لیست باز شده به جای اینکه Emailهای دوستان و همکارانم را نشان دهد، contact های یکی دیگر از کاربران Yahoo را نمایش می دهد!
اشتباه بزرگی است، نه؟!
در این بخش به نکاتی در مورد چگونگی حفاظت در برابر کلاهبرداریهای اینترنتی - الکترونیکی می پردازم:
۱. در صورتی که با محصول یا خدمتی مواجه شدید که قیمتی پایین تر از حد نرمال برای آن پیشنهاد شده است یا بیش از حد مناسب به نظر می رسد، بیشتر مراقب باشید.
۲. تا حد امکان پیش از خرید یا فروش، با فروشنده/خریدار ملاقات یا دست کم گفتگوی تلفنی داشته باشید و به ارتباط اینترنتی اکتفا نکنید.
۳. در صورتی که خرید و فروش صرفا تحت اینترنت انجام می شود (مانند سایت ebay)، حتما از راههای امن ارسال پول (مانند Paypal) استفاده کنید.
۴. هرگز اطلاعات شخصی خود و خصوصا اطلاعات کارت بانک خود را در اختیار کسی قرار ندهید و به صورت تلفنی و تلفن گویا ارسال نکنید. بیشتر بانکها هرگز از شما نمی خواهند که این گونه اطلاعات محرمانه را به صورتی تلفنی بخوانید.
۵. در صورتی که خریدار/فروشنده با شما تماس گرفت و شماره تلفن او به صورت Bloacked نمایش داده شد، مشکوک شوید و از وی بخواهید شماره تلفن خود را در اختیار شما قرار دهد.
۶. به خاطر داشته باشید که کلاهبرداران از راههای مختلف برای گرفتن قربانی استفاده می کنند. مطالعه کلاهبراریهای صورت گرفته دیگر به شما کمک می کند که در صورت مشابهت، قربانی چنین اتفاقاتی نشوید.
۷. در صورتی که ارسال کننده پست الکترونیکی را نمی شناسید، پیغام را باز نکنید و در صورت باز کردن، لینک(های) موجود در عنوان یا متن را کلیک نکنید.
۸ در شرایطی که مورد کلاهبرداری واقع شدید یا مشکوک به این امر شدید، تردید نکنید و با تماس با بانک خود، مراتب را اطلاع دهید. بسیاری از مراودات بانکی ۱ تا ۲ روز کاری زمان می برد و اگر شما در این فاصله اقدام کنید، شانس خود را بالا برده اید.
۹. رسیدهای دریافت شده از بانک - شامل رسیدهای خودپرداز - را هرگز به همان صورت دور نیندازید. حتی آنها را به صورت پاره شده یا مچاله در سطل زباله منزل خود نیندازید.
و در پایان، به این کلمات و عبارات شک کنید:
برنده لاتاری، مسافرت ...، به ارث رسیدن مبلغی هنگفت و مشابهت نام شما با بازمانده، ارسال پول به یک کشور آفریقایی (مانند نیجریه)، پیشنهاد دوستی، ارسال مبلغی ناچیز در ازای دریافت مبلغی بیشتر، کاهش وزن و ...
(ادامه از بخش اول)
فروشنده مدعی بود خانمی است استرالیایی به نام Jennifer Rogers که به دلیل دریافت شغلی در یک شرکت نفتی به آمریکا سفر کرده و اتومبیل را نیز با خودش با آنجا برده است. اما به دلیل عدم امکان استفاده از اتومبیل مایل به فروش و ارسال آن به استرالیاست.
مطالب درج شده در آدرس ارایه شده به عنوان Yahoo Vehicle Finance Protection کاملا عقلانی و صحیح به نظر می رسید و کلیه لینکهای داخل صفحه و منوهای آن صفحات صحیح و معتبر Yahoo را نمایش می داد. اما یک بار دیگر به آدرس (URL) این وب سایت دقت کنید:
www.yahoo.com.finance-protection-program.com/insurance/autos.html
در صورتی که وب سایت ارایه شده واقعا متعلق به Yahoo بود، می بایست آدرس آن مانند زیر باشد:
www.finance-protection-program.yahoo.com/insurance/autos.html
یعنی عبارت finance-protection-program می بایست پیش از Yahoo.com آورده می شد. اما در آدرس داده شده، در واقع Domain متعلق به Yahoo نیست!
