سوءاستفاده از اعتماد اولیاء در پیام رسان ها؛ تحلیل حقوقی و جرم شناختی یک شگرد نوظهور در مهندسی اجتماعی

تبیین موضوع و تحلیل شگرد مجرمانه
در بستر جرایم سایبری نوظهور، مجرمان بیش از آنکه به دنبال نفوذ به لایه های امنیتی سخت افزاری یا نرم افزاری باشند، زنجیره انسانی ارتباطات را هدف قرار می دهند. شگردی که اخیرا شیوع قابل توجهی یافته است، سوءاستفاده از هویت اولیای مدارس (مدیران، معاونان یا معلمان) در پیام رسان های بومی و بین المللی (نظیر شاد، روبیکا، ایتا، بله و واتساپ) برای فریب والدین دانش آموزان است.
فرآیند اجرایی این شگرد مجرمانه به شکل گام به گام و بر پایه اصول روان شناختی مهندسی اجتماعی طراحی شده است:
۱. جعل پروفایل مدیر مدرسه
۲. تماس با والدین به بهانه امور تحصیلی
۳. اخذ شماره تلفن سرپرست خانواده
۴. ارسال و دریافت کد فعال سازی (OTP)
۵. تصاحب حساب کاربری اولیاء
۶. کلاهبرداری گسترده از مخاطبان قربانی
این فرآیند نشان دهنده یک الگوی کلاسیک از مهندسی اجتماعی مبتنی بر اعتماد سازمانی است که در آن بزهکار از هویت یک نهاد مرجع (مدرسه) برای خلع سلاح روانی قربانی استفاده می کند.

مطالعه موردی (Case Study)
برای درک عینی این پدیده، جریان پرونده زیر که بر اساس یک واقعیت قضایی (بدون ذکر مشخصات هویتی) تنظیم شده است، واکاوی می شود:
شرح عینی پرونده:
در یکی از پرونده های مطروحه در مراجع قضایی، مرتکب با جعل هویت مربی پرورشی یکی از مدارس در بستر یک پیام رسان بومی (تنظیم تصویر نمایه و نام کاربری مشابه)، با مادر یکی از دانش آموزان ارتباط برقرار می کند. وی با ایجاد فضایی جدی و اضطراری، مدعی ضرورت ثبت نام فوری دانش آموز در مسابقات منطقه ای شده و درخواست ارائه شماره تلفن همراه پدر وی را مطرح می نماید. بزه دیده (مادر دانش آموز) به دلیل خستگی مفرط ذهنی در ساعات پایانی شب و تکیه بر اعتماد پیشینی به نهاد مدرسه، شماره تلفن همسر و متعاقبا کد فعال سازی یک بارمصرف ( OTP ) ارسالی به آن خط را در اختیار مرتکب قرار می دهد. فرد کلاهبردار بلافاصله با سوءاستفاده از کد ماخوذه، کنترل حساب کاربری پدر دانش آموز را در یکی از پلتفرم های داخلی به دست گرفته و با ارسال پیام های اضطراری دروغین مبنی بر وقوع تصادف فرزند و نیاز فوری به همیاری مالی، مبالغ کلانی را از مخاطبان وی تحصیل و به حساب های بانکی واسطه (اجاره ای) واریز می نماید.
۱. مهندسی اجتماعی چیست؟ هک انسان به جای هک سیستم
مهندسی اجتماعی ( Social\ Engineering ) در جرم شناسی سایبری به معنای دستکاری روان شناختی افراد برای وادار کردن آن ها به انجام کارهای مشخص یا افشای اطلاعات محرمانه است.
- ارکان مهندسی اجتماعی: این روش بر چهار رکن «جمع آوری اطلاعات اولیه»، «برقراری رابطه مبتنی بر اعتماد»، «بهره برداری از هیجانات (ترس یا طمع)» و «اجرای نقشه مجرمانه» استوار است.
