هرگز شماره تماس خود را در پلتفرم شاد در اختیار افراد ناشناس قرار ندهید. هکرها با استفاده از مهندسی اجتماعی می‌توانند به‌طور غیرمجاز به حساب کاربریتان دسترسی پیدا کرده و با اطلاعاتی که از طریق مهندسی اجتماعی به دست آورده‌اند اطلاعات شخصی شما و حتی امنیت کودکان و دانش‌آموزانتان را به خطر بیندازند.

با بیشتر شدن کلاس‌های آنلاین در مدارس احتمال سواستفاده و کلاهبرداری افراد سودجو تحت عناوینی همچون به روز رسانی اپلیکیشن شاد و دیگر موارد در این پلتفرم بیش از گذشته مشاهده شده است.

علیرضا عبدالله‌نژاد مشاور مرکز فناوری اطلاعات وزارت آموزش و پرورش در این باره به پیوست گفت: آنچه در این موارد رخ داده، ناشی از مهندسی اجتماعی و فریب کاربران است و ارتباطی با نقص فنی در پلتفرم ندارد. روند سواستفاده معمولا از داخل خود پیام‌رسان آغاز می‌شود. اتفاقی که در تمام پلتفرم‌های داخلی و خارجی هم به همین شکل رخ می‌دهد. این نوع کلاهبرداری محدود به یک پلتفرم خاص نیست.

به این شکل که فردی با جعل هویت برای مثال با معرفی خود به‌عنوان پشتیبان شاد، معلم یا مدیر مدرسه در یک گروه یا گفت‌وگوی خصوصی از کاربر می‌خواهد شماره تلفن یا کد ورود خود را اعلام کند. در صورت ارائه شماره، مهاجم با وارد کردن آن در بخش ورود، کد تایید را که برای مالک اصلی ارسال می‌شود، از او مطالبه می‌کند. در صورت دریافت این کد، به حساب کاربر دسترسی پیدا می‌کند. اینجاست که با وارد شدن به اکانت فرد تمام اطلاعات مانند اینکه فرد دانش آموز، والد یا اعضای مدرسه است را کشف می‌کند.

عبدالله‌نژاد تأکید کرد ارائه این کد به هر فردی به‌منزله واگذاری کامل حساب کاربری است و کاربران باید با افزایش آگاهی خود در این زمینه به سواستفاده‌گران فرصت کلاهبرداری ندهند چون هیچ پشتیبانی رسمی، حتی از سوی خود شاد، کد ورود را از کاربر مطالبه نمی‌کند. کاربران باید از ارائه شماره تماس و ارسال کد تایید به افراد ناشناس خودداری کنند.

او در ادامه توضیحات خود به پیوست درباره این پرسش که چگونه فرد سواستفاده‌کننده تشخیص می‌دهد چه کسی معلم، مدیر یا دانش‌آموز است؟ توضیح داد: وقتی کسی با وارد شدن به اکانت فرد تمام اطلاعات مانند اینکه فرد دانش آموز، والد یا اعضای مدرسه است را کشف می‌کند، از ساختار گروه‌ها به نقش افراد پی‌ می‌برد. در گروه‌های کلاسی و مدرسه‌ای، نقش افراد (معلم، مدیر، دانش‌آموز یا اولیا) به‌صورت مشخص نمایش داده می‌شود و اعضا با ورود به گروه می‌توانند این نقش‌ها را مشاهده کنند. بنابراین فردی که با فریب و دریافت کد ورود، به حساب کاربری شخصی دسترسی پیدا کند، با ورود به گروه‌ها به‌راحتی متوجه می‌شود صاحب حساب چه جایگاهی دارد و در کدام گروه‌ها عضو است.

معاون فرهنگی و اجتماعی پلیس فتا فراجا نیز در گفت‌وگویی با صدا و سیما نسبت به ارائه اطلاعات پلتفرم‌ شاد به افراد ناشناس هشدار داد. او گفت: کلاهبرداران در تماس تلفنی خود را نماینده آموزش‌ و پرورش یا پشتیبانی شاد معرفی می‌کنند و کد احراز هویت پیامک‌شده به تلفن همراه مدیر یا معلم مدرسه را می‌خواهند. با دریافت این کد، حساب کاربری در اختیار مجرمان قرار می‌گیرد و بستر سوءاستفاده فراهم می‌شود.

جواد مختار رضایی با تاکید بر اینکه نهادهای رسمی هرگز کد ورود یا احراز هویت را از طریق تماس تلفنی دریافت نمی‌کنند، به کاربران توصیه می‌کند از کلیک روی لینک‌های ناشناس خودداری کنند و کدهای شخصی خود را به هیچ فردی ندهند.

بر همین اساس، اگر مهاجم به حساب یک ولی دانش‌آموز دسترسی پیدا کند، می‌تواند با همان هویت در گروه اولیا پیام ارسال کند؛ اگر حساب یک معلم در اختیار او قرار گیرد، امکان ارسال پیام در گروه دانش‌آموزان یا ارتباط با سایر همکاران را خواهد داشت. این دسترسی نه به‌دلیل افشای اطلاعات از سوی پلتفرم، بلکه به‌دلیل در اختیار گرفتن مستقیم حساب کاربری فرد رخ می‌دهد. نمایش نقش‌ها در گروه‌ها بخشی از کارکرد عادی و شفاف پلتفرم برای مدیریت کلاس‌هاست و تا زمانی که اطلاعات ورود (به‌ویژه کد تایید) در اختیار شخص دیگری قرار نگیرد، امکان سواستفاده وجود ندارد.

او همچنین تاکید کرد آگاهی کاربران نسبت به این موضوع که کد ورود محرمانه است و نباید در اختیار هیچ فردی با عنوان پشتیبان، معلم یا مدیرقرار گیرد مهم‌ترین راه پیشگیری از تکرار چنین مواردی است.

مهندسی اجتماعی چیست؟
مهندسی اجتماعی یکی از روش‌های حمله‌های امنیتی است که در آن از نقطه‌ضعف افراد برای سواستفاده و سرقت داده‌ها و دارایی‌های آنها استفاده می‌شود. حمله مهندسی اجتماعی بنا بر سبک زندگی افراد هر جامعه و کشور تغییر می‌کند. پایه مهندسی اجتماعی سواستفاده از اعتماد افراد است و هر قدر دانش و تجربه فرد در این زمینه بیشتر باشد تعداد قربانی‌ها کم می‌شود. بحث آموزش و فرهنگ‌سازی مهم‌ترین نکته‌ای است که این آسیب‌ها را کاهش می‌دهد.