مراقب‌ هویت خود باشید

فریبكاران (Phishers) و سایر دزدان اینترنتی، هویت اموال و مشخصات فردی و خصوصی شما را مورد هجوم قرار می‌دهند. دزدانی كه یافتن‌شان كار چندان ساده‌ای نیست و نحوه عملكردشان هر روز پیچیده‌تر و مبهم‌تر می‌شود. این مقاله به شما می‌آموزد چگونه از خودتان در اینترنت محافظت كنید و اگر با مشكلی روبرو شدید چگونه آن را حل كنید. خانم باربارا هد یك بانوی خانه‌دار است كه مادر سه فرزند نیز می‌باشد و در كارولینای شمالی زندگی می‌كند. او یك روز در حال چك كردن E-mail خود بود كه متوجه یك اعلان از AOL شد كه به او تذكر داده بود كه اطلاعات حساب مالی‌اش نیازمند روز آمد شدن است . اطلاعیه مذكور آن‌قدر معتبر و موجه به نظر می‌آمد كه وی روی لینك اعلان كلیك كرد.
اما در واقع او با دستان خود اطلاعات شخصی و مالی خود را در اختیار یك هكر قرار داده بود كه از حالا به بعد از هویت و موجودی مالی او كه بالغ بر صدها دلار بود آگاه شده بود و خوب مسلماً از این به بعد می‌توانست حساب او را كنترل كند، از آن برداشت نماید و یا با آن یك تجارت تقلبی راه بیندازد. یعنی می‌توانست با استفاده از اسم و مشخصات و اعتبار باربارا در معامله‌ها شركت كند. خانم هد پس از مدتی متوجه یك سری فعالیت تقلبی و همچنین برداشت‌های مشكوك از حساب خود شد. او حدود ۶ ماه از وقت خود را به‌طور كامل روی این قضیه گذاشت تا توانست سابقه اعتبار خود را پاك كند. تنها نكته مثبت قضیه این بود كه او توانسته بود دزد را دستگیر كند.
● مشكلات فزاینده
سرقت هویت یكی از جرایمی است كه به‌شدت در آمریكا در حال رشد می‌باشد و قربانیان زیادی طی سال‌های ۲۰۰۰ تا ۲۰۰۴ داشته است. بسیاری از قربانیان از طریق حساب اعتباری خود آسیب دیده‌اند. اما برای بسیاری دیگر مسأله خیلی بدتر بوده است.
FTC (كمسیون تجارت فدرال) تخمین زده است كه در پنج سال گذشته، ده میلیون نفر كه حساب‌های اعتباری جدید گشوده‌اند و از نرم‌افزارهای كمكی امنیتی هم استفاده نموده‌اند، درگیر یكی از سایت‌های تقلبی شده‌اند و برای خلاصی از مشكل به‌وجود آمده مجبور شده‌اند ساعت‌ها وقت صرف كنند.
بسیاری از متخصصین می‌گویند كه در بسیاری از موارد اموری كه منجر به شناسایی و لو رفتن دزدان شده از ناحیه قربانیانشان نبوده است و یك نظر اجمالی به گزارش‌ها نشان می‌دهد كه اصولاً دزدان، اطلاعات و گزارش‌های مالی را از اداراتی كه این مشخصات و اطلاعات را نگهداری می‌كنند و یا سایت‌هایی كه ندانسته هزاران نام و مشخصه را به صورت عمومی پخش می‌كنند، سرقت می‌كنند.
در این بین مطب پزشكان، مدارس و سایر مؤسساتی كه اطلاعات شخصی شما را پشت دیواره آتشی كه چندان هم امن نیست نگه می‌دارند، فرصت مناسبی را برای دزدان اینترنتی و هكرها برای در‌اختیار گرفتن این اطلاعات فراهم می‌كنند. اما در مورد روش‌های فریبكاران و فیشینگ كه به سرعت نیز در حال گسترش است كاربران مجبورند یك‌سری كارها و وظایف اضافی را نیز متحمل شوند.
