امنیت

رمز ارز

فناوری اطلاعات

June 9, 2024
17:55 یکشنبه، 20ام خردادماه 1403
کد خبر: 167642

خطر در کمین امنیت کاربران مینی‌اپ‌های جدید تلگرام

منبع: Zoomit

مینی‌اپ‌ جنجالی این روزهای تلگرام سودای پولدار شدن را به سر بعضی کاربران و ترس از به خطر افتادن امنیت را به جان عده دیگری انداخته است.

جمع کردن سکه با ضربه زدن روی صفحه گوشی نقشه گنج جدیدی است که به دست کاربران تلگرام افتاده با این امید که سکه‌های مجازی‌شان یک روز به ارز دیجیتال و پول واقعی تبدیل شود. بعد از پول شدنِ سکه‌های نات‌کوین بود که کاربران دیدند نابرده رنج هم گنج میسر می‌شود و آن‌ها که برای نات‌کوین Tap to Earn نکرده بودند احساس می‌کردند از قافله به‌دست‌آوردن پول بادآورده جا مانده‌اند. به همین دلیل است که مینی‌اپ‌ جدید نه فقط در ایران، بلکه در دنیا، پرطرفدار شده است.

همستر کامبت حالا که کمی بیشتر از دو ماه از لانچ شدنش می‌گذرد از مرز ۱۱۶ میلیون کاربر عبور کرده است که نشان می‌دهد کاربران در سراسر دنیا این بار تمایل ندارند از ماراتن جمع کردن سکه و بعد از آن، تبدیل سکه‌هایشان به ارز دیجیتال یا پول واقعی عقب بمانند.

همستر کامبت (Hamster Kombat) ستاره‌ای نوظهور در دنیای بازی‌های کریپتویی تلگرامی است که کاربران می‌توانند با فعالیت در آن، سکه‌های مجازی به‌دست آورند.

این که آیا این سکه‌های مجازی که با ضربه زدن روی تصویر یک همستر یا وارد کردن کدهای مورس و ساختن کمبوهای روزانه تعدادشان بالا می‌رود، قرار است بالاخره در صرافی‌ها لیست شود یا نه هنوز مشخص نیست. آن‌چه درباره این ابزارهای بازی‌گونه یک زنگ خطر مهم محسوب می‌شود احتمال به خطر افتادن امنیت، اطلاعات و دارایی‌های کاربران است.

حالا بعد از بالا گرفتن تب همستر کامبت در ایران، هشدارهای جدی درباره خطرات و پیامدهای منفی احتمالی این بازی از هر سو به گوش می‌رسد. مرکز ملی فضای مجازی اولین هشدار را داد؛ حسین دلیریان، سخنگوی این مرکز، در صفحه مجازی خود در شبکه اجتماعی ایکس (توییتر سابق) نوشت: در این چند روز در بسیاری از سوپرگروه‌ها بحث‌های بسیاری از کاربران ایرانی را خواندم، شیوه جدید ماین کردن ارز دیجیتال با استفاده از بازی‌ها به بستر مناسبی برای هکرها و سارقان تبدیل شده است. به‌عنوان سخنگوی مرکز ملی فضای مجازی می‌گویم، افرادی که در این بازی‌ها شرکت می‌کنند، مراقب اطلاعات و حساب‌های خود باشند.

سرهنگ رامین پاشایی، معاون فرهنگی اجتماعی پلیس فتا، هم امروز (نوزدهم خرداد) از پیگیری پلیس فتا درباره این همستر کامبت خبر داده و اعلام کرده است که این نهاد در حال ارزیابی تهدیدات و آسیب‌های این بازی است و نتیجه ارزیابی‌هایش را به‌زودی اعلام خواهد کرد.» این موضوع تا جایی اهمیت پیدا کرده که مراجع تقلید هم اعلام کرده‌اند که با توجه به ابهامات زیادی که این نوع ارزها دارند، معامله، سرمایه‌گذاری و درآمد حاصل از آن‌ها جایز نیست.»

کارشناسان هم چندان به بازی‌هایی که از مینی‌اپ‌های تلگرامی سربرآورده‌اند و در واقع، نسل جدیدتر و پیشرفته‌تر ربات‌های سنتی تلگرام هستند خوش‌بین نیستند. آن‌ها هم از منظر فنی و امنیتی به همستر کامبت و موارد مشابه آن مشکوک هستند و هم عاقبت خوشی برای مشارکت‌کنندگان در ماراتن Tap to Earn تصور نمی‌کنند.