- چرایی موفقیت: سیستم های امنیتی با دیوارهای آتش ( Firewalls ) محافظت می شوند، اما انسان ها فاقد چنین فیلترهای خودکاری هستند. مجرمان با استفاده از تکنیک های متقاعدسازی، بزه دیده را به سمتی هدایت می کنند که خود او داوطلبانه کلید دسترسی به اطلاعاتش را واگذار کند.
۲. تحلیل جرم شناختی: چرا والدین قربانی می شوند؟
تحلیل رفتاری بزه دیدگان در این پرونده ها نشان می دهد که قربانی شدن والدین حاصل تلاقی چند عامل روان شناختی و وضعیتی است:
- اعتماد سازمانی ( Organizational\ Trust ): نهاد مدرسه در جامعه ایران دارای پایگاه اجتماعی والا و امنیت اخلاقی بالایی است. والدین به طور ناخودآگاه فرضیه سوءاستفاده از نام مدرسه را رد می کنند.
- خستگی شناختی ( Cognitive\ Fatigue ): ارسال این پیام ها معمولا در ساعات پایانی روز انجام می شود؛ زمانی که ظرفیت پردازش ذهنی والدین به دلیل خستگی مفرط کاهش یافته و امکان تحلیل انتقادی پیام ها وجود ندارد.
- اضطراب و فوریت ساختگی: مجرمان با ایجاد ضرب الاجل (مثلا حذف نام دانش آموز تا ۱۰ دقیقه دیگر)، به بزه دیده فرصت تفکر عقلانی نداده و او را در وضعیت پاسخ هیجانی قرار می دهند.
۳. تحلیل حقوقی و انطباق رفتارهای مجرمانه با قوانین ایران
رفتار مرتکب در این شگرد، یک عنوان مجرمانه واحد نیست، بلکه مجموعه ای از جرایم رایانه ای و سنتی را به صورت چندوجهی (تعدد مادی و معنوی) در بر می گیرد:
الف) دسترسی غیرمجاز به داده ها
بر اساس ماده ۷۲۹ قانون مجازات اسلامی (بخش تعزیرات - قانون جرایم رایانه ای)، هرکس به طور غیرمجاز به داده ها یا سامانه های رایانه ای یا مخابراتی که به وسیله تدابیر امنیتی حفاظت شده است دسترسی یابد، به حبس از نود و یک روز تا یک سال یا جزای نقدی از شصت و شش میلیون (66,000,000) ریال تا دویست و شصت و چهار میلیون (264,000,000) ریال یا هر دو مجازات محکوم خواهد شد.
*ورود به حساب کاربری پیام رسان دیگری با استفاده از کد اغفال شده، مصداق بارز این جرم است.
ب) جعل رایانه ای و سرقت هویت دیجیتال
طبق ماده ۷۳۴ قانون مجازات اسلامی، هرکس به طور غیرمجاز مرتکب اعمال زیر شود، جاعل محسوب و به حبس از یک تا پنج سال یا جزای نقدی از صد و شصت و پنج میلیون (165,000,000) ریال تا هشتصد و بیست و پنج میلیون (825,000,000) ریال یا هر دو مجازات محکوم خواهد شد:
الف) تغییر یا ایجاد داده های قابل استناد یا ایجاد یا وارد کردن متقلبانه داده به آنها،
ب) تغییر داده ها یا علائم موجود در کارتهای حافظه یا قابل پردازش در سامانه های رایانه ای یا مخابراتی یا تراشه ها یا ایجاد یا وارد کردن متقلبانه داده ها یا علائم به آنها.
* ایجاد حساب کاربری با نام و تصویر مدیر مدرسه برای فریب دادن دیگران، مشمول این ماده بوده و مجازات ۱ تا ۵ سال حبس یا جزای نقدی سنگین را در پی دارد.
