش میکند که خود را به جای کارمند یک سازمان، یک بانک یا شرکت معرفی کند.
این اتفاق بارها افتاده و پلیس فتا هم بارها با پیامکهای مکرر هشدار، این موضوع را به کاربران گوشزد کرده است.
نمونه یک مهندسی اجتماعی
میلاد نوری درباره این نوع از کلاهبرداری به تجربه خود اشاره میکند و میگوید که از یک شماره با او تماس گرفته شده که صاحب صدا میگوید، از بانکی که «نوری» حساب دارد(با ذکر نام بانک) تماس گرفته و او را برنده یک جایزه اعلام کرده است.
بیشتر بخوانید:
او با اشاره به اینکه صاحب صدا کلی آب و تاب داد که مدیر بانک هم الان حضور دارد و شما بهدلیل تراکنشهای فلان کارتت (با ذکر شماره کارت)، نفر هشتم قرعهکشی شدی، ادامه میدهد: «اطلاعات همه حسابها و کارتهای بانکی مختلف من را هم داشت؛ همه بانکها.»
این برنامهنویس میگوید: {صاحب صدا} گفت کمک هزینهای که برنده شدید، ۲۰میلیون تومان است که ۱۰میلیون تومان را الان به کارت شما در همان بانک میزنیم. ۱۰میلیون هم از طریق همراهکارت که اسپانسر ما شده، به شما تقدیم میشود.
صحنهسازی کلاهبردار
این کارشناس حوزه آیتی صحنهسازی کلاهبردار را اینگونه توضیح میدهد: {صاحب صدا} پرسید ۱۰ میلیون رو به کدوم کارت واریز کنیم؟ شما فقط بانک رو بگید. اسم یه بانک دیگه رو گفتم. (مثلا) به همکارش گفت، خانم افشار مشخصات این بانک آقای نوری رو چک کنید. گفت توی این بانک ۲کارت دارید. با کدومش بیشتر کار میکنید به همون واریز کنیم. یکی از شماره کارتهای من رو خوند و گفت همینه؟ گفتم بله. همون لحظه رمز پویا برای انتقال وجه از طرف اپلیکیشن همراه بانک برای من ارسال شد.
بیشتر بخوانید:
نوری در ادامه میگوید که {صاحب صدا} برای جلب اعتماد، بارها تأکید کرد کد پیامکشده رو غیر از خودتون و ما نباید به کسی بدهید. گفت اینو همیشه حواستون باشه.
بهگفته او «از این مرحله به بعد دیگه به روشون آوردم و مکالمه قطع شد».
هشدار برای مهندسی اجتماعی
این کارشناس حوزه آیتی از مردم میخواهد که خیلی مراقب باشند تا حساب خود و اطرافیانشان خالی نشود.
نوری میگوید: من از اول متوجه موضوع شدم و فقط برای اینکه ببینم شگردهای آنها به چه شکلی است، مکالمه را ادامه دادم. {آنها} به قدری به اطلاعات دسترسی داشتند که احتمال فریبخوردن افراد غیرمطلع خیلی خیلی بالاست. هر کس ممکن است بهدلیل این اطلاعات، {به کلاهبرداران} اعتماد کند.