ITanalyze

صبا رضایی – ورود به دنیای هکرها و آشنایی با روش کار و گفت‌وگو با آنها همیشه برای مخاطبان جالب است. البته این کار به دلایل متعدد از ترویج روش‌های مخرب گرفته تا تمایل هکرها به مخفی ماندن هویت و شیوه کارشان، همیشه امکان‌پذیر نیست و از این رو تعداد گفت‌وگو با هکرها در رسانه‌ها بسیار کم است.

از سوی دیگر این روزها با جست‌وجوی عبارت آموزش هک، با کتاب‌ها، فیلم‌ها و حتی آموزشگاه‌هایی در ایران مواجه می‌شویم که تقریبا هیچ کدام از آنها نیز فیلتر نبوده و در دسترس علاقه‌مندان است. اگرچه چرایی و چگونگی این موضوع روشن نیست، اما در این میان یکی از آموزشگاه‌هایی که امکان تماس با آن میسر نشد، مدعی «برگزاری دوره آموزش هک اخلاق‌مدار از نوع CEH )The Certified Ethical Hacker) توسط یک کارشناس شناخته شده و برگزاری جامع‌ترین آموزش هک اخلاقی است که به متخصصان امنیت برای فهم بهتر هک اخلاقی کمک می‌کند.» این سایت لوگوی موقت مرکز فناوری اطلاعات وزارت ارشاد را نیز دارد. هرچند در لوگوی اعطا شده آمده است: «این نماد صرفا به منزله شناسایی بوده و به معنای مجوز نمی‌باشد.»
پدیده هک در ایران به علت دارا بودن جمعیت جوان و شرایط خاص اقتصادی در کشور و علاقه برخی جوانان به طی کردن یک شبه راه‌ صد ساله، می‌تواند هم زمینه‌ای برای به گمراهی کشاندن متقاضیان و هم زمینه‌ای برای کلاهبرداری از آنها به اسم آموزش تبدیل شود.
علاوه بر سایت‌ها و شبکه‌های اجتماعی داخلی، در اینستاگرام و تلگرام نیز طبعا مدعیان هک و آموزش هکری (گاه با تعداد بالایی فالوور) یافت می‌شوند و در میان آنها بسیارند کسانی که به این بهانه در واقع طعمه‌های خود را به دام می‌اندازند و در برخی موارد که در ادامه به آنها پرداخته شده قربانیان خود را تبدیل به عامل اصلی یک جرم سایبری کرده و به دردسر می‌اندازند.
البته بسیاری از مدعیان هک حساب‌های کاربری در شبکه‌های اجتماعی، متقاضیان را دعوت به مکاتبه مستقیم و خصوصی با خود کرده‌اند و قاعدتا به علت ایجاد یک رابطه غیرقانونی امکان شکایت قربانیان از کلاهبرداران به حداقل می‌رسد.
اگرچه در این میان کم نیستند افرادی که در حال آموزش و اطلاع‌رسانی در خصوص انواع روش‌های هک هستند که مشخص نیست آیا به طور غیرمستقیم در حال تبلیغات و بازاریابی برای دریافت سفارشات و درخواست‌های پشت پرده هستند یا واقعا نیت خیر دارند.
عمده تبلیغات این هکرها نیز با وعده هک کارت بانکی، هک حساب‌های کاربری دیگر افراد در شبکه‌های اجتماعی، هک کیف پول ارز دیجیتال و … است.

هک یا شناسایی ضعف‌های امنیتی
هک یا حمله سایبری اگرچه اقدامی ‌کلاهبردارانه و خطرناک نامیده می‌شود اما طرفداران بسیاری دارد. در عین حال بسیاری از هک‌هایی که صورت می‌گیرند برای پیدا کردن باگ‌ها و ضعف‌های امنیتی سیستم‌ها، پلتفرم‌ها، سایت‌ها و نرم‌افزارها بوده و تنها راه یافتن باگ‌های امنیتی هک کردن است.
به همین روی بسیاری هک کردن را نه راهی منفی که اقدامی ‌ضروری برای حفاظت از امنیت سایبری می‌دانند. این روزها کانال‌های بسیاری در تلگرام انواع روش‌های هکری را آموزش می‌دهند، اما هکرها معتقدند باید پیش‌نیازهای بسیاری آموزش داده شود تا بتوان هک کردن را آموخت. از سویی دیگر هک کردن اکانت اینستاگرام یا تلگرام ساختگی است و تنها در صورتی می‌توان کاربری را هک کرد که روی لینک نادرستی کلیک کند، بدافزار نصب کند یا اطلاعات خود را در اختیار افراد سودجو قرار دهد.
یا اگر در یک کانال تلگرام به کارت بانکی برخوردید که رمزپویای آن نیز منتشر شده است، از آن پول سرقت نکنید زیرا در این صورت شما شریک هکرها هستید یا ممکن است تمام تقصیرات بر گردن شما بیفتد. از سویی دیگر مطمئن باشید هکر در ظاهر خیرخواه حساب را قبلا خالی کرده است.
هکرهای حرفه‌ای اما این اقدامات را بی‌ارزش و تبلیغاتی می‌دانند و معتقدند هیچگاه در کارت‌ها پولی یافت نخواهید کرد. پیش از رمزپویا، حساب‌های بسیاری از کاربران از طریق فیشینگ خالی می‌شد. اکنون اما هکرها مدعی هستند فیشینگ و سرقت از کارت‌های بانکی ساده‌تر هم شده است و در این میان تنها کاربران به دردسر افتاده و باید منتظر دریافت رمزپویا باشند. (ادعایی که بر خلاف آمار منتشره از سوی بانک‌ها و پلیس فتا مبنی بر کاهش کلاهبرداری‌ها از این طریق است و جدیدترین آمار جهانی نیز نشان از کاهش کلاهبرداری‌های بانکی در ایران دارد.)

