روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ به نظر می‌رسد اسکم‌های رمزارز هر روز رو به افزایشند. کمی بعد از اینکه اسکمرها با وعده‌ی سکه‌هایی که اصلاً وجود خارجی نداشتند (آن هم در صرافی‌های جعلی) کاربران را فریب دادند، داستان‌های برندگان خوش‌شانس را روی سایت‌های خبری جعلی نشر دادند و شبیه‌سازی پول هلیکوپتری[1] کردند، نقشه‌ی جدیدی هم‌اکنون در حال اکسپلویت کردن  Lightshot–ابزار اشتراک‌گذاری اسکرین‌شات- می‌باشد؛ هدف این نقشه به دام انداختن سرمایه‌گذاران رمزی است که بیش از اندازه کنجکاوی می‌کنند. در ادامه با ما همراه شوید تا شما را از چند و چون این اسکم با خبر کنیم.

راحتی به معنای امنی نیست

 Lightshot ابزاریست برای خلق، سفارشی‌سازی و ارسال سریع اسکرین‌شات‌ها. این ابزار شامل اپی ویندوزی، مک‌اواس یا اوبونتو و پورتال کلود prnt.sc شده و به کاربران اجازه می‌دهد براحتی و با سرعت بالا اسکرین‌شات‌ها را به اشتراک بگذارند: یک کلیک یا میانبر تصویر را به کلود می‌فرستد و یوآرالی را برای اشتراک‌گذاری بازمی‌گرداند. هر کس می‌تواند بدون احراز هویت، اسکرین‌شات‌های نشرشده را مشاهده کند؛ شما حتی نیازی به اکانت لایت‌شات هم ندارید! از همین روست که می‌گوییم شاید این ابزار راحتی را برایتان فراهم آورد اما قطعاً امن نخواهد بود. افزون بر این، برای مشاهده اسکرین‌شات نیازی به لینک دقیقی هم ندارید؛ لینک‌ها متوالی هستند. بنابراین اگر کاراکتری را در یکی از آن‌ها جایگزین کنید عکس دیگری برایتان باز خواهد شد. این پروسه حتی می‌تواند اتوماتیزه هم بشود؛ بدین‌معنا که یک اسکریپت ساده برای یوآرال‌های جستجوی فراگیر و دانلود محتوا از آن‌ها برای نوشتن فقط چند دقیقه زمان می‌برد. چنین حالت بی‌حفاظی شاید باگ به حساب نیاید اما این سرویس به کاربران خود هشدار داده است که هر تصویر آپلود شده عمومی است. با این وجود، با توجه به این حقیقت که نشت اطلاعات ارزشمند از طریق Lightshot مرتباً در اخبار نشر می‌شود باز هم یک سری کاربران به هشدارها توجهی نمی‌کنند.

داده‌ها چطور در Lightshot نشت پیدا می‌کنند؟

بنابراین اگر اسکرین‌شات‌ها وارد دامنه عمومی شدند چه؟ چه کسی به اشتراک‌گذاری سوابق بازی یا جوک‌هایی که در پیام‌های کاری است توجه می‌کند؟ کمی خلاقانه‌تر فکر کنید: کاربران لایت‌شات می‌توانند دست‌کم به سه روش احتمالی اطلاعات خود را در معرض خطر قرار دهند. برای مثال کارمندی را تصور کنید که از یک رابط اسکرین‌شات گرفته تا برای راه‌اندازی برنامه جدید کمک بگیرد. به نظر عالی و بی‌خطر می‌آید نه؟ حال، اگر داکیومنتی محرمانه باز باشد چه؟ (حتی به طور نصفه نیمه آن پایین زیر پنجره اپلیکیشن). یا اگر کسی ایمیلِ کاریِ خنده‌داری را با دوستی قابل‌اعتماد به اشتراک‌ بگذارد صرفاً برای شوخی و خنده چه؟ این اسکرین‌شات‌ها در لایت‌شات عمومی می‌شوند و این اسکرین‌شات‌های عمومی‌شده می‌توانند دردسرهای بزرگی را به همراه داشته باشند. دردسرسازان آنلاین به دنبال برملا کردن عکس‌های سرگرمی‌آفرینند؛ ترول‌هایی که بشود آن‌ها را برای آزار و اذیت کاربران به کار گرفت. مجرمان سایبری می‌توانند کاربر را تهدید به پخش عکس‌ها کنند و در ازای عدم انجام این کار باج بگیرند. حالا چطور؟ نظرتان مثل قبل است؟

دامی برای کنجکاوها

در عین حال، حتی آن دسته از افراد که اطلاعات ارزشمند خود را خصوصی نگه می‌دارند و همیشه هم حواسشان هست اسکرین‌شات‌ها موارد اضافی یا خصوصی نداشته باشند هم ممکن است باز معایبی در این این سرویس ببینند. برای مثال، هر روز می‌شود در پورتال لایت‌شات اسکرین‌شات‌هایی را دید با جزئیاتی برای دسترسی به کیف پول رمزارز. برخی‌اوقات این اسکرین‌شات‌ها ظاهراً می‌گویند اکانت تعمداً به اشتراک‌ گذاشته‌شده و برخی دیگر درخواست‌های کمک را نمایش می‌دهند. برخی دیگر هم عجیب و غریبند و بی‌ربط- حتی یادداشت خودکشی هم در آن مشاهده شده است.

