خطر در کمین امنیت کاربران مینیاپهای جدید تلگرام
مینیاپ جنجالی این روزهای تلگرام سودای پولدار شدن را به سر بعضی کاربران و ترس از به خطر افتادن امنیت را به جان عده دیگری انداخته است.
جمع کردن سکه با ضربه زدن روی صفحه گوشی نقشه گنج جدیدی است که به دست کاربران تلگرام افتاده با این امید که سکههای مجازیشان یک روز به ارز دیجیتال و پول واقعی تبدیل شود. بعد از پول شدنِ سکههای ناتکوین بود که کاربران دیدند نابرده رنج هم گنج میسر میشود و آنها که برای ناتکوین Tap to Earn نکرده بودند احساس میکردند از قافله بهدستآوردن پول بادآورده جا ماندهاند. به همین دلیل است که مینیاپ جدید نه فقط در ایران، بلکه در دنیا، پرطرفدار شده است.
همستر کامبت حالا که کمی بیشتر از دو ماه از لانچ شدنش میگذرد از مرز ۱۱۶ میلیون کاربر عبور کرده است که نشان میدهد کاربران در سراسر دنیا این بار تمایل ندارند از ماراتن جمع کردن سکه و بعد از آن، تبدیل سکههایشان به ارز دیجیتال یا پول واقعی عقب بمانند.
همستر کامبت (Hamster Kombat) ستارهای نوظهور در دنیای بازیهای کریپتویی تلگرامی است که کاربران میتوانند با فعالیت در آن، سکههای مجازی بهدست آورند.
این که آیا این سکههای مجازی که با ضربه زدن روی تصویر یک همستر یا وارد کردن کدهای مورس و ساختن کمبوهای روزانه تعدادشان بالا میرود، قرار است بالاخره در صرافیها لیست شود یا نه هنوز مشخص نیست. آنچه درباره این ابزارهای بازیگونه یک زنگ خطر مهم محسوب میشود احتمال به خطر افتادن امنیت، اطلاعات و داراییهای کاربران است.
حالا بعد از بالا گرفتن تب همستر کامبت در ایران، هشدارهای جدی درباره خطرات و پیامدهای منفی احتمالی این بازی از هر سو به گوش میرسد. مرکز ملی فضای مجازی اولین هشدار را داد؛ حسین دلیریان، سخنگوی این مرکز، در صفحه مجازی خود در شبکه اجتماعی ایکس (توییتر سابق) نوشت: در این چند روز در بسیاری از سوپرگروهها بحثهای بسیاری از کاربران ایرانی را خواندم، شیوه جدید ماین کردن ارز دیجیتال با استفاده از بازیها به بستر مناسبی برای هکرها و سارقان تبدیل شده است. بهعنوان سخنگوی مرکز ملی فضای مجازی میگویم، افرادی که در این بازیها شرکت میکنند، مراقب اطلاعات و حسابهای خود باشند.
سرهنگ رامین پاشایی، معاون فرهنگی اجتماعی پلیس فتا، هم امروز (نوزدهم خرداد) از پیگیری پلیس فتا درباره این همستر کامبت خبر داده و اعلام کرده است که این نهاد در حال ارزیابی تهدیدات و آسیبهای این بازی است و نتیجه ارزیابیهایش را بهزودی اعلام خواهد کرد.» این موضوع تا جایی اهمیت پیدا کرده که مراجع تقلید هم اعلام کردهاند که با توجه به ابهامات زیادی که این نوع ارزها دارند، معامله، سرمایهگذاری و درآمد حاصل از آنها جایز نیست.»
کارشناسان هم چندان به بازیهایی که از مینیاپهای تلگرامی سربرآوردهاند و در واقع، نسل جدیدتر و پیشرفتهتر رباتهای سنتی تلگرام هستند خوشبین نیستند. آنها هم از منظر فنی و امنیتی به همستر کامبت و موارد مشابه آن مشکوک هستند و هم عاقبت خوشی برای مشارکتکنندگان در ماراتن Tap to Earn تصور نمیکنند.
