پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
درباره ماجرای حمله سایبری به بانکهای ایران چه میدانیم؟ نگاهی به گزارش پولیتیکو اروپا و بررسی همه حرف و حدیثها
گزارش وبسایت «پولیتیکو اروپا» در هفته گذشته مورد توجه گسترده رسانههای فارسیزبان خارج از کشور قرار گرفت و به سرعت توسط این رسانهها بازنشر شد. نویسنده گزارش پولیتیکو با استناد به منابعی بدون نام مدعی شده اطلاعات ۲۰ بانک ایرانی به بیرون نشت پیدا کرده و هکرها برای عدم انتشار آنها پول گرفتهاند. در ادامه این گزارش نیز روز جمعه وبسایت «سایبراسکوپ» در گزارشی جزییات بیشتری را منتشر کرد. هر دوی این گزارشها به مطالب ایران اینترنشنال در یک ماه گذشته استناد کردهاند و در ادامه این چرخه ایران اینترنشنال نیز در تایید ادعاهای خود به این گزارشها ارجاع داده است.
هیچ کدام از این گزارشها تاکنون توسط نهادهای مسئول در ایران تایید نشدهاند و پیگیریهای خبرنگاران راه پرداخت نیز برای بررسی صحت مطالب طرح شده در گزارشها تاکنون بینتیجه بوده است. تا زمانی که سازمانهای مرتبط در ایران درباره این موضوع اظهارنظر نکنند، امکان اظهارنظر فنی درباره ماجرا وجود ندارد و تمامی صحبتها مبتنی بر حدسوگمان است.
ابتدا نگاهی بیندازیم به گزارش پولیتیکو.
تلاش برای توقف حمله سایبری گسترده به بانکهای ایرانی
وبسایت پولیتیکو اروپا روز چهارشنبه ۱۴ شهریور گزارشی منتشر کرد با این عنوان: «مقامات میگویند ایران برای پایان دادن به حمله سایبری گسترده به بانکها میلیونها دلار باج میپردازد؛ گروه IRLeaks که سابقه هک شرکتهای ایرانی را دارد، مسئول این حمله است». این گزارش را متیو کارنیتسنیگ (Matthew Karnitschnig) خبرنگار ارشد اروپا وبسایت پولیتیکو نوشته است. کارنیتسنیگ سابقه خبرنگاری در وال استریت ژورنال را دارد و همچنین در سال ۲۰۰۹ یکی از نامزدهای جایزه پولیتزر بوده است.
او در گزارشی بدون منبع و با استناد به «تحلیلگران صنعت و مقامات غربی» مدعی شده است که یک حمله سایبری گسترده ماه گذشته ایران را مورد هدف قرار داده و ثبات سیستم بانکی این کشور را تهدید و ایران را مجبور کرد با پرداخت میلیونها دلار باج موافقت کند.
گزارش به نقل از «افراد مطلع بدون نام» میگوید یک شرکت ایرانی در ماه گذشته حداقل ۳ میلیون دلار باج پرداخت کرد تا یک گروه ناشناس از هکرها را از انتشار اطلاعات حسابهای شخصی بیش از ۲۰ بانک داخلی متوقف کند که به نظر میرسد بدترین حمله سایبری در این کشور باشد. در گزارش دیگری که وبسایت سایبراسکوپ دو روز بعد منتشر کرده به جای مبلغ ۳ میلیون دلار به پرداخت ۵۶۰ هزار دلار اشاره شده است.
در ادامه گزارش، نام شرکت توسن و نام گروه هکری هم IRLeaks اعلام میشود. گزارش به نقل از «مقامات» میگوید گروهی به نام IRLeaks که سابقه هک شرکتهای ایرانی را دارد، احتمالاً پشت این نفوذ بوده است. گفته میشود هکرها ابتدا تهدید کرده بودند که دادههای جمعآوریشده را که شامل اطلاعات حساب شخصی و کارت اعتباری میلیونها ایرانی میشود، در وب تاریک میفروشند، مگر اینکه ۱۰ میلیون دلار ارز دیجیتال دریافت کنند، اما بعداً با مبلغ کمتری تسویه حساب کردند.
در گزارش پولیتیکو به اطلاعات کارتهای اعتباری اشاره شده است، که احتمالا منظور نویسنده کارتهای نقدی بوده. برخلاف اروپا کارتهای اعتباری در ایران درصد بسیار کمی از کارتهای پرداخت را تشکیل میدهند و درصد اصلی متعلق به کارتهای نقدی است.
