امنیت در این فضا، یک مثلث است که سه ضلع آن «توسعه دهندگان پلتفرم»، «والدین و دانش‌آموزان» و «نهادهای نظارتی و پلیسی» هستند. تنها با هماهنگی این سه ضلع است که می‌توان شبکه شاد را از یک «شکارگاه» به یک «دژ امن آموزشی» تبدیل کرد. آینده دیجیتال فرزندان ما، در گرو آگاهی امروز ماست.

به گزارش سرمایه فردا، معاون اجتماعی پلیس فتا فراجا در هشداری تازه به خانواده‌ها و دانش‌آموزان، از موج جدید کلاهبرداری‌های سایبری در شبکه شاد خبر داد. بر اساس اعلام مقامات انتظامی، مجرمان با جعل لوگوی این برنامه و ارسال پیام‌هایی تحت عنوان «بخشنامه دولتی»، «تایید حساب کاربری» یا «دریافت منابع درسی»، کاربران را به کلیک روی لینک‌های آلوده ترغیب می‌کنند. این ترفند که با هدف دسترسی غیرمجاز به گوشی موبایل و تخلیه حساب‌های بانکی والدین طراحی شده، بار دیگر ضرورت هوشیاری در بزرگترین کلاس درس ایران را به سرخط خبرها بازگردانده است. در عین حال این پیام نگرانی‌هایی را در مورد میزان امنیت این شبکه آموزشی که ستون اصلی آموزش مجازی کشور ما را تشکیل می‌دهد به همراه داشته است.

وعده عدالت آموزشی یا چرخه ناکارآمدی؟

پارادوکس امنیت در محیط آموزشی

شبکه شاد با بیش از ۳۰ میلیون کاربر فعال، یکی از بزرگترین تجمع‌های انسانی در فضای مجازی ایران است. ویژگی اصلی این شبکه، «اعتماد» است. دانش‌آموز به این فضا اعتماد دارد چون نام مدرسه‌اش را بر پیشانی آن می‌بیند. والدین اعتماد دارند چون تصور می‌کنند این فضا تحت نظارت حاکمیتی است. اما دقیقا همین «اعتماد بی‌چون و چرا» نقطه کوری است که کلاهبرداران از آن برای نفوذ استفاده می‌کنند. برخلاف شبکه‌های اجتماعی خارجی که کاربر با نوعی گارد امنیتی در آن‌ها فعالیت می‌کند، در شاد، گاردها کاملا پایین است.

وقتی «هویت» گروگان گرفته می‌شود

کلاهبرداری در شاد لزوما با ابزارهای فنی پیچیده یا نوشتن کدهای مخرب انجام نمی‌شود. بخش بزرگی از این سرقت‌ها بر پایه «مهندسی اجتماعی» است. سارق، هویت یک مقام مسئول، معلم یا پشتیبان شبکه را جعل می‌کند. او با استفاده از ضعف‌های روانی مخاطب هدف که عمدتا کودکان هستند، آن‌ها را به مسیری می‌کشاند که داوطلبانه کلید ورود به حساب خود را در اختیار سارق قرار می‌دهند.

در بسیاری از پرونده‌های بررسی شده در پلیس فتا، سارق با این جمله شروع کرده است: «حساب شما به دلیل فعالیت مشکوک در لیست حذف قرار گرفته است.» این جمله، دانش‌آموز را در وضعیت اضطرار قرار می‌دهد. در وضعیت اضطرار، بخش منطقی مغز از کار می‌افتد و فرد تنها به دنبال راه نجات می‌گردد. راه نجاتی که سارق پیشنهاد می‌دهد، همان ارسال «کد ورود» است.

زنجیره مالی؛ از یک چت ساده تا تخلیه حساب بانکی

بسیاری از والدین می‌پرسند: «هک شدن شاد بچه من چه سودی برای دزد دارد؟ او که پولی در شاد ندارد!» پاسخ در «زنجیره اعتماد» نهفته است. سارق پس از تصاحب حساب دانش‌آموز، به لیست مخاطبان او دسترسی پیدا می‌کند. او از زبان دانش‌آموز، پیامی برای والدین یا اقوام می‌فرستد.

