شماره حساب شما را خریداریم!

در اوایل پاییز امسال Forever ۲۱ اعلام کرد که جزئیات مربوط به حساب های ۹۸.۹۳۰ کارت اعتباری مورد سرقت قرار گرفته است. این سرقت ها به دفعات اتفاق افتاده است، ولی این اطلاعات سر از کجا در می آورد؟
تا پیش از این تصور می‌شد که هکرها از این اطلاعات برای سوء استفاده‌های شخصب استفاده می‌کنند اما به تازگی نوع جدیدتری از سوء استفاده رایج شده است: اطلاعات ربوده شده سر از بازار در می آورد.
درواقع تبهکارانی که ارتکاب به ربودن داده ها می کنند، به شخصه برای مصرف اعتبار حساب های بانکی اقدام به نفوذ به آنها نمی کنند. در عوض آنها اطلاعات را در یکی از بازار های سیاه پرتکاپوی آنلاین، فروم ها و چت روم ها به حراج می گذارند. فرانسوا پاژت، یکی از متخصصین امنیتی McAfee در پاریس، کسی که همکاری نزدیکی با پلیس اینترنتی دارد می گوید حتی افزایش عرضه این کالا، یعنی اطلاعات ریوده شده، در بازار سبب بوجود آمدن جنگ قیمت شده است.
جزئیات کامل حساب بانکی، شامل رمز دسترسی آنلاین اغلب به قیمت ۵ تا ۱۰ درصد ارزش حساب خرید و فروش می شود.
اطلاعات کارت اعتباری، بیشترین حجم مبادلات را در میان این گونه کالاها به خود اختصاص می دهد، به طوری که به گفته پاژت هر بسته ده تایی از آمریکا یا اروپای غربی ۴۵۰ دلار قیمت دارد. کارت های افرادی که پول بیشتری خرج می کنند، قیمت بالاتری دارد ولی حساب هایی که از نظر اطلاعات کلیدی ناقص اند به ازای هر قطعه یک دلار می ارزند.
جیسون فرانکلین، یک متخصص بازار های دزدی از دانشگاه کارنگی ملون، می گوید: کالاهای آنلاین دائما در حال بارگذاری هستند، بنابراین خریداران پشت کامپیوترها نشسته اند و ورودی های این بازار را از دم نظر می گذرانند.
● من کلاهبردار نیستم!
فضا به شدت حرفه‌ای است و هکرها به جای تبحر یافتن در طیف وسیعی از مهارت ها، می توانند تخصص شان را کامل کنند، مثلا حساب های بانکی مورد سرقت بازیابی کنند، و با مهارت های تکمیلی پرداخت هایشان را انجام دهند. این تحرک و پویایی سبب تامین بازار توسط کالاهای بسیار متنوع می شود؛ از کارت های اعتباری جعلی تا نرم افزار هایی که ضربه کلید ها را بر یک کامپیوتر شخصی که از دور هک شده ثبت می کند. بازدیدکننده ها می توانند با خرید های آنلاین کلاه برداری کنند، کارت های اعتباری تقلبی بسازند، یا از یک بانک پول حواله کنند.
فقدان اعتماد بین خود تبهکاران نیز دلیل دیگر کاهش قیمت هاست. در یک فروم که تصور می شد توسط متقلبین ویتنامی گردانده شود، یک فروشنده اطلاعات کارت اخیرا به انگلیسی دست و پا شکسته برای یک خریدار دو دل نوشت: «به جان مادرت من کلاهبردار نیستم!» این ادعا نشان می دهد که چقدر فضای تجارت اطلاعات دزدی می تواند نامطمئن باشد.
در این فضا خریداران تلاش می کنند تا از نو بودن اطلاعات، و دست اول و درست بودن آنها اطمینان حاصل کنند یا حتی معامله را همراه تعهد انجام می دهند. فروشندگان اغلب از این که پرداختی از یک PayPal یا حساب بانکی مورد سرقت توسط پلیس ردگیری شود، نگرانند.
مسئولان اعمال قانون تمام سعی خود را برای کاهش تامین داده های دزدی انجام می دهند ولی آنها با موانع بزرگی روبرو هستند. به گفته دیوید پرز، مشاور امنیتی سه بانک اسپانیایی، نفوذ به سرورهایی که تبهکاران برای نگهداری اطلاعات هویت افراد استفاده می کنند بسیار دشوار است. او از صد سرور غیر مجازی که آنها را یافته، تنها قادر به نفوذ به سه تا از آنها شده است.
جالب است که بیشتر سرورها در روسیه واقع شده اند و مسئولان اسپانیایی باید از همتایان روسی شان برای تحقیق و احضار سرورها تقاضا کنند. متولیان سرور ها که هنوز در کشور های دیگر فعالند، در روند دیپلماسی و ورق بازی گم می شوند و با ادامه این شرایط به گفته پرز «می توانیم شاهد ادامه این منوال برای همیشه باشیم.»
