همستر کامبت؛ مینیاپهای جدید تلگرام امنیت کاربر را به خطر میاندازند؟
[ad_1]
جمع آوری سکه با لمس صفحه گوشی، نقشه گنج جدیدی است که به دست کاربران تلگرام راه پیدا کرده است به این امید که روزی سکه های مجازی آنها به ارز دیجیتال و پول واقعی تبدیل شود. پس از درآمدزایی NatCoins، کاربران دیدند که گنج با وجود درد در دسترس قرار گرفت و کسانی که از Tap to Earn برای NatCoin استفاده نکردند احساس کردند که از درآمد بادآورده کنار گذاشته شده اند. به همین دلیل است که بازی جدید همستر کامبت نه تنها در ایران بلکه در جهان محبوب شده است.
همستر کامبت تنها دو ماه پس از راهاندازی خود از مرز 116 میلیون کاربر عبور کرد و نشان داد که کاربران در سراسر جهان تمایلی به شرکت در ماراتن جمعآوری سکه و سپس تبدیل سکههای خود به ارز دیجیتال یا پس گرفتن پول واقعی ندارند.
هنوز مشخص نیست که این سکه های مجازی که با ضربه زدن روی عکس یک همستر یا وارد کردن کد مورس و ایجاد ترکیبات روزانه افزایش می یابند، در نهایت در صرافی ها قرار خواهند گرفت یا خیر. آنچه که زنگ خطر مهمی برای این ابزارهای بازی مانند محسوب می شود، احتمال به خطر افتادن امنیت، اطلاعات و دارایی های کاربران است.
حالا پس از تب همستر کامبت در ایران، از هر سو هشدارهای جدی درباره خطرات و پیامدهای منفی احتمالی این بازی شنیده می شود. مرکز ملی فضای مجازی اولین هشدار را صادر کرد؛ حسین دلیریان، سخنگوی این مرکز در صفحه مجازی خود در شبکه اجتماعی ایکس (توئیتر سابق) نوشت:
در این چند روز بحث بسیاری از کاربران ایرانی را در بسیاری از سوپرگروه ها خواندم، روش جدید استخراج ارز دیجیتال با استفاده از بازی به بستری مناسب برای هکرها و سارقان تبدیل شده است. من به عنوان سخنگوی مرکز ملی فضای مجازی می گویم افرادی که در این بازی ها شرکت می کنند باید مراقب اطلاعات و حساب های خود باشند.
– حسین دلیریان، سخنگوی مرکز ملی فضای مجازی
سرهنگ رامین پاشایی، معاون اجتماعی و فرهنگی پلیس فتا امروز (19 خرداد) از پیگیری این همستر کمبت توسط پلیس فتا خبر داد و اعلام کرد که این نهاد در حال ارزیابی تهدیدات و آسیب های این بازی است و به زودی نتیجه ارزیابی های خود را اعلام خواهد کرد. این موضوع به حدی اهمیت پیدا کرده است که مراجع تقلید نیز اعلام کرده اند که به دلیل ابهامات فراوانی که این نوع ارزها دارند، معامله، سرمایه گذاری و سود از آنها ممنوع است.
کارشناسان به بازیهایی که از اپلیکیشنهای کوچک تلگرام به وجود آمدهاند و در واقع نسل جدیدتر و پیشرفتهتر رباتهای سنتی تلگرام هستند، چندان خوشبین نیستند. آنها از نظر فنی و امنیتی به همستر کامبت و موارد مشابه مشکوک هستند و پایان خوشی را برای شرکت کنندگان در ماراتن Tap to Earn متصور نیستند.
آرین اقبال، مهندس نرمافزار و فعال اینترنتی در گفتوگو با زومیت میگوید: «یکی از جنبههای مربوط به مینیاپلیکیشنهای تلگرام مانند NatCoin یا همستر کامبت، جنبه جامعهشناختی داستان است که در آن سؤال FOMO یا ترس از حذف است. که مردم ما از آن رنج می برند. تجربه نات کوین به شور و شوق مردم برای مبارزه با همستر دامن زده است و همه احساس می کنند که اگر این کار را نکنند، فرصت را از دست می دهند.”