آرین اقبال، مهندس نرم‌افزار و فعال حوزه اینترنت، می‌گوید: «یکی از جنبه‌های مربوط به مینی‌اپ‌های تلگرام، مثل نات کوین یا همستر کامبت، جنبه جامعه‌شناختی ماجراست که در آن موضوع FOMO یا ترس از دست دادن مطرح می‌شود که مردم ما به آن دچار هستند. تجربه نات کوین به اشتیاق مردم در مورد همستر کامبت دامن زده است و همه فکر می‌کنند اگر این کار را انجام ندهند از یک چیزی عقب می‌مانند و فرصتی را از دست می‌دهند.»

او معتقد است همین نگرانی باعث شده تعداد کاربران تلگرام و تازه جوین‌شده‌ها بیشتر شود و فارغ از کسانی که تا امروز با استفاده از VPN به تلگرام دسترسی داشتند، کسانی هم که پیش از این هم از تلگرام استفاده نمی‌کردند، VPN نصب کرده‌اند و این بازی را انجام می‌دهند.

سر و کله همستر کامبت از کجا پیدا شد؟
این کارشناس حوزه اینترنت می‌گوید ماجرای همستر کامبت بخشی از پروژه تلگرام برای ایجاد شبکه TON خود است و ادامه می‌دهد: «تلگرام در حال راه‌اندازی بستری است مبتنی بر ایده شبکه TON تلگرام. نسخه اول و دوم این شبکه شکست خورد و این نسخه سوم است که به نظر می‌رسد به‌خوبی در حال پیش رفتن است. اگر تلگرام بتواند این اکوسیستم را شکل بدهد به نفع فروشگاه‌های اینترنتی خواهد بود.»

شبکه جدیدی که این کارشناس درباره آن صحبت می‌کند متشکل از مینی‌اپ‌ها است؛ مینی‌اپ‌هایی که با ربات‌های سنتی تلگرام و قابلیت‌هایی که داشتند بسیار متفاوت است. یکی از جدی‌ترین تفاوت‌های مینی‌اپ‌ها با ربات‌های سنتی میزان امنیت آن‌هاست:

ربات‌های سنتی تلگرام ابزارهای امن‌تری برای کاربران بودند؛ یعنی اطلاعات کاربر از آن‌ها نشت نمی‌کرد اما امکانات کمی هم داشتند. با مینی‌اپ‌های جدید هرچند قابلیت‌ها و امکانات بیشتر شده اما سطح امنیت کاربر پایین آمده است.

میلاد نوری، کارشناس حوزه فناوری اطلاعات، هم در توضیحاتی که در صفحات شخصی خود منتشر کرده به نحوه کار این مینی‌اپ‌ها اشاره کرده و توضیح می‌دهد: «پیش از این ربات‌های تلگرامی به شیوه‌ای فعال می‌شدند که کاربر وقتی قصد اتصال به ربات را داشت درخواستش از سرورهای تلگرام عبور می‌کرد اما مینی‌اپ‌ها نحوه فعال‌سازی متفاوتی دارند و درخواست کاربر برای اتصال به آن‌ها به سرورهای تلگرام منتقل نمی‌شود.»

اقبال هم می‌گوید در ربات‌های سنتی، خود تلگرام با کاربر در ارتباط بود و فقط تلگرام مشخصات کاربر را می‌دانست و صاحب ربات به این مشخصات دسترسی نداشت؛ با مینی‌اپ‌ها اما صاحب مینی‌اپ می‌تواند IP کاربر را به دست بیاورد یا حتی با بعضی ترفندها، چه ترفندهای فنی چه ترفندهای مهندسی اجتماعی، می‌تواند اطلاعات بیشتری هم از کاربر دریافت کند.

این کارشناسان هم‌چنین توضیح می‌دهند که مینی‌اپ‌ها حتی این قابلیت را دارند که در زمان استفاده از VPN (که IP کاربر را تغییر می‌دهد) با درخواست از کاربر که VPN خود را قطع کند یا در صورت قطع شدن VPN حین کار با آن‌ها IP اصلی کاربر را شناسایی کرده و به آن دسترسی پیدا کنند. از مجموع این اطلاعات می‌توان داده‌های کلان (Big Data) جمع‌آوری کرد که می‎‌‌توان در کلاهبرداری‌ها یا برای انجام کارهای پیچیده‌تر از این اطلاعات استفاده کرد.