در موارد دیگر اینطور به نظر می‌رسد که جزئیات خصوصی کاملاً تصادفی یا سهواً در لایت‌شات ظاهر شده است. برای مثال، اسکرین‌شات‌هایی را دیدیم که خود را ایمیل‌های ریکاوری پسورد برای کیف‌پول‌های رمزارز جلوه داده بودند.

اگر کاربری به یوآرال داخل اسکرین شات برود و به دنبال انتخاب‌های آسان باشد خود را در وبسایتی پیدا خواهند کرد که ژست صرافی رمزارز به خود گرفته! وارد کردن اطلاعات محرمانه آن‌ها را می‌برد به اکانت جعلی که به ظاهر کلی رمزارز در آن است (مثلاً 0.8 BTC- چیزی بیش از 45 هزار دلار). و قربانی از داخل اکانت می‌تواند اقدام به برداشت پول و انتقال آن به اکانت خود کند. در چنین موقعیتی صرافی قداری کمیسیون می‌خواهد. در برابر کل وجه مبلغ ناچیزی است اما نکته اینجاست که کل وجه تقلبی است و فقط جیب اسکمرها پر می‌شود. همین و بس. برای مثال کمیسیون  0.001–0.0015 BTC با توجه به نرخ فعلی بیت‌کوین چیزی حدود 90 دلار است. به طور کلی نقشه تا اینجای کار را خوب پیش رفته و تا زمان نگارش این مطلب به همین طریق حدود 6000 دلار به کیف‌پول کمیسیون‌بگیرهای تقلبی منتقل شده است.

راهکارهای  امنیتی

همانطور که گفتیم، راحتی به معنای امنیت یا حریم خصوصی نیست- اغلب برعکس است. Lightshot نمونه‌ی آخری نیست که شرحش می‌دهیم. در ادامه توصیه می‌کنیم:

• پیش از نصب لایت‌شات ببینید آیا واقعاً می‌خواهید اشتراک اسکرین‌شات‌ها به طور عمومی انجام شود یا نه.
• اگر تصمیم گرفتید ادامه دهید، یادتان باشد که سرقت اطلاعات محرمانه –جزئیات بانکی، پسوردها و سایر اطلاعات خصوصی- برای مجرمان سایبری آب خوردن است. برای اشتراک‌گذاریشان از کانال‌های امن استفاده کنید و نه لایت‌شات! یا اصلاً توصیه ما به شما این است از خیر انجام چنین کاری بگذرید.
• اگر از قبل از Lightshot استفاده کرده‌اید و اکنون پشیمانید، با سرچ پیام خود یوآرال را بیاورید و گزینه  Report abuse را بزنید یا درخواستی را به support@skillbrains.com ارسال کنید.
• برای گرفتن اسکرین‌شات‌ از ابزارهای درون‌سازه‌ای سیستم عامل خود استفاده کنیدو در ویندوز از Snipping Tool یا Print Screen کمک بگیرید. کاربران مک هم می‌توانند برای سیو کردن اسکریت‌شات کامل Cmd-Shift-3 را فشار دهند یا برای انتخاب محل مورد نظر برای اسکرین‌شات Cmd-Shift-4 را بزنند.

اگر بخواهیم واضح بگوییم، توصیه نمی‌کنیم به سایر اکانت‌ها لاگین شوید (حتی از روی کنجکاوی). همچنین سعی کنید اطلاعات لاگین خود را به دست فیشرها ندهید. از راهکار امنیتی مطمئنی استفاده کنید که در صورت برخورد با هر وبسایت مشکوک این چنینی به شما هشدار دهد.

[1]  helicopter money اصطلاحی است که برای مواقعی که نرخ بهره نزدیک صفر است و اقتصاد همچنان ضعیف است یا وارد رکود اقتصادی شده‌ایم ارائه می‌شود. پول هلیکوپتری می‌تواند یک روش کارا برای افزایش تقاضای کل –بویژه در وضعیت دام نقدینگی، زمانی که بانک‌های مرکزی به اصطلاح به صفر کران پایین رسیده‌اند- موثر باشد.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.