روش‌های جلوگیری از کلاهبرداری در تلگرام

به‌تازگی تلگرام به عنوان یک برنامه‌ی پیام‌رسان سریع بین‌پلتفرمی، شاهد سیل سرقت‌های حساب‌های کاربران از طریق راه‌های غیرقانونی بوده است و هکرها از حساب‌های سرقتی برای کلاهبرداری استفاده کرده‌اند.

در پاسخ به سرقت‌های اخیر حساب‌های تلگرام، بخش تحقیقات امنیتی Beosin، سناریوهای رایج کلاهبرداری‌های تلگرام را فهرست کرده و راهنمایی‌هایی را در مورد نحوه جلوگیری از آن‌ها به اشتراک گذاشته است.

در این روش کلاهبرداری، هکر تظاهر می‌کند که از دوستان شما است و بنا به هر دلیلی سعی می‌کند از فهرست چت‌های شما اسکرین‌شایت دریافت کند. در واقع، شاید اصلاً خطرناک به‌نظر نرسد؛ اما در همان لحظه هکر در حال تلاش برای ورود به حساب تلگرام شما است.

بنابراین، وقتی اسکرین‌شات می‌گیرید، ممکن است کد ورود (Login Code) به حساب کاربری نیز در فهرست چت قابل رؤیت باشد و پس‌ از ارسال اسکرین شات، هکر با استفاده از آن وارد حساب کاربری شما شود. البته، موفقیت در اجرای این سناریو به عوامل زیادی بستگی دارد.

۱- زمانی که شماره تلفن حساب تلگرام قربانی در دسترس هکر باشد: اگر شماره تلفن شما در پروفایل حساب تلگرام قابل نمایش به همه باشد، هکر می‌تواند به‌راحتی آن را ذخیره کند یا در سناریویی پیچیده‌تر با ورود به حساب دوستان و مخاطبان قربانی، شماره‌ی قربانی را نیز به‌دست آورد.

۲- کلاهبرداران شاید به قربانی بگویند حساب کاربری‌شان مشکلی دارد و تظاهر می‌کنند که اسکرین‌شات را ندیده‌اند و در همین حین تلاش می‌کنند با شماره شما و کد ورودی که ازطریق اسکرین‌شات ارسال کرده‌اید، وارد حساب کاربری شما شوند.

برای مثال، به تصویر زیر دقت کنید. در فهرست چت‌ها دو حساب کاملاً مشابه وجود دارد. درواقع، وقتی با یکی از مخاطبان، چت رمزنگاری‌شده (Secret Chat) آغاز کنید، دو چت مشابه در فهرست چت‌ها ایجاد می‌شود که در چت رمزنگاری‌شده، آیکون قفل قبل از اسم مخاطب به‌نمایش درمی‌آید.

هکر با سوءاستفاده از ناآگاهی برخی افراد و با تظاهر به اینکه از دوستان آن‌ها است تلاش می‌کند تا قربانی را متقاعد کند از طرف تلگرام محدود شده است و برای بازیابی دسترسی به حساب کاربری خود و بازکردن قفل چت، باید یکی از مخاطبان او کد تأیید را برایش ارسال کنند تا قفل حساب را باز کند.

۳- پس‌ از موفقیت در این مرحله و ورود به حساب قربانی، مجدداُ روند کلاهبرداری را از سر می‌گیرد.

زمانی که قربانی به‌طور ناآگاهانه اسکرین‌شات همراه کد ورود را به کلاهبردار ارسال کند، اگر احراز هویت دومرحله‌ای روی حساب کاربری تلگرام فعال نشده باشد، می‌تواند به‌راحتی و با کد ورود، وارد حساب کاربری شود.

سپس، در قدم اول تمام دستگاه‌های شما را از بخش نشست‌های فعال (Active Sessions) حذف می‌کند و با گول‌زدن افراد دیگر در فهرست مخاطبان قربانی مسیر سرقت حساب کاربری را ادامه می‌دهد.

هکر با جعل حساب اصلی تلگرام با تیک آبی و جزئیات دیگر، پیامی به قربانی ارسال می‌کند مبنی‌بر اینکه حساب کاربری شما قوانین تلگرام را زیرپا گذاشته است و به‌همین دلیل محدود خواهد شد و پیشنهاد می‌کند برا اطلاع از محدودیت و راه‌های حذف آن روی لینکی کلیک کند.

اگر قربانی روی آن لینک فیشینگ کلیک کند، به احتمال زیاد حساب کاربری خود را در معرض خطر قرار خواهد داد.

با توجه به اینکه هیچ بسته نصبی به زبان چینی وجود ندارد، عده‌ی زیادی از کاربران چینی تلگرام برای پیداکردن نسخه‌ای با زبان چینی در اینترنت جست‌وجو می‌کنند. بنابراین، هکرها از این فرصت سوءاستفاده کردند و با کمک ترفندهای بهینه‌سازی، این دسته از کاربران را به سمت دانلود و نصب اپلیکیشن‌های آلوده شبیه به تلگرام هدایت می‌کنند.

