14:14 24 / 04 /1404
یک برنامه‌نویس در گفت‌وگو با آنا

«مطمئن باش»، سپر امنیتی ایرانی رایگان و متن‌باز در برابر اپیدمی فیشینگ

«مطمئن باش»، سپر امنیتی ایرانی رایگان و متن‌باز در برابر اپیدمی فیشینگ
در میان نگرانی‌های فزاینده از اپیدمی کلاهبرداری‌های اینترنتی و حملات فیشینگ که روزانه حساب‌های بانکی بسیاری از شهروندان را هدف قرار می‌دهد، یک برنامه‌نویس ایرانی، اپلیکیشن رایگان و متن‌باز «مطمئن باش» را برای سیستم‌عامل اندروید منتشر کرده است. این ابزار با یک رویکرد فنی منحصربه‌فرد که تمام پردازش‌ها را به صورت آفلاین و بر روی دستگاه کاربر انجام می‌دهد، به جنگ تهدیدها رفته و با ارائه سپرهای امنیتی چندلایه برای پیامک‌ها، وب‌گردی و اپلیکیشن‌ها، تلاش می‌کند حریم خصوصی و امنیت مالی کاربران را بدون جمع‌آوری هیچ‌گونه داده‌ای تضمین کند. این پروژه غیرتجاری که در سه روز نخست انتشار با بیش از ۱۰ هزار نصب مواجه شد، پاسخی به یک نیاز فوری در اکوسیستم دیجیتال کشور است.

هر روز هزاران پیامک با مضامین فریبنده به تلفن‌های همراه ایرانیان ارسال می‌شود: «ابلاغیه الکترونیکی ثنا در پرونده شما ثبت شد»، «یارانه معیشتی شما در آستانه قطع است، جهت بررسی کلیک کنید»، «برای دریافت وام فوری ۵۰ میلیونی با کارمزد پایین ثبت‌نام کنید». اینها تنها نمونه‌هایی از تله‌های دیجیتالی هستند که توسط کلاهبرداران برای سرقت اطلاعات بانکی شهروندان طراحی شده‌اند. قربانی، در یک لحظه غفلت و تحت فشار روانی ناشی از محتوای پیام، روی لینکی کلیک می‌کند که او را به صفحه‌ای کاملاً مشابه درگاه پرداخت بانکی هدایت می‌کند. چند ثانیه بعد، با وارد کردن اطلاعات کارت و رمز دوم، تمام موجودی حساب او به سرقت می‌رود. این سناریوی تلخ و تکراری، که به «فیشینگ» شهرت دارد، به یک اپیدمی در فضای دیجیتال ایران تبدیل شده است. در چنین فضایی، یک توسعه‌دهنده نرم‌افزار تصمیم گرفته است تا با تکیه بر دانش فنی خود، ابزاری برای مقابله با این تهدید فراگیر بسازد.

از مشاهده زخم دیگران تا خلق یک سپر

میلاد نوری، برنامه‌نویسی که جامعه فناوری ایران او را با پروژه‌هایی همچون توسعه اپلیکیشن «نت‌برگ» در سال ۱۳۹۲ (یکی از اولین اپلیکیشن‌های کسب‌وکاری موفق در کشور) و توسعه نسخه غیررسمی و پرطرفدار اندروید برای شبکه اجتماعی «کلاب‌هاوس» در دوران همه‌گیری کرونا می‌شناسد، این بار به سراغ یک پروژه عام‌المنفعه و غیرتجاری رفته است. انگیزه او برای ساخت اپلیکیشن «مطمئن باش» نه یک ایده تجاری، بلکه مشاهده مستقیم زیان‌های مالی وارد شده به اطرافیانش بود. او می‌گوید: «مشاهده اینکه چگونه افراد در اثر یک کلیک اشتباه، حاصل دسترنج خود را از دست می‌دهند و حساب بانکی‌شان خالی می‌شود، باعث شد به فکر ساخت ابزاری بیفتم که بتواند همچون یک نگهبان هوشیار، پیش از وقوع فاجعه به کاربر هشدار دهد.»

به گفته نوری، با وجود تمام اطلاع‌رسانی‌ها، ماهیت روان‌شناختی این حملات به‌گونه‌ای است که حتی کاربران آگاه نیز ممکن است در دام بیفتند. او معتقد است وجود یک ابزار سیستماتیک که فارغ از هیجانات لحظه‌ای کاربر، به صورت خودکار موارد مشکوک را تحلیل کند، یک ضرورت انکارناپذیر است.

کالبدشکافی سپر‌های امنیتی

اپلیکیشن «مطمئن باش» که با زبان برنامه‌نویسی مدرن Kotlin برای اندروید توسعه یافته، دارای یک ساختار دفاعی چندلایه است که هم به صورت دستی و هم خودکار عمل می‌کند.

