جرائم ارتکابی مرتبط با پرداخت الکترونیکی به‌درستی شناسایی، جرم‌انگاری و تعیین کیفر نشده‌اند

راهکار چیست؟

نویسنده: تحریریه انتشار در 26 دی 1403

عصر تراکنش ۸۹؛ وحید صیامی، کارشناس صنعت بانکی و پرداخت / نگاه کلان:‌ حقوق خصوصی به قواعد حاکم بر روابط اشخاص می‌پردازد. حقوق عمومی روابط اشخاص با حکومت و نهادهای عمومی و روابط میان این نهادها با یکدیگر را مورد بررسی قرار می‌دهد. اراده حاکم بر چگونگی شکل‌گیری روابط در بین اشخاص، که موضوع حقوق خصوصی است، اراده اشخاص (طرفین) است، اما اراده حاکم بر چگونگی و شکل روابط میان اشخاص با حکومت و روابط درون حکومت و میان نهادهای عمومی، اراده عمومی است. همه اشخاص به پیروی از قواعد حقوق عمومی مکلف هستند. بنابراین، قوانین حاکم بر اراده اشخاص در روابط حقوق خصوصی نیز بخشی از حقوق عمومی است.

بعد از جنگ جهانی دوم، حکومت‌ها دخالت‌های خود در امور خصوصی را افزایش داده، قلمرو حقوق عمومی وسعت روزافزونی یافته، همه جنبه‌ها و شاخه‌های حقوق خصوصی تحت‌تاثیر قرار گرفت. در موارد متعددی ماهیت قواعد حقوق خصوصی، تغییر یافته و با قواعد حقوق عمومی درآمیخت. از آن جمله می‌توان به لزوم طی تشریفات ثبتی (موضوعی ذیل حقوق عمومی) در مورد عقد ازدواج و معامله املاک (موضوعات ذیل حوزه خصوصی) اشاره کرد.

حقوق عمومی شاخه‌های مختلفی دارد از جمله حقوق سیاسی، حقوق اساسی، حقوق کار، حقوق اداری و… . در فقه شیعی، سابقه پرداختن به مسائل فقه سیاسی وجود دارد که از آن جمله می‌توان به نظریه ولایت فقیه اشاره کرد. در مورد سایر رشته‌های حقوق عمومی، نظیر حقوق اداری، در فقه سابقه درخوری نمی‌توان یافت. در چنین مواردی که فقه مسکوت است، آنچه را توسط عرف عرضه می‌شود تأیید می‌کند و با امضای قواعد عرفی بدان مشروعیت می‌بخشد. ای کاش در ایران وضعیت به نحوی بود که می‌گفتند فقه در آن حوزه‌ها ورود نمی‌کند.

پیچیدگی مشخصه بارز تمام پدیدارهایی است که پیرامون ما را فرا گرفته‌اند. وجود فزاینده پیچیدگی احتمال شکل‌گیری قواعد عرفی و قوانین اداری و پروتکل‌های رفتاری ناکارآمد را افزایش می‌دهد. با وجود این، باز هم حکومت فقهی آن را امضا کرده و بدان مشروعیت می‌بخشد. این‌چنین است که ما با انبوهی از قوانین ناکارآمد و پرتناقض در حوزه روابط اداری میان دستگاه‌های دولتی، روابط میان دستگاه‌های اجرایی با اشخاص، حقوق و تکالیف متقابل دستگاه‌های اجرایی و نهادهای اجتماعی غیردولتی مواجه هستیم، که مشروعیت داشته و در جایگاه مقدس قانون نشسته‌اند.

قوانین و مقررات در این حوزه اغلب با یک سازوکار عقلایی (Reasonable) محافظه‌کارانه و با اعمال تغییراتی اندک در قوانین قبلی همین حوزه نوشته می‌شوند و در آنها از عقلانیت (Rational) خبری نیست، یعنی موضوعاتی نظیر اینکه آیا حقوق اشخاص به‌طور مطلوبی حفاظت و حمایت می‌شود؟ آیا مبارزه با جرائم به نحو مؤثری است؟ آیا نهاد حاکمیتی امورات خود را با کارآیی و اثربخشی انجام می‌دهد؟ آیا قانون باعث افزایش بهره‌وری می‌شود؟ چنین شیوه‌ای از اقدام باعث می‌شود که به مرور زمان حجم انبوهی از جزئیات و شاخه‌ها بدون اینکه به آنها پرداخته شود، رهاشده باقی بمانند.

مهندسی اجتماعی

مهندسی اجتماعی اصطلاحی است که برای طیف گسترده‌ای از فعالیت‌های مخرب که از طریق تعاملات انسانی انجام می‌شود، استفاده می‌شود.