برخی متقلبان با پیشبرد فعالیت شان به صورت آفلاین به پیچیدگی کار پلیس می افزایند. برای مثال ۳۰۰ صندوق دار پاریسی مرتبا اطلاعات کارت پرداخت مشتریان حواس پرت را سرقت می کنند. بیشتر اطلاعات کش رفته شده به طور رو در ور معامله می شود و اغلب بین جاعلانی که در وب ملاقات کرده اند.
● پلیس وارد می‌شود
گروه های بین المللی هکرها برای برقراری ارتباط به طور فزاینده ای از زبان انگلیسی اجتناب می کنند و در عوض روسی را انتخاب کرده اند تا از این طریق پلیس ایالات متحده را گمراه کنند. دلیل عمده انفعال سرویس مخفی و دیگر آژانس های اعمال قانون غربی همین موضوع است.
سازمان های مالی در تلاش اند نقش خود در مبارزه با سرقت داده ها ارتقا دهند. متخصصان برخی سازمان های مالی وانمود می کنند خریدار یا فروشنده این گونه داده ها هستند تا به این وسیله اقدام به گردآوری اطلاعات لازم برای کمک به اعمال قانون کنند و یا سبب اختلال بازار ها شوند. برخی کارشناسان فعال در موسسات مالی هم در تلاش اند اطلاعات مسروقه کارت های اعتباری را به سرعت مسدود کنند. تکنیک دیگری که پیشنهاد شده، نفوذ در بازارها و وانمود کردن به خریدار یا فروشنده بودن است و اتهام زدن به یکی از طرف های قرار داد است تا به این وسیله به جو سردرگمی و عدم اعتماد دامن بزنند. در دنیا بازارهای داده های غیر مجاز، این جو بی اعتمادی و خیانت بسیار کار آمد خواهد بود.
● دزدها از کجا وارد می‌شوند؟
اما روش های متداول که کاربران را نا خواسته به افشای اطلاعاتشان می کند چیست؟ استفاده از اینترنت بی سیم یا Wi-Fi روشی مرسوم در بسیاری از ادارات و حتی منازل برای بهره گیری از وب یا ایجاد شبکه است. مودم های بی سیم داده ها را بر روی فرکانس های مشخص ارسال و دریافت می کنند. برخی سارقین قادرند با قرار گرفتن در محل مناسب به استراق اطلاعات ارتکاب کنند و در صورت نیاز به رمز گشایی از آنها بپردازند. بنابر این برای پیش گیری باید در صورت عدم امکان استفاده از انواع دیگر مودم ها از آن دسته مودم های بی سیم استفاده کرد که بر داده ها رمز گذاری می کنند. با این حال این روش در محیط های عمومی جواب گو نیست و باید از وارد شدن به حساب های مهم، مثل حساب های بانکداری الکترونیکی در این مواقع خودداری کرد. باز در صورت وجود ضرورت از تجهیز صفحه مرورگر به SSL باید اطمینان حاصل شود، که در مرورگر IE به صورت شکل قفل در گوشه پایین در سمت چپ نمایان می شود.
ایمیل هایی که خود را فرستاده از جانب بانک یا شرکت کارت اعتباری معرفی می کنند و برای اطمینان از ایمن بودن شما از هک، از کاربر می خواهند به صفحه ورود بانک یا شرکت مراجعه کند، لینک صفحه ای مشابه را در ایمیل قرار داده اند تا به این وسیله کابر اطلاعاتش را وارد کند. برای جلوگیری از انجام این خطا باید به یاد داشت که عموما بانک ها و شرکت های کارت اعتباری ایمیل مهمی نمی زنند و اصولا با پست یا تلفن پیام های مهم را ارسال می کنند. در هر حال با دیدن چنین ایمیلی باید مسئولان بانک را در جریان قرار داد.
تلفن هم می تواند ابزاری برای دریافت اطلاعات باشد؛ فقط کافی است فردی که تماس می گیرد احساسات طرف مقابل را به سمتی هدایت کند که خود را ناچار از ارائه اطلاعات ببیند. حفظ خونسردی و اعتماد به نفس را مقابله با این توطئه است.
گوشی تلفن همراه و تلفن های بی سیم نیز می تواند از طریق استراق سمع منجر به استراق اطلاعات مالی شود. اطمینان از وجود سیستم رمز گذاری در این دستگاه ها ضروری است.
آگهی های اینترنتی هم می تواند وسیله دیگری برای ربودن اطلاعات باشد. به این صورت که کاربر را برنده یک قرعه کشی می خواند که برای دریافت جایزه نیاز به وارد کردن اطلاعات حساب اش دارد. از اعتماد به این گونه آگهی ها باید خودداری کرد.
البته روش های ربودن داده ها بسیار متنوع تر از اینهاست!