کلیه اجزای صفحه مزبور به شکل هنرمندانه ای از وبسایت یاهو کپی برداری شده بود و عنوان و متن آن تغییر داده شده و در Domain شخص کلاهبردار Upload شده بود. کلیه لینکها و منوها عینا مانند سایت یاهو بوده و تمام لینکها، کاربر را به صفحه مزبور در سایت اصلی Yahoo هدایت می کرد.
پس از کمی جستجو دریافتم که وبسایت مزبور در آمریکا Host می شود اما این چیز زیادی را روشن نمی کرد. تصمیم گرفتم با حفظ ارتباط با کلاهبردار (فروشنده سابق!)، ضمن کشف ادامه شگرد وی، سعی در شناسایی او داشته باشم. به همین دلیل با دادن نام و آدرس غیر واقعی، از او خواستم تا اطلاعات مرا به عنوان خریدار به Yahoo جهت صدور فاکتور ارائه کند.
پس از مدت کوتاهی فاکتوری دریافت کردم از آدرس financevehicle@yahoo.com که به طرز ماهرانه ای اجرا شده بود.
فایل فاکتور را می توانید از لینک زیر دریافت نمایید:
مشاهده فاکتور جعلی (فرمت html)
با وجود اینکه امکان ارسال پست الکترونیکی با هر آدرس دلخواهی وجود دارد، آدرس پست الکترونیک مزبور واقعا یک آدرس ثبت شده در Yahoo بود (این امر را با ارسال یک Email از آدرسی غیر از آدرس پست الکترونیکی شخصی خودم و دریافت پاسخ از آن و همچنین کنترل Header ایمیل دریافت شده متوجه شدم). در واقع شخص مزبور واقعا این آدرس را در یاهو ثبت کرده و در اختیار داشت.
پس از دریافت فاکتور، طی Email ای دیگر، از من خواسته شد که پول را به شکل Wire Transfer به آدرس زیر ارسال کنم:
Bank Name: TCF Bank
Account #: 387 706 7131
Routing #: 271 972 572
Beneficiary Name: Michel Pavel
Bank Address: 2501 W Schaumburg Rd, Schaumburg, IL 60194
Amount to be sent - AUD $13,000.00
به دلیل اطمینان کلاهبردار از گرفتن یک قربانی دیگر، مرحله به مرحله اطلاعات بیشتری از خود را منتشر می کرد. داشتن حساب بانکی این شخص، اطلاعی مهم بود که می توانست منجر به ردیابی هر چه بیشتر این شخص گردد.
توسط ایمیل به شخص کلاهبردار اطلاع دادم که مبلغ مزبور به حساب بانکی داده شده واریز شده و از وی خواستم که خودرو مزبور را ارسال کند!
پس از حدود 4 روز و تبادل چندین ایمیل، و ادعای اینکه مبلغ به طور کامل واریز شده است، کلاهبردار چندین مرتبه حساب بانکی خود را کنترل کرد و به خیال وجود مشکل در تبادل وجه با موبایل من تماس گرفت (شماره موبایل را از امضای زیر ایمیلهای ارسالی من برداشته بود). جای تعجب نبود که شماره گیرنده Blocked بود. آن سوی خط صدای مردی بود با لهجه هندی، پاکستانی یا مشابه آن که خود را همسر فروشنده معرفی می کرد. در صدد بود که بداند چرا پول واریز نشده است.
با وانمود به این امر که با بانک تماس می گیرم تا ببینم مشکل از کجاست، و وعده تماس با او پس از آگاهی از مشکل بروز کرده، شماره تلفنی از وی درخواست کردم که بر خلاف انتظارم شماره ای در اختیارم گذاشت.
پس از اتمام مکالمه، با جستجو در اینترنت دریافتم که شماره متعلق به تلفن ثابتی در شهر سیاتل واقع در ایالت واشنگتن است.