۱. سپر‌های امنیتی خودکار؛ خطوط دفاعی نامرئی

این اپلیکیشن سه سپر امنیتی اصلی را به صورت خودکار و پس از دریافت مجوز‌های لازم از کاربر، فعال می‌کند:

- سپر پیامک (Smishing Shield): این سپر به صورت لحظه‌ای پیامک‌های ورودی را تحلیل می‌کند. این تحلیل صرفاً بر روی دستگاه کاربر انجام شده و بر اساس مجموعه‌ای از کلمات کلیدی (مانند: ابلاغیه، ثنا، یارانه، وام)، الگو‌های نوشتاری مشکوک و تحلیل ساختار لینک‌های موجود در پیامک صورت می‌گیرد. در صورت شناسایی یک پیامک به عنوان تهدید فیشینگ، بلافاصله یک هشدار تمام‌صفحه به کاربر نمایش داده می‌شود.

- سپر وب‌گردی (Web Shield): با استفاده از سرویس دسترسی‌پذیری اندروید، این سپر آدرس‌های اینترنتی را که کاربر در مرورگر خود باز می‌کند، تحت نظر می‌گیرد. اگر آدرس باز شده با پایگاه داده لینک‌های مخرب تطابق داشته باشد یا از الگو‌های فیشینگ (مانند غلط‌های املایی عمدی در آدرس درگاه‌های پرداخت مثل shaparaak به جای shaparak) پیروی کند، سپر فعال شده و با نمایش یک هشدار، از بارگذاری کامل صفحه جلوگیری می‌کند.

- سپر نصب برنامه (Application Shield): یکی از روش‌های رایج کلاهبرداری، ترغیب کاربر به نصب بدافزار‌ها تحت عنوان اپلیکیشن‌های کاربردی است. این سپر هنگام نصب هر برنامه جدید، آن را از نظر نام بسته (Package Name)، امضای دیجیتال و مجوز‌های درخواستی، با پایگاه داده بدافزار‌های شناخته‌شده مقایسه کرده و در صورت تشخیص خطر، به کاربر هشدار می‌دهد.

«مطمئن باش»، ظهور یک سپر امنیتی ایرانی رایگان و متن‌باز در برابر اپیدمی فیشینگ

۲. ابزار بررسی اصالت درگاه پرداخت؛ یک راهکار بصری

تشخیص تفاوت‌های جزئی در URL درگاه پرداخت برای بسیاری از کاربران دشوار است. برای حل این مشکل، «مطمئن باش» ابزاری طراحی کرده که هنگام ورود کاربر به یک درگاه پرداخت بانکی واقعی و معتبر، یک نماد کوچک سبزرنگ را در بالای صفحه نمایش می‌دهد. عدم نمایش این نماد به این معناست که کاربر در یک صفحه پرداخت ناامن قرار دارد و باید فوراً آن را ترک کند.

راز معماری بدون سرور «مطمئن باش»

مهم‌ترین و برجسته‌ترین ویژگی فنی «مطمئن باش»، تعهد آن به حریم خصوصی کاربر از طریق یک معماری کاملاً آفلاین است. نوری توضیح می‌دهد: «بزرگ‌ترین چالش فنی ما این بود که برنامه برای به‌روز بودن باید به اینترنت دسترسی داشته باشد، اما همزمان باید به کاربر اطمینان می‌دادیم که اطلاعات حساس او مانند پیامک‌ها و لینک‌ها از دستگاهش خارج نمی‌شود.»

راه حل این پارادوکس، حذف کامل سرور بود. برخلاف اکثر برنامه‌های امنیتی تجاری که اطلاعات را برای تحلیل به سرور‌های ابری خود ارسال می‌کنند، «مطمئن باش» اصلاً سروری برای دریافت یا ذخیره داده‌های کاربر ندارد. تمام عملیات تحلیل و تطبیق با پایگاه داده‌ای انجام می‌شود که روی خود دستگاه ذخیره شده است. این پایگاه داده نیز به صورت دوره‌ای و خودکار از یک مخزن عمومی و شفاف در پلتفرم گیت (Git Repository) به‌روزرسانی می‌شود. این رویکرد تضمین می‌کند که توسعه‌دهنده یا هیچ شخص ثالثی به اطلاعات خصوصی کاربران دسترسی نخواهد داشت.

اعتمادسازی با کد باز و گذر از هفت‌خوان گوگل‌پلی

برای به حداکثر رساندن شفافیت و جلب اعتماد جامعه فنی، تمام اجزای این پروژه شامل اپلیکیشن اندروید، افزونه‌های مرورگر کروم و فایرفاکس و وب‌سایت آن به صورت متن‌باز منتشر شده‌اند. این یعنی کد‌های برنامه در معرض دید عموم قرار دارد و هر کارشناسی می‌تواند عملکرد آن را راستی‌آزمایی کند.

