امیر ناظمی، رئیس سازمان فناوری اطلاعات در ایران نوشت: فیشینگ، سایتها و صفحههای اینترنتی جعلی هستند که سعی میکنند از طریق فریب کاربران اطلاعات مربوط به نام کاربری یا گذرواژه (یا همان پسورد) یا اطلاعات مربوط به کارت بانکی را به دست میآورند. از این طریق کاربرانی که دارای اطلاعات و سواد دیجیتالی کمتر هستند، یا ابزارهای بهروز نشده استفاده میکنند، اطلاعات خود را افشا میکنند و این اطلاعات مورد سوء استفاده قرار میگیرند.
مثلاً ممکن است شما را برای خرید از یک صفحه اینستاگرامی، در زمان پرداخت به جای یک صفحه بانکی Shaparak به سمت یک صفحه تقریباً مشابه مانند Shaparaki (با یک i. اضافه) هدایت کنند و این صفحه نیز دقیقاً مشابه با سایتهای پرداخت اینترنتی طراحی شده باشد و شما بدون توجه به این تفاوت، اطلاعات کارت بانکی خود را وارد کنید. این اطلاعات ذخیره شده و بعد از آن، از حساب شما و بدون اطلاع شما برداشت انجام میشود. همچنین ممکن است یک اپ را شما روی موبایل خود نصب کنید و زمانی که به سمت صفحهای برای خرید یا افزایش شارژ راهنمایی میشوید، یک صفحه جعلی (یا همان فیشینگ) مقصد شما باشد. به این ترتیب اطلاعات کارت بانکی شما توسط کلاهبرداران ذخیره شود و سپس از کارت شما برداشتهای دیگری انجام شود.
گاهی میزان این برداشتها بشدت ناچیز است، اما دائمی است و به همین دلیل برای شما پیامک برداشت پول نیز ارسال نشود؛ چون برخی از بانکها تنها وقتی مبلغ بیش از حد تعیین شده باشد، پیامک ارسال میکنند و کمتر از آن حد را پیامکی ارسال نمیکنند. فرض کنید روزانه ۵۰۰ تومان از حساب شما و انبوهی از کاربران کسر شود؛ درست مانند سیاست ارزش افزوده که در آن هر روز مبلغ کمی کسر میشود. کافی است اپراتورها در یک پیامک میزان پول تجمعی برداشت شده از هر شهروند به دلیل ارزش افزوده را به اطلاع او برسانند تا متوجه شود که چه میزان پول از او به دست شرکتهای رسمی این حوزه واریز شده است؛ چه میزان پول و به حساب کدام شرکت البته برای شهروندان شفافتر خواهد بود.
برای مقابله با فیشینگ چند راهحل موازی باید مورد توجه قرار گیرد؛ مثلاً افزایش دانش کاربران برای توجه به نام صفحهها و عدم خرید از سایتها و صفحات غیرمعتبر گرفته تا توجه به علامت نماد الکترونیک یکی از مهمترین اقدامات است. به صورت موازی لازم است تا بانکها به صورت مداوم صفحات جعلی را شناسایی و پایش کنند. راهحلهای فنی مانند ابزارکهای نصبشده بر مرورگرها یا دیواره آتش یا ابزارهای شناسایی ایمیلهای اسپم نیز در این امر کاربردهایی کلیدی دارند.
فیشینگ البته یک کلاهبرداری و چالش جهانی است و تنها متعلق به ایران نیست. به همین دلیل نیز ابزارهایی جهانی در این خصوص طراحی شده است. اما توجه به آمار در این بخش قابل توجه خواهد بود. اگرچه مأموریت سازمان فناوری اطلاعات به صورت مستقیم شناسایی و مسدودسازی این صفحات نیست و این امر در حیطه وظایف پلیس فتا و بانکها است؛ اما بیشترین شناسایی و مسدودسازی را ما در سازمان فناوری اطلاعات و مرکز ماهر انجام دادهایم. در ۶ ماهه نخست ۸۵۷ سایت فیشینگ شناسایی و مسدودسازی شدهاند؛ یعنی روزانه بیش از ۵ صفحه جعلی توسط کلاهبرداران ایجاد میشود و باید به صورت مداوم این صفحات شناسایی و پس از آن مسدود شوند.
در مجموع کمتر از ۱۰ مورد (یعنی کمتر از یک درصد) از این موارد در شبکههای اجتماعی منعکس شده است و توسط کاربران به ما هشدار داده میشود و ۹۹ درصد دیگر را به صورت مداوم شناسایی و مسدود میکنیم. اما نکته قابل توجه آن است که ما در مرکز ماهر ۹۵ درصد از موارد شناسایی و مسدودسازی را از طریق همکاری بینالمللی با مراکز CERT دنیا انجام میدهیم. به صورت متقابل هم مراکز مشابه در کشورهای دیگر پس از شناسایی به ما اطلاع میدهند و هم ما این کار را برای آنها انجام میدهیم. مسدودسازی نیز بدون نیاز به فیلترینگ و بر پایه قواعد جهانی است و از مبدأ مسدود میشود.
به عبارت دیگر اگرچه شاید بسیاری ترجیح میدهند تا روز به روز بر کنترل بیشتر اینترنت مردم بیفزایند و این امر را به بهانه محافظت از مردم و صیانت از دادههای آنها انجام میدهند؛ واقعیت آن است که مقابله با چالشهای جهانی تنها بر اساس قواعد جهانی امکانپذیر است. همکاری بینالمللی نه تنها پایدارتر است، بلکه ریسک تعرض به حقوق مردم را نیز کاهش میدهد.
از سوی دیگر استفاده از سازوکارهای همکاری جهانی محافظت از حقوق هموطنان ایرانی خارج از کشور را نیز تضمین میکند. در عصر فناوری، به همان دلیلی که فناوری جهانی است؛ اتکا به شیوهها و قواعد جهانی نیز راه حل است! شاید گاهی باید این نگاه منفی به همکاری بینالمللی را کنار نهاد، تا بتوان منافع همکاری جهانی را نیز دید. در مورد چالشهای جهانی راهحلهای جهانی کارآمدتر از کنترل شدید بر کاربری مردم است که گاهی پشت سر واژههای درستی مانند شبکه ملی اطلاعات پنهان میشوند. شبکه ملی اطلاعات ضروری و مهم است، اما حداقل این را خوب میدانیم که کاربردش مقابله با فیشینگ نیست! همین ادعاهاست که من و شاید بسیاری دیگر را نسبت به سایر ادعاها نیز بدبین میکند! در مورد شبکه ملی اطلاعات و ضرورتهایش البته در ویرگول و با عنوان «از «شبکه ملی اطلاعات» که حرف میزنیم از چه حرف میزنیم؟!» نوشتهام.