در مورد جمع‌آوری سکه‌‌ها نیز شاید عده‌ای از کاربران تمایل به استفاده از اپلیکیشن‌ها Autoclick داشته باشند تا این اپلیکیشن به جای‌شان روی گوشی ضربه بزند و سکه جمع کند. این موضوع هم بی‌خطر نیست و می‌تواند امنیت کاربران را تهدید کند. میلاد نوری در این خصوص می‌گوید: وقتی به این اپلیکیشن‌ها دسترسی Accessibility می‌دهید درست مثل این است که یک نفر کنار شما نشسته باشد و همه محتوای صفحه گوشی شما را می‌بیند و از طرف شما می‌تواند اکشن‌هایی را انجام دهد. اگر این اپلکیشن‌ها بخواهند از شما و گوشی‌تان سوء استفاده کنند، می‌توانند محتوای چت‌های شما رو بخوانند، رمز عبور شما را ببیند و بردارد، رمزهای کیف‌پول ارز دیجیتال شما را بخوانند، از اطلاعات شما اسکرین‌شات بگیرند و… .

مینی‌اپ‌ها و ایجاد فرصت مناسب برای کمپین‌های کلاهبرداری
البته این تنها مشکلی است که مینی‌اپ‌ها ایجاد می‌کنند، آن‌ها طبق الگوهایی کار می‌کنند که شفافیت لازم را ندارد و کاربر نمی‌تواند نسبت به صحت و اعتبارشان اطمینان پیدا کند. آرین اقبال در این خصوص می‌گوید:

اگر پیش از این برای رفتن از تلگرام به یک وب‌سایت فقط می‌شد لینک را به نمایش گذاشت حالا با این مینی‌اپ‌ها عملا کل وب‌سایت به کاربر نمایش داده می‌شود. در این حالت برخلاف گذشته که آدرس و لینک سایت وجود داشت و می‌توانستیم domain آن را داشته باشیم و پیگیری کنیم اما با این مینی‌اپ‌ها تنها چیزی که برای کاربر قابل مشاهده است تیک آبی تلگرام است (که فرایند دریافت آن چندان واضح نیست) و برای این که بتوانیم اعتبار یک مینی‌اپ را بسنجیم دیگر دسترسی به domain نداریم که آن را بررسی کنیم.

به اعتقاد این کارشناس، موضوع ناشناخته بودن و عدم امکان اطمینان پیدا کردن از معتبر بودن مینی‌اپ‌ها «خطر افتادن به دام کمپین‌های فیشینگ، کلاهبرداری و روش‌های دیگری که اطلاعات کاربر را می‌دزدند، افزایش می‌دهد.»

تمام این ناشناخته بودن‌ها باعث می‌شود همستر کامبت یا همه پروژه‌های مشابه آن شبیه به یک کمپین کلاهبرداری به نظر برسد یا دست‌کم فرصتی برای انجام اقدامات کلاهبردارانه فراهم کند. برای مثال این مهندس نرم‌افزار به تبلیغات اینفلوئنسرها یا صفحه‌هایی اشاره می‌کند که پکیج‌های مربوط به این بازی را می‌فروشند: «با توجه به این که بعضی اینفلوئنسرها هم این بازی را تبلیغ کرده‌اند و با در نظر داشتن این که اینفلوئنسرها بدون دریافت پول تبلیغ نمی‌کنند، به نظر من این موضوع هم می‌تواند بخشی از یک پروژه کلاهبرداری نه فقط از سمت سازندگان این بازی بلکه از سمت کلاهبردارانی باشد که از طریق فروختن بوستر، پکیج و این موارد مربوط به این بازی قصد خالی کردن جیب مردم و کلاهبرداری از آن‌ها را دارند.»

این یک بازی برد-برد نیست
ابهام این فضا به زعم کارشناسان تا حدی است که مشخص نیست این ابزارهای بازی‌گونه از نوع پروژه‌های تبلیغاتی است یا کلاهبرداری. کارشناسان می‎‌گویند تلگرام در تلاش است که با استفاده از این بازی‌ها شبکه TON خود را بین مردم جا بیندازد اما نمی‌دانیم عاقبت این بازی‌های رمزارزی چه می‌شود.