در این اثنا ضمن حفظ ارتباط با شخص کلاهبردار، اقدامات زیر را انجام دادم:
1. با اطلاع به سایت gumtree، غیر معتبر بودن آگهی ارایه شده را اعلام کردم که واکنش این سایت سریع بود و ظرف چند دقیقه آگهی مورد نظر از روی وبسایت برداشته شد. در نتیجه امکان گرفتن قربانیهای بیشتر توسط این سایت از کلاهبردار سلب گردید. به علاوه این سایت توسط ایمیل به من اطلاع داد که مورد را با مقامات پلیسی مرتبط پیگیری می کند.
2. سایتی به آدرس http://www.scamwatch.gov.au در استرالیا اقدام به دریافت شکایات در رابطه با جرایم الکترونیکی می نماید که با پر کردن فرم مزبور، رکورد اطلاعاتی این کلاهبرداری در این نهاد ثبت گردید.
3. با تماس با پلیس NSW متوجه شدم که تنها در صورتی که قربانی، وجهی از دست داده باشد پلیس مداخله می کند. در غیر این صورت، مراتب باید به نهاد Scam Watch اطلاع داده شود که قبلا انجام شده بود.
4. طی تماسی با TCF Bank (بانکی که کلاهبردار از آن برای دریافت وجوه استفاده می کرد)، مورد کلاهبرداری را اطلاع دادم. از نتیجه آن اطلاعی ندارم.
5. کلیه اطلاعات دریافت شده شامل ایمیلها، آدرس ها و حساب بانکی را به دپارتمان مربوطه در FBI آمریکا ارسال کردم. از نتیجه آن اطلاعی ندارم.
ادامه مطلب را در پست بعدی ببینید.
چند روز پیش در وبسایت gumtree.com.au مشغول جستجوی اتومبیل بودم (gumtree سایتی است مشابه ebay که فروشنده قادر به ارائه محصول یا خدمت خود و خریدار قادر به جستجو و انتخاب موضوع مورد نظر خود است – با این تفاوت که در ebay کالاها به صورت online خریداری می شود اما در gumtree به صورت حضوری).
در لیست اتومبیلهای جستجو شده به یک Toyota – Rav4 آبی رنگ برخورد کردم که نسبت به مدل و امکانات گفته شده قیمت پایین 13000 دلار استرالیا برای آن اعلام شده بود.
تصویر آگهی مزبور:
با توجه به متوسط قیمت چنین اتومبیلی در بازار، قیمت این اتومبیل می بایست چیزی بیش از 20000 دلار می بود. به دلیل اینکه تلفنی از فروشنده پیدا نکردم از email استفاده کرده و خود را مایل به خرید ماشین معرفی کردم.
پاسخ فروشنده عینا به قرار زیر بود:
Hi,
Thanks for being interested in buying my car 2005 Toyota Rav4..
The car is located in the US at the shipping company because I work here at an oil company. I'm selling it because I want to buy a car with left-hand drive. The car will arrive in two weeks.
It has 45,000 km and the final price is $13,000.
As an added security measure for us, payment will go to one of the most popular Vehicle Purchase Protection Programs available on the internet developed by Yahoo. Their program will allow you up to 10 days for inspection and you will have the possibility to reject it, if it's not as described. These are our terms of sale. I'm looking forward to your reply with all the questions you may have.
ابتدا کمی تعجب کردم که چطور اتومبیل با فرمان سمت راست (که تنها در کشوری مانند استرالیا قادر به رانندگی آن هستید) به آمریکا منتقل شده است. اما با هزار و یک دلیل آنرا توجیه پذیر دانستم.
با توجه به اینکه در استرالیا سازمانهای وجود دارند که با در اختیار قرار دادن اطلاعات اتومبیل، سوابق آنرا به طور کامل در اختیارتان قرار می دهند، از فروشنده درخواست ارایه اطلاعات اتومبیل از قبیل شماره پلاک، شماره شاسی، شماره موتور و تاریخ ثبت خودرو نمودم.
در پاسخ، کلیه اطلاعات خواسته شده ارایه شد و من هم با مراجعه به وبسایتهای مزبور با اطلاعات دریافت شده کلیه سوابق اتومبیل (نظیر تاریج ثبت، تاریخ انقضای ثبت، وجود بدهی و دیون و ...) را کنترل کردم.