با این حال، مسیر انتشار برنامه در فروشگاه گوگل‌پلی، مسیری دشوار و زمان‌بر بود و بیش از دو ماه به طول انجامید. به گفته نوری، گوگل به دلیل حساسیت بالای اپلیکیشن‌های ضدفیشینگ و نیاز آنها به دسترسی‌های سطح بالا (مانند خواندن پیامک و سرویس دسترسی‌پذیری)، قوانین بسیار سخت‌گیرانه‌ای دارد. «ما باید در چندین مرحله، فرم‌هایی را پر می‌کردیم و با ارائه سوابق رسانه‌ای و فعالیت‌های تحلیلی گذشته در حوزه امنیت، به گوگل اثبات می‌کردیم که دغدغه مقابله با فیشینگ برای ما واقعی است. چالش اصلی زمانی بود که به دلیل محدودیت‌های دسترسی به وب‌سایت‌های خبری ایران از خارج از کشور (معروف به ایران-اکسس)، ربات‌ها و بازرسان گوگل در تأیید این سوابق دچار مشکل می‌شدند. این یک نبرد فرسایشی فنی و بوروکراتیک بود.»

«مطمئن باش»، ظهور یک سپر امنیتی ایرانی رایگان و متن‌باز در برابر اپیدمی فیشینگ

چرا ایران بهشت کلاهبرداران اینترنتی شده است؟

در گفت‌و‌گو با میلاد نوری، از او خواستیم تا دلایل ریشه‌ای گسترش این پدیده در کشور را تحلیل کند.

با وجود تلاش‌های پلیس فتا و بانک‌ها و همچنین فعال‌سازی رمز پویا، چرا همچنان شاهد حجم عظیمی از کلاهبرداری‌های مبتنی بر فیشینگ در ایران هستیم؟

به نظر من چند عامل کلیدی به صورت همزمان در این موضوع نقش دارند. اولین و واضح‌ترین عامل، سطح پایین آگاهی عمومی است. با وجود اطلاع‌رسانی‌ها، هنوز بخش بزرگی از جامعه با سازوکار این حملات آشنا نیستند و به راحتی فریب مهندسی اجتماعی کلاهبرداران را می‌خورند. عامل دوم که شاید مهم‌تر باشد، عدم وجود سازوکار برخورد آنی و قاطع با مجرمان است. در بسیاری از کشورها، به محض گزارش یک شماره تلفن یا حساب بانکی که در کلاهبرداری استفاده شده، آن شماره و حساب در کمتر از چند دقیقه مسدود می‌شوند.

منتهی در ایران این فرآیند طولانی است و به کلاهبردار فرصت می‌دهد تا قربانیان بیشتری بگیرد و پول را از حساب خارج کند. عامل سوم، وجود یک زیرساخت غیررسمی برای جرم مانند پدیده «حساب‌های اجاره‌ای» است. افراد نیازمند در ازای مبلغی ناچیز حساب بانکی خود را در اختیار مجرمان قرار می‌دهند و این کار رهگیری کلاهبردار اصلی را بسیار دشوار می‌کند. در واقع تا زمانی که هزینه ارتکاب این جرم پایین و ریسک آن کم باشد، شاهد ادامه این روند خواهیم بود.

قدرت هوش جمعی و چشم‌انداز آینده

«مطمئن باش» یک پروژه زنده و در حال تکامل است. پایگاه داده تهدید‌های آن به طور مداوم و عمدتاً از طریق گزارش‌های کاربران به‌روز می‌شود. رشد سریع تعداد کاربران به بیش از ۱۰ هزار نفر در روز‌های ابتدایی، به شکل‌گیری یک شبکه هوش جمعی (Crowdsourcing) برای شناسایی سریع‌تر تهدید‌های جدید کمک شایانی کرده است.

نوری می‌گوید در برنامه‌های آینده، قصد دارد با اضافه کردن الگو‌های هوشمند و یادگیری ماشین، اپلیکیشن را قادر سازد تا تهدید‌هایی را که هنوز در پایگاه داده آن ثبت نشده‌اند نیز بر اساس رفتار و ساختارشان شناسایی کند. این پروژه کاملاً غیرتجاری باقی خواهد ماند و موفقیت خود را مدیون اعتماد و مشارکت جامعه کاربران می‌داند.

به عنوان کلام آخر، او یک پیام روشن برای تمام کاربران دارد: «فقط یک کلیک روی لینک اشتباه کافی است تا تمام اطلاعات شخصی و مالی شما به سرقت برود. حتماً از ابزار‌هایی مانند مطمئن باش استفاده کنید تا قبل از آنکه فریب بخورید، یک هشدار به موقع دریافت کنید.»

انتهای پیام/

ارسال نظر
رسپینا
گوشتیران
قالیشویی ادیب