ج) کلاهبرداری رایانه ای
بر اساس ماده ۷۴۱ قانون مجازات اسلامی، هرکس به طور غیرمجاز از سامانه های رایانه ای یا مخابراتی با ارتکاب اعمالی از قبیل وارد کردن، تغییر، محو، ایجاد یا متوقف کردن داده ها یا مختل کردن سامانه، وجه یا مال یا منفعت یا خدمات یا امتیازات مالی برای خود یا دیگری تحصیل کند علاوه بر رد مال به صاحب آن به حبس از یک تا پنج سال یا جزای نقدی از صد و شصت و پنج میلیون (165,000,000) ریال تا هشتصد و بیست و پنج میلیون (825,000,000) ریال یا هر دو مجازات محکوم خواهد شد.
*در این شگرد، مجرم با تصاحب حساب کاربری و ارسال پیام های دروغین به مخاطبان، مستقیما اقدام به تحصیل مال از طریق سیستم های دیجیتال کرده است.
────────────────────────────────────────────────────────────
│ جدول انطباق قانونی و مجازات ها │
───────────────────────────┬───────────────────────────────
│ رفتار ارتکابی │ مستند قانونی │
─────────────────────────────┼───────────────────────────────
│ ورود به حساب کاربری با کد OTP │ ماده ۷۲۹ قانون مجازات (حبس/جزای نقدی)│
│ ساخت آیدی و پروفایل جعلی مدرسه │ ماده ۷۳۴ قانون مجازات (۱ تا ۵ سال حبس)│
│ ارسال پیام و بردن مال مخاطبان │ ماده ۷۴۱ قانون مجازات (۱ تا ۵ سال حبس)│
───────────────────────────┴───────────────────────────────
۴. تحلیل ادله اثبات و فرآیند کشف جرم
برخلاف تصور مجرمان سایبری، فضای مجازی فاقد ردپا نیست. ادله دیجیتال ( Digital\ Evidence ) به دلیل ثبت سیستمی و غیرقابل تغییر بودن، از استحکام بالایی در دادسراهای جرایم رایانه ای برخوردارند:
- لاگ های اتصال ( Connection\ Logs ): پیام رسان ها موظف به ذخیره لاگ های ورود شامل آدرس پروتکل اینترنت ( IP ) و شناسه سخت افزاری دستگاه ( Device\ ID ) هستند. بررسی این لاگ ها دستگاه واقعی متصل شده به حساب را مشخص می کند.
- ردیابی جریان مالی ( Financial\ Tracking ): تراکنش های بانکی انجام شده به حساب های واسط (حتی در صورت انتقال های زنجیره ای) به صورت سیستماتیک قابل رهگیری است. نقطه نهایی برداشت وجه یا خرید کالا با استفاده از کارت های مذکور، هویت فیزیکی مرتکب یا هم دستان او را آشکار می سازد.
- داده های مخابراتی: زمان دقیق ارسال پیامک تایید هویت ( OTP ) به بزه دیده و هم زنی آن با لاگ های ثبت شده در سرور پیام رسان، رابطه سببیت میان رفتار مجرم و جرم واقع شده را اثبات می کند.
۵. تحلیل مسئولیت کیفری شرکا و حساب های اجاره ای
در بسیاری از موارد، مجرمان اصلی برای پنهان کردن ردپای خود از کارت های بانکی یا سیم کارت های متعلق به افراد دیگر (تحت عنوان کارت های اجاره ای) استفاده می کنند.
- مسئولیت دارندگان حساب واسطه: طبق قوانین مبارزه با پول شویی و مقررات بانک مرکزی، واگذاری کارت بانکی به غیر جرم است. دارنده کارت به عنوان معاون در جرم کلاهبرداری رایانه ای و مباشر در جرم پول شویی شناخته شده و علاوه بر مجازات کیفری، مکلف به رد مال و جبران خسارت تمام مال باختگان خواهد بود.
- مسئولیت شبکه مجرمانه: در صورتی که جرم به صورت گروهی و سازمان یافته انجام شده باشد، مجازات اعضای شبکه بر اساس مواد قانون مجازات اسلامی تشدید خواهد شد.