به عنوان مثال، پیامی با این مضمون ارسال می‌شود: «مامان، دارم برای مدرسه‌ام یک کتاب می‌خرم، ۵۰ هزار تومان کم دارم. می‌توانی از این لینک پرداخت کنی؟» لینک ارسالی، یک درگاه بانکی جعلی (فیشینگ) است. والدینی که می‌خواهند به فرزندشان کمک کنند، بدون معطلی اطلاعات کارت بانکی خود را وارد می‌کنند. در کمتر از چند دقیقه، سارق به رمز دوم و اطلاعات کارت دسترسی پیدا کرده و تمام موجودی حساب را تخلیه می‌کند. در اینجا، اپلیکیشن شاد تنها «پل اعتماد» بوده است.

فروش حساب‌های تایید شده

بخش تکان دهنده‌تر این ماجرا، فروش حساب‌های هک شده در بازار سیاه است. برخی هکرها علاقه‌ای به کلاهبرداری مستقیم ندارند. آن‌ها حساب‌های کاربری شاد را که هویت دانش‌آموزی آن‌ها تایید شده است، به قیمت‌های مختلف در کانال‌های تلگرامی به فروش می‌رسانند.

خریداران این حساب‌ها، افرادی هستند که به دنبال ایجاد مزاحمت، پخش محتواهای غیراخلاقی یا انجام عملیات‌های فریب گسترده‌تر هستند. داشتن یک حساب با نام و نشان واقعی یک دانش‌آموز، پوشش بسیار مناسبی برای فعالیت‌های مجرمانه است که ردپای دیجیتالی مجرم اصلی را پاک می‌کند.

قربانی شدن در لباس خیرخواهی

خانم«س»، مادری که تمام پس‌انداز خرید وسایل خانه‌اش را از این طریق از دست داده، می‌گوید: «پسرم در شاد پیامی از طرف ناظم مدرسه دریافت کرد که می‌گفت برای قرعه‌کشی تبلت دانش‌آموزی، باید کدی که به گوشی پدرش می‌آید را بفرستد. پسرم از روی سادگی این کار را کرد. نیم ساعت بعد، پیامک‌های برداشت ۵ میلیون تومانی یکی پس از دیگری آمد. ما فکر می‌کردیم چون محیط مدرسه است، خطری ندارد.» این پرونده نشان می‌دهد که کلاهبرداران چگونه از آرزوهای دانش‌آموزان برای رسیدن به حساب بانکی والدین استفاده می‌کنند.

چه کسی پاسخگوست؟

یکی از چالش‌های بزرگ در این حوزه، تعیین مسئولیت است. وزارت آموزش و پرورش و تیم توسعه دهنده شاد، همواره بر امنیت بالای این پلتفرم تاکید دارند و ریشه مشکل را در «بی احتیاطی کاربران» می‌دانند. اما از نگاه حقوقی، پلتفرمی که میلیون‌ها کودک را وادار به استفاده از خدمات خود می‌کند، باید دارای سیستم‌های پیشگیرانه قوی‌تری باشد.

آیا سیستم احراز هویت شاد نباید به گونه‌ای باشد که خروج از حساب و ورود مجدد با دستگاه دیگر، مستلزم تایید چندباره و اطلاع رسانی پیامکی به شماره سرپرست باشد؟ خلأهای قانونی در برخورد با جرایم سایبری در حوزه کودکان، باعث شده است که روند رسیدگی به این پرونده‌ها طولانی و گاهی بی‌نتیجه باشد.

کلاهبرداری در پوشش به‌روزرسانی؛ تله‌ای برای والدین

یکی از شگردهای زیرکانه که اخیرا شناسایی شده، ارسال پیامک‌هایی خارج از محیط شاد اما با نام این شبکه است. در این روش، پیامک‌هایی برای والدین ارسال می‌شود که آنها را تحریک می‌کند تا به بهانه‌های مختلف روی لینک ارسالی‌شان کلیک کنند.

این لینک، کاربر را به یک سایت جعلی هدایت می‌کند که در آنجا یک فایل با پسوند (apk) برای دانلود قرار داده شده است. به محض نصب این فایل، یک «دسترسی پنهان» به سارق داده می‌شود. از این لحظه به بعد، سارق می‌تواند تمام پیامک‌های بانکی گوشی والدین را رصد کند، بدون اینکه آن‌ها حتی متوجه شوند که در گوشی‌شان یک جاسوس دیجیتال دارند. این یعنی نفوذ از طریق نیاز آموزشی، برای غارت اقتصادی.