گزارش در ادامه مدعی میشود که «دولت ایران» از ترس این که سرقت دادهها، «سیستم مالی متزلزل» این کشور را که در بحبوحه تحریمهای بین المللی با آن مواجه است، بیثبات کند، برای انجام معامله فشار آوردند. البته گزارش در ادامه مینویسد: «ایران هرگز بحران اواسط آگوست [اواخر مرداد] که بانکها را مجبور کرد دستگاههای عابربانک را در سراسر کشور تعطیل کنند، نپذیرفت. اگرچه این حمله در آن زمان توسط ایران اینترنشنال، یک رسانه خبری مخالف دولت ایران گزارش شد، اما نه هکرهای مظنون و نه باجخواهیها، فاش نشدند.
این گزارش در تایید ادعای ایران اینترنشنال به صحبتهای مقام معظم رهبری اشاره میکند و مدعی میشود رهبر ایران در پی این حمله پیامی ارائه کرد و ایالات متحده و اسرائیل را به دلیل «اشاعه ترس در بین مردم ما» مقصر دانست، بدون اینکه اذعان کند بانک های کشور مورد حمله قرار گرفتهاند. گزارش مینویسد حضرت آیتالله خامنهای گفتند: «هدف دشمن گسترش جنگ روانی است تا ما را به عقب نشینی سیاسی و اقتصادی بکشاند و به اهداف خود برسند.»
پولیتیکو اروپا مانند وبسایت اصلی پولیتیکو رسانهای سیاسی است و در ادامه تحلیلهای سیاسی از ماجرایی که روایت میکند میدهد. این وبسایت ذیل تیتر «نفوذ در انتخابات» مینویسد: «این اتهام با توجه به تنشهای گستردهتر بین اسرائیل، ایالات متحده و ایران قابل قبول به نظر میرسید. در حالی که تهران اسرائیل را مسئول شهادت اخیر یکی از رهبران ارشد حماس [اسماعیل هنیه] در ایران میداند، واشنگتن ایران را متهم میکند که با هک کردن عملیات انتخاباتی دونالد ترامپ، در انتخابات آمریکا تاثیر میگذارد.
با وجود این تنشها، افرادی که منبع گزارش هک بانکی در ایران هستند به پولتیکو اروپا گفتند که IRLeaks نه به ایالات متحده و نه به اسرائیل وابسته است، و نشان میدهد که این حمله ممکن است کار هکرهای آزاد بوده باشد که عمدتاً با انگیزههای مالی هدایت میشوند.
گزارش در ادامه و در تایید انگیزههای مالی و غیرسیاسی این هک مینویسد: «چنین مواردی در سالهای اخیر به طور فزایندهای در سراسر جهان رایج شدهاند، زیرا هکرهای پیشرفته، دادههای خصوصی دولتها و شرکتها را ضبط میکنند و در ازای عدم انتشار اطلاعات، باج میخواهند.
ایران با چنین فعالیتی بیگانه نیست. در ماه دسامبر، IRLeaks ادعا کرد که اطلاعات مشتریان نزدیک به ۲۳ شرکت بیمه ایرانی و هک کردن اسنپفود، یک سرویس تحویل غذا، را به سرقت برده است. به گفته مقامات، اگرچه شرکت ها با پرداخت باج به IRLeaks موافقت کردند، اما این مبلغ بسیار کمتر از این بود که این گروه از هک بانکی دریافت کرده بود.
به گفته مقامهای بدون نام مورد استناد گزارش، آیآرلیکس از طریق شرکت توسن وارد سرورهای بانکها شده است. به نظر میرسد هکرها با استفاده از توسن به عنوان اسب تروا، دادههای بانکهای خصوصی و بانک مرکزی ایران را جمعآوری کردهاند. این مقامات که برای افشای اطلاعات حساس خواستند نامشان فاش نشود، گفتند که از ۲۹ موسسه اعتباری فعال ایران، ۲۰ موسسه مورد ضربه قرار گرفتند.