آرین اقبال، مهندس نرمافزار و فعال حوزه اینترنت، میگوید: «یکی از جنبههای مربوط به مینیاپهای تلگرام، مثل نات کوین یا همستر کامبت، جنبه جامعهشناختی ماجراست که در آن موضوع FOMO یا ترس از دست دادن مطرح میشود که مردم ما به آن دچار هستند. تجربه نات کوین به اشتیاق مردم در مورد همستر کامبت دامن زده است و همه فکر میکنند اگر این کار را انجام ندهند از یک چیزی عقب میمانند و فرصتی را از دست میدهند.»
او معتقد است همین نگرانی باعث شده تعداد کاربران تلگرام و تازه جوینشدهها بیشتر شود و فارغ از کسانی که تا امروز با استفاده از VPN به تلگرام دسترسی داشتند، کسانی هم که پیش از این هم از تلگرام استفاده نمیکردند، VPN نصب کردهاند و این بازی را انجام میدهند.
سر و کله همستر کامبت از کجا پیدا شد؟
این کارشناس حوزه اینترنت میگوید ماجرای همستر کامبت بخشی از پروژه تلگرام برای ایجاد شبکه TON خود است و ادامه میدهد: «تلگرام در حال راهاندازی بستری است مبتنی بر ایده شبکه TON تلگرام. نسخه اول و دوم این شبکه شکست خورد و این نسخه سوم است که به نظر میرسد بهخوبی در حال پیش رفتن است. اگر تلگرام بتواند این اکوسیستم را شکل بدهد به نفع فروشگاههای اینترنتی خواهد بود.»
شبکه جدیدی که این کارشناس درباره آن صحبت میکند متشکل از مینیاپها است؛ مینیاپهایی که با رباتهای سنتی تلگرام و قابلیتهایی که داشتند بسیار متفاوت است. یکی از جدیترین تفاوتهای مینیاپها با رباتهای سنتی میزان امنیت آنهاست:
رباتهای سنتی تلگرام ابزارهای امنتری برای کاربران بودند؛ یعنی اطلاعات کاربر از آنها نشت نمیکرد اما امکانات کمی هم داشتند. با مینیاپهای جدید هرچند قابلیتها و امکانات بیشتر شده اما سطح امنیت کاربر پایین آمده است.
میلاد نوری، کارشناس حوزه فناوری اطلاعات، هم در توضیحاتی که در صفحات شخصی خود منتشر کرده به نحوه کار این مینیاپها اشاره کرده و توضیح میدهد: «پیش از این رباتهای تلگرامی به شیوهای فعال میشدند که کاربر وقتی قصد اتصال به ربات را داشت درخواستش از سرورهای تلگرام عبور میکرد اما مینیاپها نحوه فعالسازی متفاوتی دارند و درخواست کاربر برای اتصال به آنها به سرورهای تلگرام منتقل نمیشود.»
اقبال هم میگوید در رباتهای سنتی، خود تلگرام با کاربر در ارتباط بود و فقط تلگرام مشخصات کاربر را میدانست و صاحب ربات به این مشخصات دسترسی نداشت؛ با مینیاپها اما صاحب مینیاپ میتواند IP کاربر را به دست بیاورد یا حتی با بعضی ترفندها، چه ترفندهای فنی چه ترفندهای مهندسی اجتماعی، میتواند اطلاعات بیشتری هم از کاربر دریافت کند.
این کارشناسان همچنین توضیح میدهند که مینیاپها حتی این قابلیت را دارند که در زمان استفاده از VPN (که IP کاربر را تغییر میدهد) با درخواست از کاربر که VPN خود را قطع کند یا در صورت قطع شدن VPN حین کار با آنها IP اصلی کاربر را شناسایی کرده و به آن دسترسی پیدا کنند. از مجموع این اطلاعات میتوان دادههای کلان (Big Data) جمعآوری کرد که میتوان در کلاهبرداریها یا برای انجام کارهای پیچیدهتر از این اطلاعات استفاده کرد.
