خب رفقا امروز میخوام براتون یه داستان جنایی جذاب اما تکنولوژیک تعریف کنم درباره یه مدل کلاهبرداری که داره با سرعت رشد میکنه و هدفشم حسابهای کارگزاری (یعنی همون حسابهایی که مردم توش سهام یا ارز و این چیزا معامله میکنن) است. این روش رو بهش میگن “Ramp and dump” که بد نیست یه توضیح کوتاه هم بدم: در واقع از یه مدل قدیمیترش به اسم “Pump and dump” الهام گرفته؛ که توش کلاهبردارها میومدن یه سهام ارزون رو میخریدن، بعد کلی تبلیغ و جو هیجان تو شبکههای اجتماعی درست میکردن که ملت خوشبین بشن، قیمت سهام بره بالا، بعد خودشون سهامشون رو میفروختن و ملت عادی تو ضرر میموندن! خب کلاهشون رو برداشتن… اما حالا نسخه جدیدش فرق داره.
کلاهبردارهای این مدل جدید دیگه لازم نیست برن تو اینستاگرام یا بازار سر و صدا کنن. مستقیم وارد حساب کارگزاری ملت میشن، با اکانتهای هکی شده کلی سهام یه شرکت ناشناس چینی یا سهام آبباریک رو میخرن، قیمتو میبرن بالا، بعد همزمان همهشو میفروشن و باور کنین فقط خسارت میمونه واسه صاحب اصلی حساب و همون سهام بیارزش ته حسابش میمونه! جالب اینجاست که FBI آمریکا هم فوری وارد عمل شده و دنبال اطلاعات قربانیهاست تا تهتوتشو دربیاره (FBI همون پلیس فدرال معروفه).
یه بند جالب اینه که خیلی از این گروههای کلاهبرداره حتی دیگه مقاومتهای امنیتی توی بانکها یا پلتفرمها رو دور میزنن. چطوری؟ قبلاً با پیامک جعلی از طرف پست امریکا یا مثلا عوارض جادهای پیام میفرستن که مثلاً بدهی داری کلیک کن؛ بعد اطلاعات کارت رو میگیرن و ازت میخوان اون کد یکبار مصرفی که برات میاد رو هم بدی (کد یکبار مصرف همون رمزیه که برای تایید تراکنش برات SMS میاد). واقعیت اینه که با همون کد، کارت شما رو میفرستن روی یه «کیف پول موبایلی» روی دستگاه خودشون.
یعنی طرف کلکی میزنه، اطلاعات چندتا کارت رو روی یه موبایل سوار میکنه و بعد این گوشیها رو عمدهای میفروشه به بقیه کلاهبردارها که دیگه خودشون با اون گوشیها هر کلاهبرداری خرید اینترنتی و پرداخت NFC دلشون بخواد میکنن! کیف پول موبایلی همون امکانیه که مثلا توی Apple Pay یا Google Wallet داری کارتهات رو میریزی تو موبایلت و باهاش خرید میکنی.
تو چین یه جامعه خیلی فعال راه افتاده که تو تلگرام دارن همین بستههای فیشینگ حرفهای رو معامله میکنن. مثلاً یه نفر به اسم “Outsider” یا قبلاً “Chenlun” این کیتها رو میفروشه که ظاهرش شبیه سایت کارگزاری معروف ـ مثل Schwab یا Fidelity ـ و حتی SMS های رسمی هست و واقعا هر کی ببینه احتمالا گول میخوره. تو همین بستهها طرف قشنگ فیلم به مشتری نشون میده که سیستمش چطور کار میکنه! پیام میزنن که حساب شما بخاطر فعالیت مشکوک مسدود شده، لطفا وارد شید و اطلاعات بدید… همون داستان تکراری!
امنیت بعضیا اصلاً قابل اطمینان نیست. مثلاً خیلی از این پلتفرمها هنوز احراز هویت دو مرحلهایشون (یعنی همون رمز دوم هنگام ورود) رو با پیامک یا تماس تلفنی انجام میدن؛ که واقعاً آسون میشه فیشش کرد. البته بعضیها مثل Vanguard از «کلید امنیتی U2F» هم استفاده میکنن که حتی فیشینگ هم نمیتونه کاری کنه. U2F یعنی یه فلش یا بلوتوث که میزنی به لپتاپ یا گوشی، تا خودت تایید نکنی کسی وارد حسابت نمیشه!
جالبه بدونین این گروههای کلاهبردار فقط به دلیل پیشرفتهای هوش مصنوعی ـ مثلاً LLM که یعنی مدلهای زبانی بزرگ مثل همونهایی که الان GPT ساختن ـ سرعت رشد و توسعهشون خیلی بالا رفته. با این ابزارها فوری اینترفیس سیستم فیشینگ رو طراحی میکنن، ترجمه و بومیسازی محتوا و پیامک بلافاصله انجام میشه و خلاصه کار هر روز راحتتر میشه.
حتی تیم تحقیقاتی مثل Ford Merrill از شرکت SecAlliance نشون میده الان کلی آدم تو چین نشستن جلوی تعداد زیادی موبایل، و به صورت شیفتی پیام فیشینگ میفرستن. این کار همزمان با رشد باورنکردنی جامعهی تلگرامی فروشندههای کیتهای فیشینگ در حال انجامه.
کارگزاریها هم البته خیلی دوست ندارن ضرر کنن، خودشون سریع با خبرنامه و پیام به مشتریها اخطار میدن که کد یکبار مصرف رو به هیـچکس ندید ― حتی اگر SMS شبیه پیام رسمی باشه. Schwab خودش توضیح داده که همیشه روی این تهدیدها نظارت میکنن، ولی حقیقت اینه که اکثر روشهای فعلی احراز هویت، هنوز هم قابل فیشینگ هستن!
در نهایت این مدل کلاهبرداری چون بازیگرها رو از هم جدا و ردپاها رو کمرنگ میکنه، تقریباً یه “جرمِ بینقص” حساب میشه! چون طرف ممکنه سهام رو تو حساب خودش تو بورس چین بخره، قیمت بالا بره، هیچ کس هم متوجه نمیشه چه اتفاقی افتاده. حتی بعضی وقتها سواله که این حسابها رو از مدتها قبل هک میکنن یا شب عمل ازش استفاده میشه. نکته: اگر شما یه بار رمز موقت بدی، ممکنه همون لحظه باید وارد حسابت بشن، وگرنه دفعه بعد دیگه دسترسی نداره.
پس اگه کارگزاری داری، حواست باشه! هیچوقت رمز یکبار مصرف رو به کسی نده و حتما امنیت حساب رو با روشهای مقاومتر فعال کن. و به دوستات هم این داستان رو بگو که گیر این شگردها نیفتن! 😉
منبع: +