کلیه اطلاعات اعلامی از قبیل سال ساخت، تاریخ ثبت و دیگر اطلاعات با آنچه از طرف فروشنده اعلام شده بود مطابقت داشت و ماشین زیر هیچ وام و قسطی نیز نبود که تا حد زیادی می شد از صحت معامله اطمینان حاصل کرد. اما به این نیز بسنده نکرده و با تماس با سازمان مزبور در ایالت New South Wales – جایی که ماشین ثبت شده بود – کلیه اطلاعات را تلفنی برای اپراتور تکرار کرده که مجددا همان نتایج حاصل شد، یعنی مطابقت کامل ادعای فروشنده با اطلاعات اعلام شده از طریق سازمان رسمی مزبور.
همچنین با مراجعه به وبسایت سازمان دولتی دیگری که مسئول ارائه اطلاعات فنی اتومبیل است از عدم وجود تصادف و تعمیرات اساسی اتومبیل اطمینان حاصل کردم.
کم کم به این نتیجه رسیده بودم که در حال معامله ای شیرین (!) با دست کم 7000 دلار زیر قیمت بازار هستم.
به همین دلیل از فروشنده درخواست کردم که نحوه انجام معامله را برایم شرح دهد که پاسخ او عینا آورده شده است:
So if you want to do this deal look what are the steps
- you give me your full name ,shipping address,
- I start a transaction on yahoo finance,
- they send you the invoice with payment instructions,
- you send the payment to yahoo trust account
- they confirm me that they received and secured the funds,
- I will modify the address with shipping company after the payment is received by yahoo finance
- you receive the car, inspect it and if you decide to keep it they will release the funds to me,
- if you don't keep the car they will send the money back to you in 2 business days.
فروشنده سایت واسطی به نام Yahoo Finance Protection Program را معرفی کرد و شرح داد که نام و آدرس خریدار (من) به Yahoo اعلام می شود، Yahoo برای خریدار صورتحساب صادر نموده و پس از پرداخت، محموله ارسال می گردد.
Yahoo تضمین می کند که خریدار تا 10 روز پس از دریافت خودرو مهلت بازدید و آزمایش آنرا دارد و می تواند از مکانیکهای معتبر برای مطابقت خودرو با آنچه فروشنده ادعا کرده است استفاده کند. پس از انقضای 10 روز، در صورتی که خریدار مایل به نگهداری اتومبیل باشد، وجه پرداخت شده آزاد شده و به حساب فروشنده واریز می گردد. در غیر اینصورت، اتومبیل به هزینه فروشنده عودت شده و وجه پرداختی به خریدار برگردانده می شود.
آدرس سایت ارایه شده توسط خریدار را در زیر ببینید:
www.yahoo.com.finance-protection-program.com/insurance/autos.html
گمان می کنم در زمان مطالعه مطلب سایت مزبور حذف یا بلوکه شده است. لذا تصویری از آنرا در زیر منتشر کرده ام:
تا اینجای کار همه چیز به ظاهر معقول و مطمئن بود. به خصوص این که سایت معتبری به نام Yahoo به عنوان واسط کلیه تراکنشها را هدایت و امنیت آنرا تامین می کند!
ادامه مطلب را در پست بعدی ببینید.
در وبلاگ آقای مهندس مهرداد مطلب جالبی درج شده بود در مورد تحقیقی صورت گرفته در رابطه با ۲۵ خطای خطرناک و شایع در نرم افزارها که بسیاری از تیم های برنامه سازی مرتکب آن می شوند. خواندن آنرا به همه دوستان نرم افزارچی(!) توصیه می کنم:
The Top 25 Errors are listed below in three categories:
Category: Insecure Interaction Between Components (9 errors)
Category: Risky Resource Management (9 errors)
Category: Porous Defenses (7 errors)
CATEGORY: Insecure Interaction Between Components
CWE-20: Improper Input Validation
CWE-116: Improper Encoding or Escaping of Output
CWE-89: Failure to Preserve SQL Query Structure (aka 'SQL Injection')
CWE-79: Failure to Preserve Web Page Structure (aka 'Cross-site Scripting')
CWE-78: Failure to Preserve OS Command Structure (aka 'OS Command Injection')
CWE-319: Cleartext Transmission of Sensitive Information
CWE-352: Cross-Site Request Forgery (CSRF)
CWE-362: Race Condition
CWE-209: Error Message Information Leak
CATEGORY: Risky Resource Management
CWE-119: Failure to Constrain Operations within the Bounds of a Memory Buffer
CWE-642: External Control of Critical State Data
CWE-73: External Control of File Name or Path
CWE-426: Untrusted Search Path
CWE-94: Failure to Control Generation of Code (aka 'Code Injection')
CWE-494: Download of Code Without Integrity Check
CWE-404: Improper Resource Shutdown or Release
CWE-665: Improper Initialization
CWE-682: Incorrect Calculation
CATEGORY: Porous Defenses
CWE-285: Improper Access Control (Authorization)
CWE-327: Use of a Broken or Risky Cryptographic Algorithm
CWE-259: Hard-Coded Password
CWE-732: Insecure Permission Assignment for Critical Resource
CWE-330: Use of Insufficiently Random Values
CWE-250: Execution with Unnecessary Privileges
CWE-602: Client-Side Enforcement of Server-Side Security
برای مشاهده اصل گزارش اینجا را کلیک کنید.