در مورد جمعآوری سکهها نیز شاید عدهای از کاربران تمایل به استفاده از اپلیکیشنها Autoclick داشته باشند تا این اپلیکیشن به جایشان روی گوشی ضربه بزند و سکه جمع کند. این موضوع هم بیخطر نیست و میتواند امنیت کاربران را تهدید کند. میلاد نوری در این خصوص میگوید: وقتی به این اپلیکیشنها دسترسی Accessibility میدهید درست مثل این است که یک نفر کنار شما نشسته باشد و همه محتوای صفحه گوشی شما را میبیند و از طرف شما میتواند اکشنهایی را انجام دهد. اگر این اپلکیشنها بخواهند از شما و گوشیتان سوء استفاده کنند، میتوانند محتوای چتهای شما رو بخوانند، رمز عبور شما را ببیند و بردارد، رمزهای کیفپول ارز دیجیتال شما را بخوانند، از اطلاعات شما اسکرینشات بگیرند و… .
مینیاپها و ایجاد فرصت مناسب برای کمپینهای کلاهبرداری
البته این تنها مشکلی است که مینیاپها ایجاد میکنند، آنها طبق الگوهایی کار میکنند که شفافیت لازم را ندارد و کاربر نمیتواند نسبت به صحت و اعتبارشان اطمینان پیدا کند. آرین اقبال در این خصوص میگوید:
اگر پیش از این برای رفتن از تلگرام به یک وبسایت فقط میشد لینک را به نمایش گذاشت حالا با این مینیاپها عملا کل وبسایت به کاربر نمایش داده میشود. در این حالت برخلاف گذشته که آدرس و لینک سایت وجود داشت و میتوانستیم domain آن را داشته باشیم و پیگیری کنیم اما با این مینیاپها تنها چیزی که برای کاربر قابل مشاهده است تیک آبی تلگرام است (که فرایند دریافت آن چندان واضح نیست) و برای این که بتوانیم اعتبار یک مینیاپ را بسنجیم دیگر دسترسی به domain نداریم که آن را بررسی کنیم.
به اعتقاد این کارشناس، موضوع ناشناخته بودن و عدم امکان اطمینان پیدا کردن از معتبر بودن مینیاپها «خطر افتادن به دام کمپینهای فیشینگ، کلاهبرداری و روشهای دیگری که اطلاعات کاربر را میدزدند، افزایش میدهد.»
تمام این ناشناخته بودنها باعث میشود همستر کامبت یا همه پروژههای مشابه آن شبیه به یک کمپین کلاهبرداری به نظر برسد یا دستکم فرصتی برای انجام اقدامات کلاهبردارانه فراهم کند. برای مثال این مهندس نرمافزار به تبلیغات اینفلوئنسرها یا صفحههایی اشاره میکند که پکیجهای مربوط به این بازی را میفروشند: «با توجه به این که بعضی اینفلوئنسرها هم این بازی را تبلیغ کردهاند و با در نظر داشتن این که اینفلوئنسرها بدون دریافت پول تبلیغ نمیکنند، به نظر من این موضوع هم میتواند بخشی از یک پروژه کلاهبرداری نه فقط از سمت سازندگان این بازی بلکه از سمت کلاهبردارانی باشد که از طریق فروختن بوستر، پکیج و این موارد مربوط به این بازی قصد خالی کردن جیب مردم و کلاهبرداری از آنها را دارند.»
این یک بازی برد-برد نیست
ابهام این فضا به زعم کارشناسان تا حدی است که مشخص نیست این ابزارهای بازیگونه از نوع پروژههای تبلیغاتی است یا کلاهبرداری. کارشناسان میگویند تلگرام در تلاش است که با استفاده از این بازیها شبکه TON خود را بین مردم جا بیندازد اما نمیدانیم عاقبت این بازیهای رمزارزی چه میشود.