وقتی کاربر تلگرام آلوده به بک‌دور (Backdoor) را نصب کند، چت‌های او اسکن و بررسی می‌شوند و اگر در چت‌های او آدرس کیف پول رمزارز پیدا شود، آدرس کیف پول کلاهبردار جایگزین آن خواهد شد و تمام مبالغ دریافتی قربانی به حساب هکر واریز می‌شوند.

برای مثال، در یک مورد کاربری نسخه‌ی چینی تلگرام را از آدرس Telegram-china.org دانلود کرده (در حال حاضر این وب‌سایت دردسترس نیست) و آدرس trx خود را برای فردی ارسال کرده بود.

آدرس حساب او در اصل TNpEa9PoqWsoPcTdTqUUdrYJbqhVLoSVFh بود که پس‌ از باز کردن مجدد اپلیکیشن غیررسمی تلگرام آدرس قربانی به آدرس دیگری تغییر کرده بود.

از این گذشته، استفاده از اپلیکیشن‌های غیررسمی می‌تواند موجب افشای اطلاعات شخصی و شماره تلفن مرتبط با حساب کاربری شود.

برای مثال، چند سال پیش به‌دلیل استفاده برخی از افراد از تلگرام‌های غیررسمی، اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام افشا شد. این اطلاعات شامل ID حساب‌ها و شماره تلفن و نام کاربری و نام حساب می‌شود و هرکسی با داشتن ID حساب کاربری به راحتی می‌تواند با شماره تلفن مرتبط با حساب کاربری فرد را پیدا کند.

درواقع، شماره ID، نوعی شماره شناسایی منحصربه‌فرد است که برای هر حساب کاربری تولید می‌شود و مهم نیست چند بار نام و نام‌کاربری تغییر کند، شماره ID همچنان ثابت خواهد ماند. تنها راه تغییر شماره ID حذف حساب تلگرام و ساخت حساب تلگرام جدید است.

در موردی مشابه، بسته‌های آلوده زبان چینی تلگرام توسعه داده شدند. یک کانال تلگرامی جعلی برای توسعه تلگرام به زبان چینی راه‌اندازی شده بود که به‌طور موازی با کانال رسمی توسعه تلگرام چینی کار می‌کرد.

البته، کانال اصلی نیز با آدرس t.me/zh_CN مدتی است به دلیل کمبود توسعه‌دهنده به‌روز نمی‌شود. در هر حال، زمانی که مشخص شد بسته زبان چینی ارائه‌شده توسط کانال جعلی دارای بک‌دور است حدود ۸۰۰ هزار عضو داشت؛ اما آمار دقیقی از حساب‌های آلوده‌شده در دسترس نیست.

تیم امنیتی Beosin فایل پکیج زبان را بررسی کردند و متوجه شدند که این بسته، نرم‌افزارهای امنیتی را دور می‌زند و با تشخیص حرکت موس، از تجزیه و تحلیل سندباکس نیز اجتناب می‌کند.

محققان امنیتی سازمان‌های جنایی را کشف کرده‌اند که با استفاده از ربات‌های تلگرام توکن‌های OTP کاربران و پیامک‌های کدهای احراز هویت برای تأیید دو مرحله‌ای را سرقت می‌کنند. مهاجمان با استفاده از ربات تلگرام به اطلاعات حساب کاربری دسترسی پیدا می‌کنند و به آن‌ها تماس می‌گیرند و خود را به‌عنوان بانک یا سایر سازمان‌های قانونی جا می‌زنند.

علاوه‌براین، هکرها با استفاده از مهندسی اجتماعی، قربانیان خود را متقاعد می‌کنند که کد احراز هویت دو مرحله‌ای یا OTP خود را دراختیار آن‌ها قرار دهند. سپس، کلاهبرداران از کدها برای سرقت پول، رمز‌های عبور، کوکی‌های نشست، اطلاعات ورود به حساب و جزئیات کارت اعتباری استفاده می‌کنند.

برخی کلاهبردارن وانمود می‌کنند که در حوزه رمزارز تخصص دارند و به قربانی وعده سوددهی بالا می‌دهند. ممکن است این کلاهبرداران ازطریق توییتر یا تلگرام با قربانی ارتباط برقرار کنند و با ادعای سوددهی بالا به او پیشنهاد سرمایه‌گذاری ارائه کنند.

اگر قربانی متقاعد شود و گول ترفندهای کلامی آن‌ها را بخورد، کلاهبردار از او می‌خواهد در یک صرافی مشخص حساب باز کند و گهگاهی به قربانی نمودارهای جعلی افزایش سرمایه را نشان می‌دهد تا زمانی که قربانی بخواهد سرمایه خود را برداشت کند. در این لحظه، کلاهبردار با پول‌ها و سرمایه قربانی ناپدید خواهد شد.

با این همه اما، نکاتی وجود دارد که با رعایت آن‌ها می‌توان تا حد بسیار زیادی از افتادن در دام کلاهبرداری جلوگیری کرد و امنیت حساب کاربری خود را در تلگرام حفظ کرد.