چرا سارقان به راحتی نفوذ می‌کنند؟

کارشناسان امنیت شبکه معتقدند که یکی از نقاط ضعف اصلی، عدم استفاده اجباری از «تایید دو مرحله‌ای» در نسخه‌های اولیه و حتی کنونی برای تمامی کاربران است. در بسیاری از اپلیکیشن‌های بانکی یا پیام‌رسان‌های معتبر جهانی، امنیت دو مرحله‌ای یک انتخاب نیست، بلکه یک اجبار است.

در شاد، به دلیل طیف گسترده کاربران که شامل خانواده‌هایی با سطح دانش فنی متفاوت هستند، طراحان سعی کرده‌اند فرآیند ورود را ساده نگه دارند تا مشکلی برای کاربران ایجاد نشود. اما همین «سادگی در ورود»، فرش قرمزی برای هکرها پهن کرده است. سیستم امنیتی باید بتواند رفتارهای غیرعادی (مانند ورود از یک آی پی ناشناس در شهری دیگر) را تشخیص داده و بلافاصله حساب را به صورت موقت معلق کند.

 نقش صدا و سیما و رسانه‌ها در پیشگیری

تاکنون هشدارهای زیادی از سوی پلیس فتا صادر شده است، اما به نظر می‌رسد این هشدارها به اندازه کافی در لایه‌های عمیق جامعه نفوذ نکرده است. آموزش امنیت دیجیتال باید از حالت «بخشنامه ای» خارج شده و به زبان ساده در قالب برنامه‌های تلویزیونی و محتواهای کوتاه فضای مجازی به خانواده ها منتقل شود.

باید به والدین آموخت که گوشی موبایل در دست کودک، مانند کلید خانه است؛ همان طور که کلید خانه را به هر غریبه‌ای نمی‌دهیم، نباید اجازه دهیم کودک با هر پیام و لینکی در فضای مجازی تعامل داشته باشد.

راهکارهای پیشنهادی برای خانواده‌ها و مدارس

کارشناسان برای پایان دادن به این جولان سارقان، چند گام اساسی را ضروری می‌دانند:

۱. جداسازی سیم‌کارت: والدین باید برای استفاده فرزندشان از شاد، یک سیم‌کارت اختصاصی (سیم‌کارت کودک) تهیه کنند که هیچ گونه دسترسی به حساب‌های بانکی و اطلاعات حساس والدین نداشته باشد.

۲. نظارت نامحسوس: والدین باید به صورت دوره‌ای، بخش «نشست‌های فعال» در تنظیمات شاد را چک کنند تا مطمئن شوند دستگاه دیگری به حساب متصل نیست.

۳. تغییر فرهنگ «کددهی»: باید در خانواده‌ها این قانون وضع شود که هیچ کدی که از طریق پیامک می‌آید، تحت هیچ شرایطی نباید برای کسی خوانده یا فرستاده شود.

۴. گزارش دهی سریع: در صورت وقوع هک، بلافاصله باید از طریق گوشی دیگری وارد حساب شده و دسترسی هکر را قطع کرد یا موضوع را به شماره ۰۹۶۳۸۰ (مرکز فوریت‌های سایبری پلیس فتا) اطلاع داد.

 شاد باید دژ امن باشد، نه شکارگاه

به هر تقدیر شبکه شاد یک ضرورت آموزشی در دنیای مدرن است و نمی‌توان استفاده از آن را متوقف کرد. اما امنیت این فضا نباید فدای سهولت کاربری شود. گزارش «سایه نامرئی در شاد» نشان داد که چگونه مجرمان سایبری از خلأهای آموزشی و فنی برای ضربه زدن به معیشت مردم استفاده می‌کنند.

امنیت در این فضا، یک مثلث است که سه ضلع آن «توسعه دهندگان پلتفرم»، «والدین و دانش‌آموزان» و «نهادهای نظارتی و پلیسی» هستند. تنها با هماهنگی این سه ضلع است که می‌توان شبکه شاد را از یک «شکارگاه» به یک «دژ امن آموزشی» تبدیل کرد. آینده دیجیتال فرزندان ما، در گرو آگاهی امروز ماست.