او معتقد است که این نگرانی باعث افزایش تعداد کاربران و تازه واردان تلگرام شده است و به غیر از کسانی که از VPN برای دسترسی به تلگرام استفاده می کردند، کسانی که قبلا از تلگرام استفاده نکرده بودند، VPN نصب کرده و این بازی را انجام دادند.
سر و سر همستر کامبت از کجا آمده است؟
این کارشناس اینترنتی می گوید که همستر کامبت بخشی از پروژه تلگرام برای ایجاد شبکه TON خود است و ادامه می دهد: «تلگرام پلتفرمی را بر اساس ایده شبکه TON تلگرام راه اندازی می کند. نسخه اول و دوم این شبکه شکست خورد و این سومین نسخه ای است که به نظر می رسد به خوبی پیش می رود. اگر تلگرام بتواند این اکوسیستم را شکل دهد، به نفع فروشگاه های آنلاین خواهد بود.»
وب جدیدی که این متخصص در مورد آن صحبت می کند شامل برنامه های کوچک است. مینی اپ ها با ربات های سنتی تلگرام و قابلیت های آنها بسیار متفاوت هستند. یکی از جدی ترین تفاوت های برنامه های کوچک و روبات های سنتی سطح امنیت آنها است:
ربات های سنتی تلگرام ابزار امن تری برای کاربران بودند. یعنی اطلاعات کاربری را لو ندادند اما امکانات کمی داشتند. با مینی اپ های جدید، اگرچه امکانات و امکانات افزایش یافته است، اما سطح امنیت کاربران کاهش یافته است.
– آرین اقبال ، مهندس نرم افزار و فعال اینترنتی
میلاد نوری کارشناس حوزه فناوری اطلاعات نیز در توضیحاتی که در صفحات شخصی خود منتشر کرده به نحوه عملکرد این مینی اپ ها اشاره کرد و توضیح داد: پیش از این ربات های تلگرام به گونه ای فعال می شدند که وقتی کاربر می خواست. برای تماس با ربات، وی درخواست کرد “سرورهای تلگرام در حال انجام بودند، اما مینی اپلیکیشن ها روش فعال سازی متفاوتی دارند و درخواست کاربر برای اتصال به آنها به سرورهای تلگرام منتقل نمی شود.”
اقبال همچنین می گوید که با ربات های سنتی، خود تلگرام با کاربر در ارتباط بوده و فقط تلگرام مشخصات کاربر را می دانست و صاحب ربات به آن پروفایل دسترسی نداشت. با مینی اپ ها صاحب اپلیکیشن مینی می تواند آدرس IP کاربر را دریافت کند یا حتی با ترفندهایی اعم از ترفندهای فنی و مهندسی اجتماعی اطلاعات بیشتری از کاربر دریافت کند.
با اپلیکیشن های کوچک، صاحبان این روبات های جدید می توانند به پروفایل ها و اطلاعات کاربران دسترسی داشته باشند
این کارشناسان همچنین توضیح میدهند که برنامههای کوچک حتی میتوانند آدرس IP اصلی کاربر را هنگام استفاده از VPN (که آدرس IP کاربر را تغییر میدهد)، با درخواست از کاربر برای قطع ارتباط با VPN یا اگر VPN در حین کار قطع شود، شناسایی کنند. با آنها و دسترسی به آن. داده های بزرگ را می توان از تمام این اطلاعات جمع آوری کرد، که می تواند برای تقلب یا انجام کارهای پیچیده تر مورد استفاده قرار گیرد.
