هفت صبح | معاون اجتماعی پلیس فتا فراجا در هشداری تازه به خانوادهها و دانشآموزان، از موج جدید کلاهبرداریهای سایبری در شبکه شاد خبر داد. بر اساس اعلام مقامات انتظامی، مجرمان با جعل لوگوی این برنامه و ارسال پیامهایی تحت عنوان «بخشنامه دولتی»، «تایید حساب کاربری» یا «دریافت منابع درسی»، کاربران را به کلیک روی لینکهای آلوده ترغیب میکنند. این ترفند که با هدف دسترسی غیرمجاز به گوشی موبایل و تخلیه حسابهای بانکی والدین طراحی شده، بار دیگر ضرورت هوشیاری در بزرگترین کلاس درس ایران را به سرخط خبرها بازگردانده است. در عین حال این پیام نگرانیهایی را در مورد میزان امنیت این شبکه آموزشی که ستون اصلی آموزش مجازی کشور ما را تشکیل میدهد به همراه داشته است.
پارادوکس امنیت در محیط آموزشی
شبکه شاد با بیش از 30 میلیون کاربر فعال، یکی از بزرگترین تجمعهای انسانی در فضای مجازی ایران است. ویژگی اصلی این شبکه، «اعتماد» است. دانشآموز به این فضا اعتماد دارد چون نام مدرسهاش را بر پیشانی آن میبیند. والدین اعتماد دارند چون تصور میکنند این فضا تحت نظارت حاکمیتی است. اما دقیقا همین «اعتماد بیچون و چرا» نقطه کوری است که کلاهبرداران از آن برای نفوذ استفاده میکنند. برخلاف شبکههای اجتماعی خارجی که کاربر با نوعی گارد امنیتی در آنها فعالیت میکند، در شاد، گاردها کاملا پایین است.
وقتی «هویت» گروگان گرفته میشود
کلاهبرداری در شاد لزوما با ابزارهای فنی پیچیده یا نوشتن کدهای مخرب انجام نمیشود. بخش بزرگی از این سرقتها بر پایه «مهندسی اجتماعی» است. سارق، هویت یک مقام مسئول، معلم یا پشتیبان شبکه را جعل میکند. او با استفاده از ضعفهای روانی مخاطب هدف که عمدتا کودکان هستند، آنها را به مسیری میکشاند که داوطلبانه کلید ورود به حساب خود را در اختیار سارق قرار میدهند. در بسیاری از پروندههای بررسی شده در پلیس فتا، سارق با این جمله شروع کرده است: «حساب شما به دلیل فعالیت مشکوک در لیست حذف قرار گرفته است.» این جمله، دانشآموز را در وضعیت اضطرار قرار میدهد. در وضعیت اضطرار، بخش منطقی مغز از کار میافتد و فرد تنها به دنبال راه نجات میگردد. راه نجاتی که سارق پیشنهاد میدهد، همان ارسال «کد ورود» است.
زنجیره مالی؛ از یک چت ساده تا تخلیه حساب بانکی
بسیاری از والدین میپرسند: «هک شدن شاد بچه من چه سودی برای دزد دارد؟ او که پولی در شاد ندارد!» پاسخ در «زنجیره اعتماد» نهفته است. سارق پس از تصاحب حساب دانشآموز، به لیست مخاطبان او دسترسی پیدا میکند. او از زبان دانشآموز، پیامی برای والدین یا اقوام میفرستد. به عنوان مثال، پیامی با این مضمون ارسال میشود: «مامان، دارم برای مدرسهام یک کتاب میخرم، ۵۰ هزار تومان کم دارم. میتوانی از این لینک پرداخت کنی؟» لینک ارسالی، یک درگاه بانکی جعلی (فیشینگ) است. والدینی که میخواهند به فرزندشان کمک کنند، بدون معطلی اطلاعات کارت بانکی خود را وارد میکنند. در کمتر از چند دقیقه، سارق به رمز دوم و اطلاعات کارت دسترسی پیدا کرده و تمام موجودی حساب را تخلیه میکند. در اینجا، اپلیکیشن شاد تنها «پل اعتماد» بوده است.
فروش حسابهای تایید شده
بخش تکان دهندهتر این ماجرا، فروش حسابهای هک شده در بازار سیاه است. برخی هکرها علاقهای به کلاهبرداری مستقیم ندارند. آنها حسابهای کاربری شاد را که هویت دانشآموزی آنها تایید شده است، به قیمتهای مختلف در کانالهای تلگرامی به فروش میرسانند. خریداران این حسابها، افرادی هستند که به دنبال ایجاد مزاحمت، پخش محتواهای غیراخلاقی یا انجام عملیاتهای فریب گستردهتر هستند. داشتن یک حساب با نام و نشان واقعی یک دانشآموز، پوشش بسیار مناسبی برای فعالیتهای مجرمانه است که ردپای دیجیتالی مجرم اصلی را پاک میکند.