در واقع، این روزها کاربران در سراسر دنیا در حال مشارکت در موضوعی هستند که انتهایش را نمی‌دانند؛ کسی نمی‌داند در حال مشارکت در فاز اول یک کمپین کلاهبرداری است یا فقط یک بازی انجام می‌دهد یا در یک کمپین تبلیغاتی درگیر شده است. هیچ چیزی در مورد این بازی روشن نیست و حتی نمی‌دانیم این کوین توسط کدام کمپانی یا کدام فرد ساخته شده است.

اقبال این وضعیت را این طور تعریف می‌کند: «به نظرم همستر کامبت یک بیزینس خاکستری راه انداخته و در حال ماهی گرفتن از همین فضای خاکستری و مبهم است.»

او توصیه می‌کند افراد درگیر ماجرایی نشوند که نمی‌دانند دقیقا چیست و اعتقاد دارد افرادی که درگیر آن می‌شوند هم بهتر است به آن فقط به چشم یک بازی نگاه کنند چون «مساله این است که در انتهای ماجرای همستر کامبت قرار است اکثریت افراد مشارکت‌کننده ناامید شوند چون این بازی برد-برد نیست که همه از طریق آن به پول قابل توجهی برسند.»

البته این فعال حوزه اینترنت اعتقاد دارد ناامن بودن مینی‌اپ‌ها به این معنی نیست که هر کاربری از آن‌ها استفاده کند حتما آسیب امنیتی می‌بیند بلکه «به این معنی است که این ابزارها پتانسیل ناامنی بیشتری دارند، مخصوصا که مردم ما چندان هم با مفاهیم امنیت هم آشنا نیستند و راحت می‌شود فریب‌شان داد.»

اتفاقا او به اهمیت مینی‌اپ‌های تلگرام هم اشاره می‌کند و شکل‌گیری اکوسیستمی مبتنی بر این شبکه آن را فرصت بسیار خوبی برای فروشگاه‌های اینترنتی می‌داند: شکل‌گیری این شبکه برای فروشگاه‌های اینترنتی و کسب‌وکارها فرصت بسیار خوبی است که بتوانند کسب‌وکارشان را به تلگرام منتقل کنند چون می‌توانند همه قابلیت‌هایی که قبلا در UX وب‌سایت‌ها داشتند را در تلگرام پیاده‌سازی کنند و هم‌چنین، این امکان را دارند که از بستر شبکه TON تلگرام برای پرداخت از طریق ارز دیجیتال، تتر و… استفاده کنند.

مراقب کیف پول و دارایی‌های خود باشید
میلاد نوری، کارشناس حوزه فناوری اطلاعات، نیز در مورد بازی همستر کامبت نسبت به از دست رفتن دارایی کاربران هشدار داده و می‌گوید: «دسترسی به کیف‌پول رمزارز هم یکی از دسترسی‌هایی است که بعضی از ربات‌ها از کاربر درخواست می‌کنند یا بعضی دیگر از کاربر می‌خواهند از این کیف‌پول مبلغی را واریز کند. باید توجه داشت که بعضی از این ربات‌ها کلاهبردار یا Scammer هستند و با دسترسی پیدا کردن به کیف‌پول ممکن است از آن برداشت کنند.»

در همین راستا، انجمن بلاکچین هم در اطلاعیه‌ای به مواردی برای جلوگیری از به خطر افتادن دارایی کاربران اشاره کرده و مواردی را تذکر داده است: ۱- دقت کنید که سودآوری این پروژه‌ها تضمین شده نیست؛ ۲- دسترسی رمز عبور گوشی و گذرواژه‌ها و ۲۴ کلمه کیف پول را به هیچکس ندهید و توکن خود را در ولت خود (نه در صرافی) نگهداری کنید؛ ۳- این ایردراپ‌ها رایگان است، لزومی به هیچ پرداختی به کسی نیست؛ ۴- تنها به ربات‌هایی متصل شوید که ربات مرجع ایردراپ مربوطه است. ۵- توکن‌ها یا ایردراپ‌های خود را از طریق صرافی‌های مطمئن عضو خودتنظیم‌گری انجمن بلاکچین به فروش بگذارید و ۶- توکن‌های خود را به بهانه فروش، در اختیار افراد دیگر قرار ندهید.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.