از جمله روش‌های جدید فریبكارانه، ارسال نامه‌های الكترونیكی فیشینگ است كه رشدی حدود ۴۰ تا ۵۰ درصد در ماه داشته است. مثلاً براساس گزارش Anti-phishing working Groupe (یك كنسرسیوم چند منظوره كه در سال ۲۰۰۳ تشكیل شد تا با این نوع از كلاهبرداری مبارزه كند كه آدرس اینترنتی آن هم www.antiphishing.org می‌باشد) تعداد این نوع نامه‌ها در ماه جولای سال ۲۰۰۴ به چیزی حدود دوهزار عدد رسیده است.
در واقع مسأله اصلی اینجاست كه روش‌های این نوع از كلاهبرداری اینترنتی به‌گونه‌ای است كه به راحتی ایجاد می‌شوند و ردیابی‌شان هم بسیار مشكل است و این باعث می‌شود كه دزدان اینترنتی سایر شیوه‌ها را رها كرده و شروع به كار بر روی این نوع از نقشه‌ها بكنند. نكته بعدی اینجاست كه این نقشه‌ها هر روز در حال پیچیده‌تر شدن هستند به‌گونه‌ای كه حتی كاربران حرفه‌ای‌تر و هوشیارتر هم دیگر از امنیت برخوردار نیستند و توانایی تشخیص نامه‌ها یا سایت یا برنامه‌های جعلی را از نوع واقعی و معتبرشان ندارند.
همچنین سارقان با تغییر شیوه‌ها و تغییر شكل آن‌ها و استفاده از برنامه‌هایی كه به جاسوس‌افزارها معروفند یك گرفتاری دیگر در اینترنت ایجاد كرده‌اند و از این طریق به درون PC‌ها نفوذ كرده و اطلاعات آن را می‌دزدند.
اما خوب نگران نباشید، در این رابطه اخبار خوب هم وجود دارد. مسؤولان می‌گویند می‌توان از فیشینگ و سایر روش‌های دزدی هویت جلوگیری هم كرد.
اما این جلوگیری مستلزم یك حركت دقیق و موشكافانه به سمت امنیت است.
مثلاً با یك هزینه جزیی به منظور دریافت منظم گزارش‌های حساب‌های اعتباری خود و تهیه تعدادی نرم‌افزار امنیتی و البته مقداری هم احتیاط و تردید در رابطه با باز كردن و خواندن email‌ها می‌توانید میزان قابل قبولی از امنیت را برای خود ایجاد كنید.
همچنین می‌توانید یك سری سلاح‌های جدید هم به تسلیحات خود اضافه كنید. مثلاً ابزارهای ضد‌فیشینگ را از ISPها تهیه كرده و از آن‌ها به منظور امن كردن سیستم خود استفاده كنید.
● دردسرهای فیشینگ
شما احتمالاً تا به حال تعداد زیادی ایمیل‌های فریبكارانه دیده‌اید. متقلبان فیلد "from" این‌ نامه‌ها را به‌گونه‌ای تنظیم می‌كنند كه شما فكر می‌كنید كه این نامه از طرف یك شركت معتبر مثل Citibank ،eBay یا PayPal فرستاده شده و اصولاً این نوع نامه‌ها به شما توصیه می‌كنند تا بر روی یك Link خاص كلیك كنید تا مثلاً اطلاعات حساب اعتباری‌تان به‌روز شود و غالباً این توصیه هم به این دلیل است كه شركت در خراب بودن و دچار اشكال شدن حساب شما تردید كرده و از شما می‌خواهد برای رفع نقص بر روی آن لینك كلیك كنید.
خوب با كلیك كردن آن link، شما به آدرس وب سایتی كه كاملاً معتبر به‌نظر می‌آید، هدایت می‌شوید و از شما خواسته می‌شوند اطلاعات خود را وارد كنید و شما هم چون متوجه تقلبی بودن سایت مذكور نشده‌اید با دست خود اطلاعات شخصی محرمانه خود را وارد می‌كنید و از‌این‌به‌بعد همه مشكلات شروع می‌شود. سارقان با مجهز شدن به آدرس، حساب بانكی، شماره كارت اعتباری و یك سری اطلاعات دیگر كه از خود شما گرفته‌اند، می‌توانند با پول شما خرید كنند و حتی ولخرجی هم بكنند و حتی بدتر از این به اسم شما حساب‌های اعتباری جدید ایجاد كنند و به كلاهبرداری‌های دیگری دست بزنند.