داستان یک هکر متواری
(توضیح مهم: هفته‌نامه عصر ارتباط به هیچ وجه امکان تایید اظهارات و ادعاهای مطرح شده از سوی این هکر ناشناس که از طریق تلگرام پاسخگوی سوالات ما بود را ندارد و متن حاضر به معنی تایید این مدعیات نیست. کمااینکه بخش‌های زیادی از اظهارات این فرد، به دلیل غیرقابل اثبات بودن و طرح برخی اتهامات منتشر نشده است.)
یک هکر که در هنگام بازداشت توسط پلیس فتا کمتر از 18 سال داشت، در خصوص انواع روش‌های هک، فیشینگ، سرقت و کلاهبرداری اینترنتی به خبرنگار «عصر ارتباط» توضیحاتی ارایه داده است.
او در زمینه انواع فعالیت‌های غیرقانونی از جمله هک و فیشینگ در فضای اینترنتی گفت: هک به معنای نفوذ به یک پلتفرم، نرم‌افزار، سایت یا سیستم تکنولوژی است. مستقیم نمی‌توان به سیستم یا پلتفرمی ‌نفوذ کرد. به طور کلی ما یک برنامه مخرب برای دارنده سیستم ارسال می‌کنیم، بعد از نصب آن، سیستم او هک می‌شود. اسم آن برنامه رات یا تروجان است و اسم این اقدام نیز هک.

هک به روش فیشینگ
او افزود: فیشینگ زیرمجموعه هک است. بسیاری تصور می‌کنند به دلیل راه‌اندازی رمزپویا نمی‌توان از کارت‌های بانکی به صورت اینترنتی سرقت کرد.
وی مدعی شد: اما بعد از راه‌اندازی رمزپویا بسیار راحت‌تر از قبل می‌توان فیشینگ کرده و حساب‌های بانکی را خالی کرد. برای دریافت رمزپویا نیز به پیامک دارنده حساب بانکی دسترسی می‌گیریم. این اقدام از طریق رات انجام می‌شود.
به این طریق که تلگرام غیررسمی ‌نصب می‌کنیم و سپس به سادگی دسترسی به پیامک دارنده حساب می‌گیریم.
هکر جوان مدعی است که زمانی بزرگ‌ترین هکر ایران بوده است! و بسیاری از واژه‌هایی که فیشینگرها (افرادی که اقدام به فیشینگ می‌کنند) اکنون استفاده می‌کنند را او وارد جامعه فعالان فیشینگ کرده است. بسیاری از راه‌های فیشینگ نیز ابتکار اوست.
او درباره باند فیشینگ که به دست پلیس فتا دستگیر شد، گفت: ما گروه فیشینگ داشتیم و به یکدیگر کمک می‌کردیم. اما در هر فیشینگ همه سهم نمی‌بردیم. هرکدام به صورت تکی فعالیت می‌کردیم. پول فیشینگ نیز به جیب خود فرد می‌رفت اما در گروه، کمک همدیگر بودیم.