ببینید: مهندسی اجتماعی؛ علم هک‌کردن انسان

روش‌های مهندسی اجتماعی مبنی بر دستکاری روان‌شناختی کاربران با هدف فریب ایشان است تا مرتکب خطاهای امنیتی شده یا اطلاعات حساس را ارائه کنند. حملات مهندسی اجتماعی اغلب در چند مرحله اتفاق می‌افتند:

Investigation: مرتکب ابتدا قربانی موردنظر را مورد بررسی قرار می‌دهد تا اطلاعات پس‌زمینه لازم، مانند نقاط ضعف بالقوه و سازوکارهای امنیتی ضعیف را که برای ادامه کار مورد نیاز هستند جمع‌آوری کند.

Hook: مهاجم برای جلب اعتماد قربانی اقدام می‌کند و کنترل تعامل با وی را به‌طور نامحسوسی در دست می‌گیرد.

Play: مهاجم حمله خود را اجرا می‌کند و اقداماتی که رویه‌های امنیتی را نقض می‌کنند، مانند افشای اطلاعات حساس یا اجازه دسترسی به منابع حیاتی صورت می‌پذیرد.

Exit: مهاجم تعاملات خود با قربانی را پایان می‌دهد، ردپای خود را پاک می‌کند، و از پیگیری‌های قربانی کسب اطلاع می‌کند. طیفی از فرار تا خاتمه دوستانه رابطه ممکن است به وقوع بپیوندد.

آنچه مهندسی اجتماعی را خطرناک می‌کند این است که به جای آسیب‌پذیری در سامانه‌ها، بر خطای انسانی تکیه دارد. اشتباهات مرتکب‌شده توسط افراد مجاز بسیار کمتر قابل پیش‌بینی است و شناسایی و خنثی‌کردن آنها سخت‌تر از نفوذ مبتنی بر بدافزارها و حملات امنیتی است.

تکنیک‌های حمله مهندسی اجتماعی

حملات مهندسی اجتماعی اشکال مختلفی دارند و می‌توانند در هر جایی که تعامل انسانی درگیر باشد، انجام شوند. در ادامه پنج مورد از رایج‌ترین اشکال حمله مهندسی اجتماعی دیجیتالی آورده شده است:

طعمه‌گذاری (Baiting): حملات طعمه‌گذاری از یک وعده دروغین برای تحریک حرص و طمع یا کنجکاوی قربانی استفاده می‌کنند. کاربران را به تله‌ای می‌کشانند که اطلاعات شخصی آنها را می‌دزدد یا سیستم‌های آنها را به بدافزار آلوده می‌کند. طعمه‌گذاری می‌تواند از طریق رسانه‌های فیزیکی مثلاً فلش آلوده یا به‌صورت برخط باشد، مثلاً تبلیغات فریبنده که به سایت‌های مخرب منتهی می‌شود یا کاربران را به دانلود برنامه‌های آلوده به بدافزار تشویق می‌کند.

ترس‌افزار (Scareware): ترس‌افزار عبارت است از بمباران قربانیان با هشدارهای نادرست و تهدیدهای ساختگی. کاربران فریب می‌خورند و فکر می‌کنند سیستم‌شان به بدافزار آلوده شده است و باعث می‌شود نرم‌افزاری را نصب کنند که بدافزار است. یک مثال رایج بنرهای بازشو با ظاهری موجه است که در مرورگر شما هنگام وب‌گردی ظاهر و متنی مانند «رایانه شما ممکن است به برنامه‌های جاسوس‌افزار آلوده شده باشد» را نمایش می‌دهد و پیشنهاد می‌کند که ابزاری برای مقابله با آن (آلوده به بدافزار) را برای شما نصب کند، یا شما را به یک سایت مخرب هدایت می‌کند. ترس‌افزارها همچنین از طریق ایمیل‌های هرزنامه توزیع می‌شوند.

بهانه دادن (Pretexting): روشی که طی آن مهاجم وانمود می‌کند به اطلاعات حساس قربانی نیاز دارد تا یک وظیفه مهم را انجام دهد و برای رسیدن به هدف، خواسته‌ خود را در قالب عبارات و جملاتی درتافته با دروغ‌های هوشمندانه بیان می‌دارد. مهاجم معمولاً با جعل هویت همکاران، پلیس، مقامات دولتی یا سایر افراد موجه، اعتماد قربانی را جلب می‌کند. مهاجم (بهانه‌جو) سؤالاتی ظاهراً برای تأیید هویت قربانی می‌پرسد که از طریق آنها اطلاعات شخصی مهمی را جمع‌آوری می‌کند، تا بعداً از آنها سوءاستفاده کند.

فیشینگ (Phishing): محبوب‌ترین نوع حملات مهندسی اجتماعی که با ایجاد حس فوریت، کنجکاوی یا ترس در قربانیان انجام می‌شود، فیشینگ است. سپس آنها را وادار می‌کند تا اطلاعات حساس را فاش کنند، روی پیوندهای وب‌سایت‌های مخرب کلیک کنند یا پیوست‌های حاوی بدافزار را باز کنند. مثال ایمیلی است که برای کاربران یک سرویس ارسال و به آنها هشدار می‌دهد که نیاز به اقدام فوری نظیر تغییر رمز عبور از سوی آنهاست؛ و حاوی پیوندی به یک وب‌سایت جعلی با ظاهری بسیار شبیه به نسخه قانونی است. اطلاعات حساس وارد‌شده برای سوءاستفاده جمع‌آوری می‌شود.