● حمایت بیشتر از قربانیان سرقت هویت
طبق قانون، دفاتر اعتباری موظف هستند كه برای قربانیان به‌طور رایگان تعداد سه فقره گزارش حساب تهیه كنند و در صورت درخواست آن‌ها یك اعلان fraud alert (هشدار كلاهبرداری) را به سایر مراجعی كه حساب یا حساب‌های اعتباری افتتاح می‌كنند، ارسال نمایند. همچنین شركت‌های ارایه‌دهنده كارت‌های اعتباری در مقابل مفقود شدن یا به سرقت رفتن كارت، مبلغ پنجاه دلار ضرر و زیان را متقبل می‌شوند و پرداخت می‌كنند كه این موارد از جمله مشكلات دارندگان این قبیل كارت‌ها است.
ضمن آن‌كه كسانی كه كارت‌های debit را دارند، ممكن است متحمل زیان بیشتری بشوندسرویس‌های پرداخت مانند paypal حتی همین مقدار هم كمك نمی‌كنند. زیرا از طریق آن‌ها تنها متوجه می‌شوید كه كدام بانك یا مؤسسه اعتباری از حساب شما پول برداشت كرده است نه چیزی بیشتر.
به غیر از این‌ها، متقاعد كردن پلیس نیز موضوع مهم و البته دشواری است. زیرا ممكن است علیرغم تهیه گزارش‌ها و مستندات لازم، این موضوع در نوبت كاری پلیس قرار گیرد و تا مدتی به آن رسیدگی نشود كه همین مدت فرصت كلاهبرداری بیشتری را به سارقان هویت خواهدداد.
● راه‌هایی برای حفاظت از هویت
▪ روی لینك‌ها یا تصاویر ایمیل‌هایی كه از واقعی بودن آن‌ها اطمینان ندارید، كلیك نكنید. اگر از شركتی كه با آن كار می‌كنید، نامه‌ای دریافت كردید، مستقیماً به سایت آن شركت بروید و به حسابتان داخل شوید. در غیراین‌صورت بهتر است با آن‌ها تماس تلفنی بگیرید.
▪ از برنامه‌های ضد اسپم مناسب استفاده كنید. به این طریق بسیاری از ایمیل‌های فریبكارانه هرگز به صندوق‌پستی شما وارد نخواهند شد.
▪ نرم‌افزارهای جاسوس‌یاب روی كامپیوترتان نصب كنید. استفاده از برنامه‌هایی مانند spybot search‌ ِ‌ Destroy و Lavasoft Ad-Aware دو نمونه خوب از چنین برنامه‌هایی هستند.
▪ از یكی از شركت‌های بزرگ، سرویس زیر نظر داشتن اعتبار (Credit Monitoring) را خریداری كنید. این سرویس‌ها با چیزی حدود پنجاه دلار در سال قابل تهیه هستند و با ارسال ایمیل، تغییرات انجام شده در حساب شما را اطلاع می‌دهند.
▪ برداشت‌های كارت اعتباری‌تان را كنترل كنید. بسیاری از كلاهبرداران، در طی مدت زمان طولانی، اقدام به برداشت مبالغ اندكی می‌كنند تا توجه دارنده كارت به تغییرات حساب جلب نشود.▪ اطلاعات كارت اعتباری را روی هارددیسك نگهداری نكنید و در صورت لزوم آن‌ها را روی CD ذخیره نمایید. آن CD هم نباید در درایو كامپیوتر باشد. در واقع اگر شما از اطلاعات استفاده نكنید، هكرها هم به آن‌ها دسترسی نخواهند داشت! اگر هم ناچار به نگهداری آن‌ها روی هارددیسك كامپیوتر هستید، از رمز عبور برای حفاظت از آن‌ها بهره بگیرید.
▪ حتی‌الامكان شماره تأمین‌اجتماعی خود را مخفی نگه دارید. اگر شركت‌های اعتباری از آن شماره به عنوان بخشی از شماره حساب شما استفاده می‌كنند، درخواست كنید كه آن را تغییر دهند.
▪ در طی سال، دوبار گزارش مالی حساب‌تان را دریافت كنید تا همه چیز تحت كنترل باشد.