بانک صنعت و معدن، بانک قرضالحنسه مهر، پست بانک ایران، بانک ایران زمین، بانک سرمایه، بانک ایران و ونزوئلا، بانک دی، بانک شهر، بانک اقتصاد نوین و سامان از جمله بانکهای آسیب دیده بودند. در گزارش ایران اینترنشنال نام بانکهای ملی، صادرات، سپه و مسکن هم در فهرست بانکهای آسیبدیده هست که هیچکدام از سرویسهای توسن استفاده نمیکنند و مشتری خدمات انفورماتیک، داتین و ناواکو هستند. ایران اینترنشنال نام ۱۷ بانک را ذکر کرده است و پولیتیکو نام ۱۰ بانک از ۲۰ بانک مورد حمله واقع شده را.
یکی از افراد مطلع به پولیتیکو گفته است که دولت ایران در نهایت توسن را مجبور به پرداخت باج به IRLeaks کرد.
در گزارش یک خط چهارشنبه ۲۴ مرداد ایران اینترنشنال ادعا شده بود سامانه اصلی بانک مرکزی ایران و چند بانک دیگر هک شدند. نگاهی به گزارش پولیتیکو ابعاد فنی بیشتری از ماجرا را شفاف نمیکند و مشخص نیست منظور نویسنده از استفاده از توسن به عنوان اسب تروآ چیست. شرکتهای اصلی سرویسدهنده خدمات زیرساخت بانکی در ایران شرکتهای خدمات انفورماتیک، توسن و داتین هستند و شرکتهای دیگری مانند پویا نیز در این صنعت فعالیت میکنند و چند بانک نیز از خدمات شرکتهای خارجی یا زیرمجموعه خود استفاده میکنند. تمام زیرساختهای بین بانکی در ایران و زیرساختهای بانک مرکزی توسط شرکت خدمات انفورماتیک ارائه میشود. با توجه به عدم ذخیره اطلاعات بانکی در توسن لازم است جزئیات فنی بیشتری از این ماجرا بیان شود که بتوان درباره ابعاد غیرسیاسی آن دقیقتر اظهارنظر کرد.
گزارش پولیتیکو اروپا در بخش پایانی با تیتر «مشکلات شدید» میگوید آنچه مشخص نیست این است که آیا هکرها از توسن برای هدف قرار دادن سایر اهداف در ایران استفاده کردهاند یا خیر. گزارش در پایان مدعی میشود بخش مالی ایران از دیرباز پاشنه آشیل این کشور بوده است. بانکهای ایرانی بر اساس استانداردهای بینالمللی دچار عدم کفایت سرمایه هستند و تحت فشار پرداخت تسهیلاتی که مجبورند به دولت به عنوان بزرگترین وام گیرنده بدهند.
گزارش در پایان میگوید رئیس بانک مرکزی ایران گفته که هشت بانک کشور با مشکلات شدیدی روبرو هستند و ادغام یا منحل خواهند شد. علیرغم این نگرانیها، ایرانیها همچنان پولهای خود را در بانکها نگهداری میکنند و برای انجام تراکنشهای روزانهشان به آنها متکی هستند. با نرخ تورم نزدیک به ۴۰ درصد، ایرانیان به دلیل راحتی پرداختهای دیجیتال از پول نقد اجتناب میکنند.
با استناد به این گزارهها نویسنده مدعی میشود که شکنندگی سیستم بانکی، سپردهگذاران را در معرض فرار ناگهانی از بانکها قرار می دهد؛ و این خطر ممکن است توضیح دهد که چرا دولت ایران از اعتراف علنی حمله سایبری امتناع ورزیده و توسن را برای پرداخت به هکرها تحت فشار قرار داده است.گزارش پولیتیکو اینجا به پایان میرسد؛ بعد از انتشار به سرعت توسط رادیو فردا، یورونیوز فارسی، دویچهوله فارسی، صدای آمریکا، العربیه فارسی و ایران اینترنشنال بازنشر میشود. ایران اینترنشنال با عنوان «تائید خبر ایراناینترنشنال؛ در بزرگترین حمله سایبری، اطلاعات ۲۰ بانک ایرانی به سرقت رفت» این گزارش را بازنشر کرد.
در داخل ایران نیز وبسایتهایی مانند انتخاب و خبرآنلاین این گزارش را بازنشر کردند.
این گزارش تاکنون مورد توجه گسترده رسانههای انگلیسیزبان قرار نگرفته و تنها دو گزارش در ادامه منتشر شده است؛ یکی در وبسایت اصلی پولیتیکو که ادعاهایی مبنی بر حملات سایبری از منبع ایران در آن شده و دیگری گزارشی از وبسایت سایبر اسکوپ.
در ادامه نگاهی بیندازیم به گزارش سایبراسکوپ.