در باب رعایت امنیت سیستم های نرم افزاری جنبه های مختلفی وجود دارد که شاید یکی از جالبترین آنها که کمتر نیز به آن پرداخته میشود مبحث "مهندسی اجتماعی" یا Social Engineering باشد. طبق تعریف Wikipedia از Social Engineering: مهندسی اجتماعی، فن به کار گیری مردم برای افشای اطلاعات محرمانه است.
کلیه تکنیکهای مهندسی اجتماعی مبتنی بر ویژگیهای تصمیم گیری انسان است که تحت عنوان Cognitive Biasesبه معنی الگویی از انحراف در قضاوت که در موقعیتهای خاصی بروز میکند شناخته میشود. این تصمیم گیریهای غلط را گاهی "اشکال در سخت افزار انسان" گویند. جالب اینجاست که به قول Kevin Mitnick که یکی از مشهورترین متقلبین در این زمینه است: "این روش بسیار ساده تر از نفوذ به سیستم کاربران از راه روشهای متداول Hacking است".
برخی از این تکنیکها به شرح زیر است:
Pretexting: روشی است برای دریافت اطلاعات بر اساس سناریوی از پیش طرح شده ای که معمولا با مطالعه قبلی در مورد قربانی همراه است که این روش عموما از راه تلفن انجام میشود. امروزه به دلیل عدم توانایی ردیابی آسان سیستمهای VOIP، استفاده از این تکنیک آسانتر شده است.
Phishing: فریب قربانی با استفاده از تکنیک جازدن یک Web Page تقلبی که درست مانند مشابه واقعی آن ساخته شده و روی اینترنت قرار میگیرد. تنها کار لازم وادار کردن قربانی برای مشاهده صفحه غیر واقعی است و قربانی نیز به تصور اینکه وارد سایت اصلی شده اطلاعات محرمانه خود مانند اطلاعات کارت بانکی یا رمز عبور خود را وارد میسازد. پس از آن وب سایت مزبور به سادگی یک پیغام خطا نمایش داده و کاربر را به سایت اصلی هدایت میکند، البته پس از ذخیره اطلاعات محرمانه وارد شده.
Road Apple: تکنیکی که با سواستفاده از کنجکاوی افراد آنها را قربانی مقاصد خود میسازند. در این روش معمولا یک مدیوم فیزیکی مانند یک CD یا Cool Disk با عنوانی اغوا کننده درج شده روی آن مانند "لیست حقوق مدیر عامل" را در سر راه افراد – مثلا در آسانسور یا راه پله – قرار میدهند. این مدیوم حاوی برنامه ای برای ارسال اطلاعات از روی دستگاه میزبان به هکر بوده که به راحتی توسط قربانی در سیستم شخصی خود قرار داده میشود.
این روزها با گسترش روشهای تراکنش الکترونیکی مالی نظیر Internet Payment، Mobile Payment و ... و عدم گسترش فرهنگ رعایت ملاحظات امنیتی آن انتظار میرود این روشهای سرقت اطلاعات بیش از پیش گسترش پیدا کند (به خاطر بیاوریم که هنگام دریافت پول از خودپردازها همیشه چندین جفت چشم مراقب هستند که خدای ناکرده در فرآیند دریافت پول از دستگاه دچار اشتباه نشویم!)