یكی دیگر از شیوه‌هایی كه phisher‌ها به كار می‌برند و از شیوه‌های دیگرشان پیچیده‌تر است (و نیاز به روش‌های مشخص و شناسایی هوشمندانه‌تری دارد) استفاده از نرم‌افزارهایی است كه آدرس‌های وب‌های قلابی و جعلی را درون سایت‌های معتبر به‌گونه‌ای پنهان می‌كنند كه كاربر متوجه آنها نمی‌شود. بدین‌ترتیب كه این دزدان logo‌ها و تصاویری را از سایت‌های معتبر، درون سایت قلابی خود كپی می‌كنند و بعد هم كدهای مخرب خود را درون این سایت‌ها می‌گنجانند، به‌گونه‌ای كه شما به نشانی درستی می‌روید اما در حقیقت اطلاعات خود را درون یك پنجره كه توسط هكرها در این سایت تعبیه شده وارد می‌كنید.
در‌حقیقت درون یك سایت معتبر و قانونی یك فعالیت غیرقانونی شكل گرفته است كه شما هم قربانی همین فعالیت شده‌اید. درون سایت Mailfromtier.com كه وب سایت یك شركت امنیتی Email هست، كاربران می‌توانند توانایی دانش خود را در رابطه با تشخیصmail های تقلبی از واقعی آزمایش كنند. به‌طور متوسط، حدوداً بیش از دویست‌هزار نفری كه خود را در این سایت تست كرده‌اند كاربران در تشخیص ۱۰ مورد نامه‌های تقلبی دچار اشتباه شده‌اند.
جاسوس‌افزارها در تركیب با تدهای فیشینگ David Jevans رییس گروه Anti-phishing working Groupe معتقد است كه باید منتظر یك همگرایی و نقطه تلاقی بین فیشینگ و جاسوس‌افزارها باشیم. جاسوس‌افزارهایی كه در كامپیوترهای شخصی شما قرار می‌گیرند و به ازای هر كلیدی كه شما فشار می‌دهید، اطلاعات شما را برای دیگران می‌فرستند، می‌توانند زمینه كار بسیار وسیع و گسترده‌ای برای دزدان و هكرها فراهم كنند.
یعنی زمانی كه كاربران هیچ بهانه‌ای به دست phisher نمی‌دهند، جاسوس‌افزارها بهترین گزینه برای نفوذ به سیستم می‌باشند. در این شیوه از شما خواسته می‌شود كه روی یك عكس كلیك كنید تا در یك حراجی كه چیزی گرانبها را با قیمت بسیار پایینی به‌فروش می‌رساند شركت كنید یا در یك بخت‌آزمایی بزرگ شركت داده شوید. با این كلیك در حقیقت شما ندانسته‌ یك جاسوس‌افزار را درون PC خود نصب كرده‌اید.
هر چند در این روش، phisher باید انتظار بیشتری بكشد تا بالاخره اطلاعات شما را دریافت كند اما خوب بالاخره این زمان فرا می‌رسد و دزدان با تحلیل و آنالیز و ایجاد ارتباط بین كلیدهای فشرده‌شده و سایت‌هایی كه شما به آن‌ها سر می‌زنید، اطلاعات مورد نیازشان را استخراج می‌كنند.
طبق مطالعه‌ای كه سال پیش مؤسسه غیرانتفاعی Identity Theft Resource Center انجام داده است، قربانیان جعل هویت برای پاكسازی سابقه حساب اعتباری خود به‌طور متوسط ۶۰۰ ساعت زمان و ۱۴۰۰ دلار هزینه كرده‌اند. طبق گزارش FTC متوسط مبلغی كه دزدان با استفاده از اسم قربانیان نصیب خود می‌كنند حدود ۱۰۲۰۰ دلار بوده است. خسارت و زیان كلی ناشی از سوء استفاده دزدان به اضافه هزینه تشخیص و شناسایی آن‌ها و پاكسازی نام قربانیان به حدود ۴ میلیارد دلار می‌رسد. و در مجموع طبق تخمین FTC بابت این نوع فعالیت‌های مخرب اینترنتی حدود ۳۳ میلیارد دلار در سال به اقتصاد تجارت جهانی آسیب وارد می‌شود.
● پولسازی راحت
طبق آنچه گفته شد، به‌طور كلی دزدی هویت و مخصوصاً phishing روش سودآوری برای ایجاد درآمد به حساب می‌آید اما بیشترین دلیل رشد phishing فقط یك علت ساده دارد و آن این است كه روش‌های انجام این كار بسیار آسان است.