۶. تحلیل جرم شناسی پیشگیرانه و امنیت اطلاعات
مقابله با این شگرد مجرمانه نیازمند اتخاذ رویکردهای چندجانبه امنیتی، آموزشی و ساختاری است:
الف) راهکارهای فنی و امنیت اطلاعات
- سازوکار رمز یک بارمصرف ( OTP ): این رمز صرفا برای تایید هویت مالک اصلی خط صادر می شود. قرار دادن این کد در اختیار اشخاص دیگر به منزله تقدیم نمودن کلید دسترسی به حریم خصوصی است. هیچ نهاد رسمی یا آموزشی هرگز درخواست ارسال چنین کدی را از کاربران نخواهد داشت.
- فعال سازی تایید دو مرحله ای ( Two-Step\ Verification ): کاربران باید با فعال سازی این قابلیت در تنظیمات امنیت پیام رسان ها، لایه امنیتی دومی (رمز عبور شخصی) ایجاد کنند تا در صورت لو رفتن رمز یک بارمصرف، دسترسی غیرمجاز غیرممکن شود.
ب) وظایف و مسئولیت نهادها (سیاست جنایی وضعی)
۱. وزارت آموزش و پرورش: ایجاد کانال های رسمی و تاییدشده برای مدارس و ممنوعیت مطلق تبادل اطلاعات حساس آموزشی یا اداری در پیام رسان های غیررسمی. ۲. پیام رسان های بومی: پیاده سازی سیستم های هوشمند هشداردهنده در زمان تبادل کلمات کلیدی مرتبط با کدهای تایید ( OTP ) در چت ها و اعمال فیلترهای امنیتی بر روی شناسه های کاربری که خود را به عنوان مراجع رسمی معرفی می کنند. ۳. پلیس فتا: افزایش سطح آگاهی رسانی عمومی از طریق رسانه های جمعی و تولید محتوای آموزشی مستمر جهت ارتقای سواد رسانه ای عامه مردم.
۷. مطالعه تطبیقی
بررسی تجارب بین المللی نشان می دهد که مهندسی اجتماعی یک چالش جهانی است:
- در ایالات متحده (قوانین فدرال): جرایم مرتبط با تصاحب حساب کاربری ( Account\ Takeover ) تحت عناوین سرقت هویت فدرال ( Federal\ Identity\ Theft ) بررسی شده و مجازات های سنگینی از جمله حبس های طولانی مدت بدون امکان آزادی مشروط برای مرتکبان در پی دارد.
- در اتحادیه اروپا (تحت قوانین GDPR ): مسئولیت سنگینی بر عهده پلتفرم ها جهت شناسایی سریع رفتارهای مشکوک و جعل هویت قرار داده شده است و پلتفرم ها در صورت سستی در پایش این موارد با جریمه های مالی هنگفت مواجه می شوند.
نتیجه گیری
شگرد نوظهور جعل هویت اولیای مدرسه و سرقت حساب های کاربری نشان می دهد که مجرمان سایبری همواره از آسیب پذیری های روان شناختی انسان ها به عنوان ضعیف ترین حلقه امنیتی سوءاستفاده می کنند. تحلیل های حقوقی اثبات می کند که قوانین کیفری ایران ظرفیت لازم برای برخورد کوبنده با این دسته از مجرمان را دارا هستند و ادله دیجیتال امکان گریز بزهکاران را به حداقل رسانده است.
با این حال، مقابله کارآمد با این پدیده مستلزم گذار از رویکردهای صرفا سرکوب گرایانه کیفری به سمت پیشگیری وضعی و ارتقای سطح سواد سایبری جامعه است. صیانت از کدهای تایید هویت ( OTP ) و فعال سازی قابلیت های امنیتی نظیر تایید دو مرحله ای، اساسی ترین گام در ناکام گذاشتن مهندسی اجتماعی است.
با آرزوی موفقیت