فعال‌سازی تأیید دو مرحله‌ای

برای افزایش امنیت حساب کاربری تلگرام، حتماً احراز هویت دو مرحله‌ای را فعال کنید. این رمزعبور فقط زمانی لازم می‌شود که بخواهید در یک دستگاه جدید وارد حساب کاربری تلگرام شوید.

برای فعال‌سازی تأیید دو مرحله‌ای در تلگرام، تنظیمات را باز کنید و وارد Privacy and Security شوید و روی Two-step Verification بزنید. علاوه‌براین، می‌توان ایمیل بازیابی نیز برای حساب کاربری تعریف کرد که اگر رمزعبور را فراموش کردید، همچنان امکان بازیابی رمزعبور و حساب کاربری وجود داشته باشد.

عدم استفاده از اپلیکیشن‌های غیررسمی

مراقب باشید که اپلیکیشن تلگرام را از منبع معتبری دانلود کنید. اگر تلگرام را ازطریق پکیج نصبی که از یک وب‌سایت دانلود کرده‌اید، نصب کرده‌اید، آن را حذف کنید و از وب‌سایت رسمی تلگرام فایل نصب را دریافت کنید.

اپلیکیشن‌های غیررسمی توسط هیچ نهادی بررسی نشده‌اند و اغلب موارد دسترسی به پیام‌های شما دارند و اطلاعات دستگاه را جمع‌آوری می‌کنند. بنابراین، با حساسیت بیشتری فقط و فقط تلگرام رسمی را نصب کنید.

اجتناب از ارسال اطلاعات شخصی برای ربات‌ها

با احتیاط از ربات‌های تلگرام استفاده کنید و هرگز اطلاعات شخصی خود از جمله نام، نام کاربری، شماره تلفن، آدرس ایمیل، رمزعبور و هر اطلاعات شخصی دیگری را برای آن‌ها ارسال نکنید.

مراقب پیام‌های ارسالی از افراد ناشناس باشید

برای جلوگیری از ضررهای مالی یا افشای اطلاعات شخصی و افتادن در دام مهندسی اجتماعی، پیام‌های ارسال‌شده از طرف افراد ناشناس را جدی نگیرید. اگر پیامی به‌ شما ارسال شد که آن فرد را نمی‌شناسید، می‌توانید به‌راحتی آن‌ها را مسدود کنید و به تلگرام گزارش دهید.

به‌ خاطر بسپارید که هرگز فایل‌ها و لینک‌های ناشناخته را باز نکنید و روی آن‌ها کلیک نکنید.

اشتراک‌گذاری صحیح آدرس کیف پول رمزارز

بهترین راه اشتراک‌گذاری آدرس والت رمزارز، تولید کد QR و ارسال آن برای افراد است. بنابراین، آدرسی را که رشته‌ای از اعداد و حروف است، برای کسی ارسال نکنید.

بررسی فعالیت حساب روی دستگاه‌ها

در قسمت نشست‌های فعال، می‌توانید دستگاه‌هایی را که حساب کاربری تلگرام شما روی آن‌ها فعال است، بررسی کنید و آدرس IP آن‌ها را با موقعیت مکانی خود مطابقت دهید.

اگر از ابزار تغییر IP استفاده می‌کنید می‌توانید با جست‌وجو در گوگل آدرس خود را به‌دست آورید و مطمئن شوید که با آن مطابقت دارد. در صورت فعالیت مشکوک، می‌توانید دستگاه مشکوک را غیرفعال کنید.

افزودن مخاطب در تلگرام بدون اشتراک‌گذاری شماره تلفن

در پیام‌رسان تلگرام مفهوم مخاطبان به‌جای دوستان استفاده می‌شود. بنابراین، وقتی مخاطبی را اضافه یا حذف می‌کنید، شما از فهرست مخاطبان آن فرد حذف نمی‌شوید. پس برای امنیت بیشتر، اگر فردی دوست شما نیست و فقط می‌خواهید در مخاطبان تلگرام او را اضافه کنید، لزومی ندارد شماره تلفنتان را با او به‌اشتراک بگذارید.

پس می‌توانید در زمان افزودن به فهرست مخاطبان، گزینه Share My Phone Number را غیرفعال کنید تا شماره شما به آن شخص نشان داده نشود.

پنهان‌سازی شماره تلفن و محدودکردن پیوستن به گروه‌ها

تا جایی که می‌تواند اطلاعات شخصی و هویتی حساب کاربری تلگرام را از غریبه‌ها مخفی کنید. امکان پنهان کردن، شماره تلفن، وضعیت، عکس پروفایل، فوروارد کردن پیام‌ها و... وجود دارد. علاوه‌براین، می‌توانید مشخص کنید که چه کسانی امکان افزودن شما به گروه‌های مختلف را داشته باشند. همچنین، از قابلیت Add People Nearby نیز تا حد امکان استفاده نکنید.

جمع‌بندی

به‌طور کلی تمام اقدامات پیشنهادی برای اطمینان حاصل‌کردن از کاهش حداکثری احتمال کلاهبرداری است و هیچ راهی صدرصد نیست؛ اما، مانند افزودن قفل بیشتر بر یک در مجموع این اقدامات باعث می‌شود کار را برای هکر سخت‌تر و فرسایشی‌تر کنید.