Jevans می‌گوید: سارقان هویت كیت‌های phishing را به یكدیگر می‌فروشند یا قرض می‌دهند، ردوبدل این كیت‌ها به سادگی و با استفاده از سایت‌های تقلبی، Email، و نرم‌افزارهایی كه روی سرورها نصب می‌شوند و برای شما داده ارسال می‌كنند، انجام می‌شود. همه آنچه كه شما نیاز دارید نصب یك سرور یا فراهم كردن چند somby می‌باشد. sombyها PC‌هایی هستند كه درونشان هیچ اطلاعاتی در رابطه با صاحبان این PCها وجود ندارد و اصولاً برای فعالیت‌های مغرضانه مورداستفاده قرار می‌گیرند.
بقیه كار هم كه بسیار ساده است. سیستم صدها، هزاران و یا حتی میلیون‌ها ایمیل آلوده را پخش می‌كند و بعد منتظر پاسخ از طرف افراد می‌ماند. البته دزدان با مقداری ریسك هم روبرو هستند. به همین دلیل بسیاری ازphisher‌ها تجارت خود را در كشورهایی غیر از ایالات متحده ایجاد می‌كنند تا پیگیری و ردیابیشان مشكل‌تر شود. Jevans تخمین می‌زند كه حدود ۷۵درصد سایت‌های تقلبیphisher‌ها خارج از آمریكا هستند.
و phisher‌هایی كه فعالیت‌شان درون آمریكاست غالباً با استفاده از PCهای somby و یا با تعویض مداوم آدرس‌های سرور از دستگیر شدن می‌گریزند. اما متخصصان معتقدند وضع قوانین جدید هم در بهبود اوضاع مؤثر است.
در حال حاضر قوانین جزایی دولت آمریكا برای دزدی هویت حداكثر كیفری معادل ۱۵ سال زندان قرار داده است. اما در جولای ۲۰۰۳ امسال، قوانین سخت‌تر و كیفرهای بیشتری برای این نوع جرم وضع شد. در این بین سناتور Patrick Leahy قانونی را وضع كرد كه طبق آن می‌توان یك phisher را به‌خاطر راه‌اندازی یك سایت جعلی و یا ارسال ایمیل‌های تقلبی تا ۵ سال زندانی كرد (اما تا قبل از این یك phisher در صورتی مرتكب جرم شده بود كه عده‌ای را از طریق راه‌اندازی سایت یا ارسال Email فریب داده بود.)
متخصصان می‌گویند از آن‌جایی كه تقریباً ۲۰‌درصد از phisher‌ها به اندازه‌ای تازه‌كار هستند كه سایت‌های خود را درDomain های عمومی و همگانی ثبت‌نام می‌كنند، لذا این قوانین می‌توانند در كاهش این جرم مؤثر واقع شوند. و این نشان از پیشرفت دپارتمان قضایی در مبارزه با این نوع از جرم دارد.
● باز پس‌گیری هویت
برای قربانیان دزدی هویت، تشخیص سریع مشكل بسیار مهم است. طبق گزارش FTC، زمانی كه قربانیان متوجه سوءاستفاده‌هایی از اطلاعات شخصی خود در طول یك ماه شدند، حدود ۹۰ درصدشان قادرند كه از ایجاد حساب‌های اعتباری جدید با استفاده از نامشان كه توسط دزدان صورت می‌گیرد جلوگیری كنند و از زیان‌های جدید پیشگیری كنند. اما اگر زمان تشخیص از یك ماه به ۶ ماه برسد، یعنی قربانی طی ۶ ماه متوجه سوءاستفاده از حساب اعتباری خود نشود، در طول این مدت حدود ۴۵درصد مجرمان با استفاده از نام قربانی حساب‌های اعتباری جدید می‌گشایند.
شاید اولین مانع بر سر راه تشخیص و دستگیری دزدان متقاعد كردن شركت‌های كارت‌های اعتباری، آژانس‌های تهیه گزارش از حساب‌های اعتباری و بعضی اوقات افراد متخصصی هستند كه شما باید برایشان توضیح دهید كه چه كسی هستید و چه اتفاقی برایتان افتاده است. فرآیند تشخیص و دستگیری با تهیه یك گزارش پلیسی از حوزه‌ای كه جرم در آن اتفاق افتاده شروع می‌شود. اصولاً متقاعد كردن پلیس برای این‌كه شما یك قربانی هستید یا یك گناهكار، كار ساده‌ای‌ است.