فیشینگ با نیزه (Spear Phishing): یک نسخه هدفمندتر از فیشینگ است که به موجب آن یک مهاجم افراد یا شرکت‌های خاصی را انتخاب می‌کند. سپس پیام‌های خود را بر اساس ویژگی‌ها، موقعیت‌های شغلی و تماس‌های متعلق به قربانیان خود تنظیم می‌کنند تا حمله کمتر آشکار شود. فیشینگ نیزه‌ای به تلاش بسیار بیشتری از طرف مهاجم نیاز دارد ولی تشخیص آن بسیار سخت‌تر است.

جرائم حوزه کارت

با کمال تاسف باید گفت که جرائم ارتکابی مرتبط با حوزه خدمات پرداخت الکترونیکی به‌درستی شناسایی، تفکیک، جرم‌انگاری و تعیین کیفر نشده‌اند. نخست آنکه عرفی که جای پای خود را در قوانین و مقررات و رویه‌های قضایی باز کرده است، قائل شدن محدوده‌ای از جرائم، تحت‌عنوان جرائم حوزه کارت است. به‌علاوه قواعد قضایی میان بانک، شرکت‌های پی‌اس‌پی، شرکت‌های لایه سوم صنعت پرداخت (پرداخت‌یار، درگاه واسط و…) تفکیک معناداری قائل نشده‌اند و همه‌جا صرفا صحبت از بانک است.

بی‌دقتی دیگری که مشاهده می‌شود، در تلقی ناقص از شبکه‌های رایانه‌ای غیراینترنتی است که این مهم اثرات جالبی بر جای گذاشته است؛ به‌عنوان مثال در صورت سرقت کارت و مشخصات کارت، چنانچه سارق از طریق اینترنت از کارت سوءاستفاده کند، جرم او کلاهبرداری رایانه‌ای است و چنانچه از عابربانک استفاده کند، جرم او سرقت است و این دو عقوبت‌های کاملا متفاوتی دارند. جالب آنکه اگر فردی فراموش کند کارت خود را از عابربانک بگیرد و نفر بعدی بلافاصله از کارت او برداشت کند، دیگر سرقت محسوب نشده، بلکه کلاهبرداری رایانه‌ای است.

حتی با وجود همین احصای غلط جرائم حوزه کارت، آرای صادره دادگاه‌ها نشان می‌دهد که رویه قضایی در موضوع مطابقت رفتار ارتکابی مجرم با جرائم ۱. سرقت ۲. کلاه‌برداری ۳. کلاه‌برداری یارانه‌ای ۴. تحصیل مال از طریق نامشروع، محل اختلاف بوده، باعث تشتت در رویه قضایی است.

راهکارها

پرداختن صحیح به جرائم رایانه‌ای و اجرای عدالت و دادگستری، مستلزم احصای اقدامات مهندسی اجتماعی دیجیتالی است. به‌علاوه نیازمند تفکیک دقیق سه حوزه زیر به همراه بازنگری در جرائم و مجازات‌هاست:

جرائم سنتی (سرقت و کلاهبرداری) همراه با استفاده از ابزارهای رایانه‌ای؛

جرائم رایانه‌ای (با مصادیق وارد کردن داده‌ها جهت پردازش در رایانه، محوکردن، حذف یا از بین بردن اطلاعات، ایجاد کردن اطلاعات، متوقف کردن یا ایجاد وقفه در جریان دسترسی به اطلاعات، مختل کردن غیرمجاز سیستم‌های رایانه‌ای؛ با هدف کسب منفعت برای مهاجم)؛

مهندسی اجتماعی (با هدف کسب منفعت برای مهاجم؛ این بخش با تکمیل و توسعه مفهوم کلاهبرداری رایانه‌ای تعریف می‌شود).

سخن آخر اینکه طی سال‌های گذشته، مدیریت جرائم رایانه‌ای در قوه قضائیه و پلیس بارها و بارها با شاپرک تعامل داشته و در پرونده‌های بی‌شماری نظر آنها را خواسته‌اند. این مهم که شاپرک به‌عنوان نماینده صنعت پرداخت، اگر اقدامی انجام داده است، به‌صورت موردی و حسب پرونده در دست بررسی بوده و هیچ‌گونه تلاشی برای شناسایی با ادبیات این حوزه و مطرح ساختن مقدمات و اصول حاکم بر نظام‌های پرداخت برای کارکنان پلیس و قوه قضا نداشته است، سطح بی‌سابقه‌ای از بی‌کفایتی و عدم شایستگی را نمایش می‌دهد.