هک به روش اسنیف
هکر جوان درباره روش‌های دیگر هک کردن که استفاده می‌کرد، گفت: ما از روش اسنیف نیز استفاده می‌کردیم. این روش در اروپا بازدهی بالایی دارد. در ایران اما به صرفه نیست. به طور مثال اگر خانه شما در عسگرآباد است، از اینترنت عسگرآباد استفاده می‌کنید، اینترنت آن منطقه از فلان دکل تامین ‌می‌شود.
پس من می‌روم کنار دکل، هرزمان وارد صفحه بانکی‌تان شدید، اطلاعات خود را در سیستم وارد کردید، از طریق دکل تور پهن می‌کنم، در سر راه که دیتای شما منتقل می‌شود، با ابزار خاصی، اطلاعات حساب بانکی‌تان را دریافت کرده و حساب شما را خالی می‌کنم. دیتا از دکل اینترنت منتقل می‌شود و می‌توان از طریق دکل دزدی کرد. این روش دستگاه خاصی نیاز دارد که 400 دلار هزینه دارد.
این هکر کارت‌های بانکی و رمزهای پویای منتشر شده در شبکه‌های اجتماعی را تبلیغات بی‌اساس و پایه می‌داند.
او گفت: فیشینگ در ایران گدابازی است. در اروپا کمتر از یک سال می‌توان پول زیادی به جیب زد، اما در ایران هربار باید ایده جدیدی داشته باشیم چون طی کمتر از یک هفته همه هکرها از روی آن کپی کرده و همه همین روش را استفاده می‌کنند.
او پانزی فیشینگ را از دیگر روش‌هایی که استفاده می‌کرد، نامیده و می‌گوید: برای فیشینگ دو راه وجود دارد؛ یا باید روی طمع مردم دست گذاشت یا شهوت. پانزی طمع مردم را هدف می‌گیرد. انواع روش‌های مختلف هم دارد، گلدکوئست یا بورس داخلی و بین‌الملل از حوزه‌هایی است که می‌توان از طریق پانزی در آن سود کرد. انواع روش‌های بازایابی هرمی ‌در کلاهبرداری به روش پانزی مورد استفاده قرار می‌گیرند.این هکر جوان معتقد است بیشتر هکرها کمتر از 18 سال سن دارند.

هک یا امنیت سایبری؟
برای بررسی صحت و سقم اظهارات این هکر سراغ یک کارشناس امنیت سایبری رفتیم.
جواد دادگر به «عصر ارتباط» گفت: هک قانونی وجود ندارد بلکه علم و دانش مربوط به امنیت سایبری است که برخی آن را هک قانونی می‌نامند. به این صورت است که کارشناسان امنیت سایبری باگ‌های نرم‌افزار یا سایت مربوطه را پیدا کرده و برای رفت باگ، آن را به مدیر انفورماتیک اطلاع‌رسانی می‌کنند.
او افزود: به طور کلی هک بار منفی ندارد اما به صورت یک فعالیت غیرقانونی و سرقت در بین مردم شناخته شده است. در صورتی که کارکرد اصلی هک، یافتن نقاط ضعف امنیتی سازمان و گزارش آن به مسوولان مربوطه است. در گذشته به آن هکرهای کلاه سفید گفته می‌شد اما اکنون دیگر از این واژه استفاده نمی‌شود.
حال رویکرد برخی هکرها کمک و حفاظت از امنیت اطلاعات است، رویکرد برخی دیگر خرابکارانه و سرقت است.

هشدار کلاهبرداری با انتشار رمزپویا
دادگر در خصوص کارت‌های بانکی که در شبکه‌های اجتماعی به همراه رمزپویا منتشر می‌شود نیز گفت: معمولا افرادی که کارهای فیشینگ انجام می‌دهند، یکی از کارت‌هایی که از آن سرقت کرده‌اند در کانال‌های شبکه‌های اجتماعی منتشر می‌کنند. این امر می‌تواند تبدیل به یک مشکل سایبری شود. اگر از رمزپویا استفاده کرده و مبلغی از کارت خالی کرده یا روی لینک کلیک کنید، ممکن است سرقت از کارت مربوطه به گردن شما بیفتد.
او در خصوص دوره‌های آموزشی هکری در شبکه‌های اجتماعی گفت: هک نیز مانند دیگر حوزه‌های فناوری یک رشته علمی‌ است و آموزش‌های مختلفی در این زمینه وجود دارد. بسیار هم هیجان‌انگیز است و به همین خاطر بسیاری علاقه‌مند به یادگیری آن هستند.

ادعای پوچ هک شبکه‌های اجتماعی
این کارشناس امنیت سایبری در زمینه هک اینستاگرام و دیگر شبکه‌های اجتماعی گفت: ادعای توانایی هک اینستاگرام و دیگر شبکه‌های اجتماعی، ادعایی پوچ بوده و امکان‌پذیر نیست.
هکرها می‌توانند آسیب‌پذیری‌ها را پیدا کنند اما این به معنای هک کامل شبکه اجتماعی مربوطه نیست. باگ‌ها همواره به کارشناسان مربوطه گزارش شده و رفع می‌شوند. ممکن است حساب کاربری یک کاربر بر اثر سهل‌انگاری، در اختیار قرار دادن اطلاعات اکانت به افراد اشتباه یا باز کردن لینک‌های خطرناک، هک شود. در غیر این صورت هیچ راهی برای هک اکانت‌های کاربران وجود ندارد و انواع آموزش‌های هک شبکه‌های اجتماعی در واقع نوعی تبلیغات، بزرگنمایی و بازارگرمی برای فریب و کلاهبرداری از دیگران ‌است.