البته FTC گزارش داده است كه قربانیان با مقاومتِ پلیسِ محلی، برای تهیه گزارش مواجه می‌شوند. ۲۸درصد افراد هم از عملكرد پلیس بسیار ناراضی هستند. گرفتن گزارش بسیار واجب و ضروری است حتی اگر لازم باشد شما به ادارات مختلف پلیس محلی یا پلیس كشوری و یا حتی مأمورین ایالاتی مراجعه كنید. تا اگر پلیس دزدان را دستگیران نمود، شما با استفاده از همان گزارش، مؤسسات مالی را قانع به پاكسازی سابقه حساب اعتباری خود كنید. همچنین شما باید با سرعت درخواست fraud alert (هشدار كلا‌هبرداری) كه برای قربانیان مجانی است، بكنید. با یك fraud alert، شركت‌هایی كه اعتباری با نام شما ایجاد كرده‌اند باید قبل از افتتاح اعتبار با شما تماس بگیرند و شما اعتبار آن حساب را تأیید یا رد كنید. سپس شما باید یك سری نامه و گزارش تهیه شده توسط پلیس را برای مأموران مربوطه می‌فرستید.
این نامه‌ها را می‌توانید از سایت‌های www.consumer.gov/idtheft یا www.identitytheft.org تهیه نمایید.
قربانیانی كه همه فعالیت‌های بالا را انجام بدهند می‌توانند امیدوار باشند كه قبل از یك‌ماه حساب اعتباری خود را پاكسازی نمایند و به زندگی عادی خود بازگردند. اما از این به بعد باید بیشتر مواظب باشند و جهان اطراف خود را محتاطانه‌تر بنگرند.
● ابزارهای ضد كلاهبرداری‌
بعضی ابزارها یا برنامه‌ها هستند كه به شما در تشخیص قلابی بودن سایت‌های اینترنتی كمك می‌كنند. البته بعضی سایت‌های خرید و فروش آن‌لاین مانند EBay، (با نام EBay Account Guard) دارای ابزاری به این منظور هستند. اما نرم‌افزارهای مستقل نیز به این منظور وجود دارند.
▪ CoreStreet Spoot Stick.
نوار ابزار رایگان برای نصب روی اینترنت اكسپلورر و فایرفاكس. این ابزار، آدرس سایت‌هایی كه شما بازدید می‌كنید را بررسی می‌كند و در حد توان، تقلبی بودن یا مشكوك بودن سایت را اطلاع می‌دهد. اما در مقابل صفحه‌های pop-up مشكل دارد و آن‌ها را بررسی نمی‌كند.
▪ Earthlink ScamBlocker.
نوار ابزار رایگان برای اغلب مرورگرها كه فهرستی از معروف‌ترین سایت های كلاهبرداری را در اختیار دارد و به محض این‌كه بخواهید به سراغ آن‌ها بروید، به شما هشدار می‌دهد. این ابزار هم فقط برای مقابله با سایت‌های تقلبی شناخته شده مناسب است.
▪ GeoTrust TrustWatch.
نوار ابزاری رایگان برای مرورگر اینترنت اكسپلورر نسخه ۵ به بعد. این ابزار، سایت‌هایی كه شما مرور می‌كنید را با نشان دادن رنگ‌ها، از لحاظ امنیت و داشتن اعتبار رده‌بندی می‌كند. سبز برای بی‌خطر، زرد برای مشكوك و قرمز برای سایت كلاهبرداری شناخته شده.
▪ webRoot Phish Net.
برنامه‌ای رایگان كه با اینترنت اكسپلورر نسخه ۵ به بالا سازگار است. این برنامه داده‌های حساس شما از قبیل رمزهای عبور، اطلاعات بانكی، شماره تأمین اجتماعی و اسامی كاربری را از شما می‌گیرد و داخل خود نگهداری می‌كند و هر زمان كه برنامه‌ای بخواهد به آن‌ها دسترسی پیدا كند، به شما اطلاع می‌دهد.