در واقع، این روزها کاربران در سراسر دنیا در حال مشارکت در موضوعی هستند که انتهایش را نمیدانند؛ کسی نمیداند در حال مشارکت در فاز اول یک کمپین کلاهبرداری است یا فقط یک بازی انجام میدهد یا در یک کمپین تبلیغاتی درگیر شده است. هیچ چیزی در مورد این بازی روشن نیست و حتی نمیدانیم این کوین توسط کدام کمپانی یا کدام فرد ساخته شده است.
اقبال این وضعیت را این طور تعریف میکند: «به نظرم همستر کامبت یک بیزینس خاکستری راه انداخته و در حال ماهی گرفتن از همین فضای خاکستری و مبهم است.»
او توصیه میکند افراد درگیر ماجرایی نشوند که نمیدانند دقیقا چیست و اعتقاد دارد افرادی که درگیر آن میشوند هم بهتر است به آن فقط به چشم یک بازی نگاه کنند چون «مساله این است که در انتهای ماجرای همستر کامبت قرار است اکثریت افراد مشارکتکننده ناامید شوند چون این بازی برد-برد نیست که همه از طریق آن به پول قابل توجهی برسند.»
البته این فعال حوزه اینترنت اعتقاد دارد ناامن بودن مینیاپها به این معنی نیست که هر کاربری از آنها استفاده کند حتما آسیب امنیتی میبیند بلکه «به این معنی است که این ابزارها پتانسیل ناامنی بیشتری دارند، مخصوصا که مردم ما چندان هم با مفاهیم امنیت هم آشنا نیستند و راحت میشود فریبشان داد.»
اتفاقا او به اهمیت مینیاپهای تلگرام هم اشاره میکند و شکلگیری اکوسیستمی مبتنی بر این شبکه آن را فرصت بسیار خوبی برای فروشگاههای اینترنتی میداند: شکلگیری این شبکه برای فروشگاههای اینترنتی و کسبوکارها فرصت بسیار خوبی است که بتوانند کسبوکارشان را به تلگرام منتقل کنند چون میتوانند همه قابلیتهایی که قبلا در UX وبسایتها داشتند را در تلگرام پیادهسازی کنند و همچنین، این امکان را دارند که از بستر شبکه TON تلگرام برای پرداخت از طریق ارز دیجیتال، تتر و… استفاده کنند.
مراقب کیف پول و داراییهای خود باشید
میلاد نوری، کارشناس حوزه فناوری اطلاعات، نیز در مورد بازی همستر کامبت نسبت به از دست رفتن دارایی کاربران هشدار داده و میگوید: «دسترسی به کیفپول رمزارز هم یکی از دسترسیهایی است که بعضی از رباتها از کاربر درخواست میکنند یا بعضی دیگر از کاربر میخواهند از این کیفپول مبلغی را واریز کند. باید توجه داشت که بعضی از این رباتها کلاهبردار یا Scammer هستند و با دسترسی پیدا کردن به کیفپول ممکن است از آن برداشت کنند.»
در همین راستا، انجمن بلاکچین هم در اطلاعیهای به مواردی برای جلوگیری از به خطر افتادن دارایی کاربران اشاره کرده و مواردی را تذکر داده است: ۱- دقت کنید که سودآوری این پروژهها تضمین شده نیست؛ ۲- دسترسی رمز عبور گوشی و گذرواژهها و ۲۴ کلمه کیف پول را به هیچکس ندهید و توکن خود را در ولت خود (نه در صرافی) نگهداری کنید؛ ۳- این ایردراپها رایگان است، لزومی به هیچ پرداختی به کسی نیست؛ ۴- تنها به رباتهایی متصل شوید که ربات مرجع ایردراپ مربوطه است. ۵- توکنها یا ایردراپهای خود را از طریق صرافیهای مطمئن عضو خودتنظیمگری انجمن بلاکچین به فروش بگذارید و ۶- توکنهای خود را به بهانه فروش، در اختیار افراد دیگر قرار ندهید.