در مورد جمع آوری سکه، برخی از کاربران ممکن است بخواهند از برنامه های Autoclick استفاده کنند تا برنامه برای آنها روی تلفن ضربه بزند و سکه ها را جمع آوری کند. این مشکل ایمن نیست و ممکن است امنیت کاربران را به خطر بیندازد. میلاد نوری در این باره می گوید:
وقتی به Accessibility اجازه دسترسی به این برنامهها را میدهید، مثل این است که شخصی در کنار شما نشسته است و میتواند تمام محتوای صفحه گوشی شما را ببیند و از طرف شما اقداماتی انجام دهد. اگر این برنامه ها بخواهند از شما و گوشی شما سوء استفاده کنند، می توانند محتویات چت های شما را بخوانند، رمز عبور شما را ببینند و بگیرند، رمزهای عبور کیف پول ارز دیجیتال شما را بخوانند، از اطلاعات شما اسکرین شات بگیرند و غیره.
– میلاد نوری، متخصص فناوری اطلاعات
برنامه های کوچک و ایجاد فرصت مناسب برای کمپین های تقلبی
البته این تنها مشکلی است که مینی اپ ها ایجاد می کنند، روی مدل هایی کار می کنند که شفافیت لازم را ندارند و کاربر نمی تواند از صحت آنها مطمئن باشد. آرین اقبال در این باره می گوید:
اگر قبلا برای جابجایی از تلگرام به وبسایت فقط لینک نمایش داده میشد، اکنون با این مینیاپها عملاً کل وبسایت به کاربر نمایش داده میشود. در این حالت برخلاف گذشته که آدرس وب سایت و لینک وجود داشت و می توانستیم دامنه آن را داشته باشیم و آن را ردیابی کنیم، اما با این مینی اپ ها تنها چیزی که برای کاربر قابل مشاهده است تیک آبی رنگ تلگرام است (فرآیند) دریافت آن برای او چندان واضح نیست) و برای اینکه بتوانیم اعتبار یک ویجت را اندازه گیری کنیم، دیگر به دامنه برای بررسی آن دسترسی نداریم.
– آرین اقبال، مهندس نرم افزار و فعال اینترنتی
به گفته این کارشناس، مشکل ناشناس ماندن و عدم امکان احراز اصالت اپلیکیشن های کوچک، «خطر افتادن در دام کمپین های فیشینگ، کلاهبرداری و سایر روش های سرقت اطلاعات کاربران را افزایش می دهد».
همه این ناشناخته ها باعث می شود Hamster Combat یا هر پروژه مشابهی شبیه یک کمپین تقلبی به نظر برسد یا حداقل فعالیت های کلاهبرداری را فعال کند. به عنوان مثال، این مهندس نرم افزار به تبلیغات تأثیرگذار یا صفحاتی که بسته های مربوط به این بازی را می فروشند اشاره می کند:
با توجه به اینکه برخی از اینفلوئنسرها نیز این بازی را تبلیغ کردهاند و با توجه به اینکه اینفلوئنسرها بدون دریافت پول تبلیغ نمیکنند، فکر میکنم این نیز میتواند بخشی از یک پروژه کلاهبرداری نه تنها توسط سازندگان این بازی، بلکه توسط کلاهبردارانی باشد که قصد خالی کردن آن را دارند. با فروش بوستر، پک و سایر موارد مرتبط با این بازی، جیب مردم را فریب دهید.
این یک بازی برنده نیست
به گفته کارشناسان، ابهام این فضا به حدی است که مشخص نیست این ابزارهای بازی مانند پروژه های تبلیغاتی هستند یا کلاهبرداری. کارشناسان می گویند تلگرام در تلاش است تا با استفاده از این بازی ها شبکه TON خود را در بین مردم ایجاد کند، اما نمی دانیم با این بازی های رمزنگاری چه اتفاقی می افتد.
در واقع این روزها کاربران در سراسر جهان درگیر موضوعی هستند که پایان آن را نمی دانند. هیچ کس نمی داند که آیا آنها در مرحله اول یک کمپین کلاهبرداری شرکت می کنند یا فقط در حال انجام یک بازی هستند یا در یک کمپین تبلیغاتی شرکت می کنند. هیچ چیز در مورد این بازی مشخص نیست و ما حتی نمی دانیم که این سکه توسط چه شرکت یا چه شخصی ساخته شده است.