قربانی شدن در لباس خیرخواهی
خانم«س»، مادری که تمام پسانداز خرید وسایل خانهاش را از این طریق از دست داده، میگوید: «پسرم در شاد پیامی از طرف ناظم مدرسه دریافت کرد که میگفت برای قرعهکشی تبلت دانشآموزی، باید کدی که به گوشی پدرش میآید را بفرستد. پسرم از روی سادگی این کار را کرد. نیم ساعت بعد، پیامکهای برداشت ۵ میلیون تومانی یکی پس از دیگری آمد. ما فکر میکردیم چون محیط مدرسه است، خطری ندارد.» این پرونده نشان میدهد که کلاهبرداران چگونه از آرزوهای دانشآموزان برای رسیدن به حساب بانکی والدین استفاده میکنند.
چه کسی پاسخگوست؟
یکی از چالشهای بزرگ در این حوزه، تعیین مسئولیت است. وزارت آموزش و پرورش و تیم توسعه دهنده شاد، همواره بر امنیت بالای این پلتفرم تاکید دارند و ریشه مشکل را در «بی احتیاطی کاربران» میدانند. اما از نگاه حقوقی، پلتفرمی که میلیونها کودک را وادار به استفاده از خدمات خود میکند، باید دارای سیستمهای پیشگیرانه قویتری باشد. آیا سیستم احراز هویت شاد نباید به گونهای باشد که خروج از حساب و ورود مجدد با دستگاه دیگر، مستلزم تایید چندباره و اطلاع رسانی پیامکی به شماره سرپرست باشد؟ خلأهای قانونی در برخورد با جرایم سایبری در حوزه کودکان، باعث شده است که روند رسیدگی به این پروندهها طولانی و گاهی بینتیجه باشد.
کلاهبرداری در پوشش بهروزرسانی؛ تلهای برای والدین
یکی از شگردهای زیرکانه که اخیرا شناسایی شده، ارسال پیامکهایی خارج از محیط شاد اما با نام این شبکه است. در این روش، پیامکهایی برای والدین ارسال میشود که آنها را تحریک میکند تا به بهانههای مختلف روی لینک ارسالیشان کلیک کنند. این لینک، کاربر را به یک سایت جعلی هدایت میکند که در آنجا یک فایل با پسوند (apk) برای دانلود قرار داده شده است. به محض نصب این فایل، یک «دسترسی پنهان» به سارق داده میشود. از این لحظه به بعد، سارق میتواند تمام پیامکهای بانکی گوشی والدین را رصد کند، بدون اینکه آنها حتی متوجه شوند که در گوشیشان یک جاسوس دیجیتال دارند. این یعنی نفوذ از طریق نیاز آموزشی، برای غارت اقتصادی.
چرا سارقان به راحتی نفوذ میکنند؟
کارشناسان امنیت شبکه معتقدند که یکی از نقاط ضعف اصلی، عدم استفاده اجباری از «تایید دو مرحلهای» در نسخههای اولیه و حتی کنونی برای تمامی کاربران است. در بسیاری از اپلیکیشنهای بانکی یا پیامرسانهای معتبر جهانی، امنیت دو مرحلهای یک انتخاب نیست، بلکه یک اجبار است. در شاد، به دلیل طیف گسترده کاربران که شامل خانوادههایی با سطح دانش فنی متفاوت هستند، طراحان سعی کردهاند فرآیند ورود را ساده نگه دارند تا مشکلی برای کاربران ایجاد نشود. اما همین «سادگی در ورود»، فرش قرمزی برای هکرها پهن کرده است. سیستم امنیتی باید بتواند رفتارهای غیرعادی (مانند ورود از یک آی پی ناشناس در شهری دیگر) را تشخیص داده و بلافاصله حساب را به صورت موقت معلق کند.
نقش صدا و سیما و رسانهها در پیشگیری
تاکنون هشدارهای زیادی از سوی پلیس فتا صادر شده است، اما به نظر میرسد این هشدارها به اندازه کافی در لایههای عمیق جامعه نفوذ نکرده است. آموزش امنیت دیجیتال باید از حالت «بخشنامه ای» خارج شده و به زبان ساده در قالب برنامههای تلویزیونی و محتواهای کوتاه فضای مجازی به خانواده ها منتقل شود. باید به والدین آموخت که گوشی موبایل در دست کودک، مانند کلید خانه است؛ همان طور که کلید خانه را به هر غریبهای نمیدهیم، نباید اجازه دهیم کودک با هر پیام و لینکی در فضای مجازی تعامل داشته باشد.