اقبال این وضعیت را اینگونه تعریف می کند: فکر می کنم همستر کمبت یک تجارت خاکستری راه انداخته و از این فضای خاکستری و مبهم ماهیگیری می کند.
او به مردم توصیه می کند وارد ماجراجویی نشوند که دقیقاً نمی دانند چیست و فکر می کند افرادی که وارد آن می شوند باید آن را فقط به عنوان یک بازی ببینند زیرا “مشکل این است که در پایان همستر کمبت، اکثریت شرکت کنندگان ناامید خواهند شد زیرا “این یک بازی برنده نیست که در آن همه پول زیادی کسب کنند.”
با برنامههای کوچک، همه کاربران شاهد نقض امنیتی نخواهند بود، اما این فضاها پتانسیل بیشتری برای ناامنی دارند.
البته این فعال اینترنتی بر این باور است که ناامنی اپلیکیشن های کوچک به این معنا نیست که هر کاربری که از آنها استفاده می کند قطعا آسیب های امنیتی را متحمل می شود، بلکه به این معناست که این ابزارها پتانسیل بیشتری برای ناامنی دارند، به ویژه پس از آن که مردم ما هستند. با مفاهیم امنیتی آشنا نیستیم.”
ضمناً وی به اهمیت مینی اپلیکیشن های تلگرام نیز اشاره می کند و شکل گیری اکوسیستم مبتنی بر این شبکه را فرصت بسیار مناسبی برای فروشگاه های اینترنتی می داند:
ایجاد این شبکه فرصت بسیار خوبی برای فروشگاه ها و کسب و کارهای آنلاین است تا بتوانند کسب و کار خود را به تلگرام منتقل کنند، زیرا می توانند تمامی امکاناتی را که قبلا در UX وب سایت ها در تلگرام داشته اند پیاده سازی کنند و همچنین این امکان را داشته باشند که از بستر شبکه TON تلگرام برای پرداخت استفاده کنید از ارز دیجیتال، تتر و موارد دیگر استفاده کنید.
– آرین اقبال، مهندس نرم افزار و فعال اینترنتی
مراقب کیف پول و وسایل خود باشید
میلاد نوری، کارشناس حوزه فناوری اطلاعات نیز نسبت به از دست رفتن مالکیت کاربران در بازی Hamster Combat هشدار داد و گفت: دسترسی به کیف پول رمزنگاری یکی از دسترسی هایی است که برخی ربات ها از کاربر می خواهند و یا برخی دیگر آن را می طلبند. از کاربر مبلغی را از این کیف پول واریز کنید. لازم به ذکر است که برخی از این ربات ها کلاهبردار یا کلاهبردار هستند و با دسترسی به کیف پول می توانند از آن خارج شوند.
در همین راستا، انجمن بلاک چین نیز در اطلاعیه ای به مواردی برای جلوگیری از به خطر افتادن دارایی های کاربران اشاره کرد و مواردی را ذکر کرد:
1- توجه داشته باشید که سودآوری این پروژه ها تضمین نمی شود. 2- به کسی اجازه دسترسی به رمز گوشی، رمز عبور و 24 کلمه کیف پول ندهید و توکن خود را در کیف پول خود (نه در صرافی) نگه دارید. 3- این ایردراپ ها رایگان هستند، نیازی به پرداخت هزینه به کسی ندارید. 4- فقط به ربات هایی متصل شوید که ربات های مرجع airdrop مرتبط هستند. 5- توکن ها یا ایردراپ های خود را از طریق صرافی های مورد اعتماد که اعضای جامعه بلاک چین خود تنظیم هستند بفروشید و 6- توکن های خود را به بهانه فروش آنها در اختیار افراد دیگر قرار ندهید.
[ad_2]