مذاکرات بیتکوینی
سایبراسکوپ در گزارشی از عدد ۵۶۱ هزار دلار صحبت میکند؛ عددی که در گزارش پولیتیکو اروپا ۳ میلیون دلار گفته شده. البته هیچ کدام از این گزارشها با توجه به بورسی بودن شرکت توسن و الزام به افشای اطلاعات توضیح نمیدهند که مدیران این شرکتها مبلغ مورد اشاره را چگونه تامین کردهاند.
گزارش سایبراسکوپ میگوید بر اساس ایمیلها و دادههای بلاکچین بررسیشده توسط CyberScoop، یک شرکت فناوری اطلاعات ایرانی مورد حمله سایبری شدیدی قرار گرفته و در حال پرداخت اقساط باج به هکرها است.
این گزارش میگوید ایمیلهای بین آیآرلیکس و آرش بابایی، مدیرعامل توسن، که توسط شخص ثالث بهدست آمده، با CyberScoop به اشتراک گذاشته شده و توسط منبع مطلع دیگری تأیید شده است، دو طرف را در حال مذاکره برای پرداخت از ۸ آگوست نشان میدهد. توسن ۱ بیتکوین را به آدرسی که آیآر لیکس ارائه کرده بود ارسال و آیآر لیکس دریافت آن را تأیید کرد.
طبق ادعای سایبراسکوپ دو طرف با پرداخت اولیه ۱ بیتکوین و پس از آن پرداخت ۳ بیتکوین در هفته تا زمانی که مجموعاً ۳۵ بیتکوین پرداخت شود، موافقت کردند. این کیف پول تاکنون تقریباً ۱۰ بیت کوین به ارزش حدود ۵۶۱ هزار دلار دریافت کرده است.
جکی برنز کوون، رئیس اطلاعات تهدیدات سایبری در Chainalysis، به CyberScoop گفت که کیف پول مورد نظر حداقل از دو صرافی مختلف ایرانی پرداختهایی دریافت کرده است که «میتواند با پرداختهای قربانیان ایرانی مطابقت داشته باشد».
این گزارش هم در ادامه به منبع اصلی این گزارشها یعنی ایران اینترنشنال ارجاع میدهد و در تکمیل آن خبر خبرگزاری مهر را که همزمان با آن منتشر شده را بازنشر میکند. مهر در ۲۴ مرداد در خبری با عنوان «شایعهسازی رسانههای معاند برای جلوگیری از ریزش دلار» نوشت: «همزمان با تداوم روند نزولی نرخ دلار غیررسمی در روزهای گذشته، رسانههای معاند با انتشار اخبار جعلی سعی در برهم زدن آرامش ذهنی جامعه دارند. به گزارش خبرنگار مهر، یک گروه هکری با انتشار پستی در کانال تلگرام خود ادعا کرده بود که یک بانک را هک کرده اما دقایقی بعد این پست را پاک کرد. روابط عمومی بانک مرکزی در خبری ضمن تکذیب این موضوع اعلام کرده که هیچ سامانهای در بانک مرکزی و به طور کلی نظام بانکی هک نشده است. همزمان با تداوم روند نزولی نرخ دلار غیررسمی در روزهای گذشته، رسانههای معاند با انتشار اخبار جعلی مبنی بر هک سامانه بانک مرکزی، سعی در برهم زدن آرامش ذهنی جامعه دارند.»
فناوری بانکی ایران ناگهان مورد توجه پولیتیکو قرار گرفت
با این که منبع اصلی گزارشهای منتشر شده، ایران اینترنشنال است ولی تا زمانی که وبسایت پولیتیکو گزارش خود را در روز چهارشنبه منتشر نکرده بود، این موضوع مورد توجه نبود. ۶ رسانه چاپی و دیجیتال با عنوان پولیتیکو داریم که گزارش هک شبکه بانکی ایران را وبسایت پولیتیکو اروپا منتشر کرده است.
پولیتیکو یا به قول ویکیپدیای فارسی پلیتیکو یک رسانه سیاسی است که ۱۷ سال پیش (سال ۲۰۰۷) در ویرجینیا آمریکا توسط رابرت آلبریتون راهاندازی شد و در حال حاضر گلی شیخالاسلامی مدیرعامل آن است. مالک پولیتیکو در حال حاضر شرکت آلمانی اکسل اشپرینگر است.
اکسل اشپرینگر یک ناشر خبری و شرکت رسانهای آلمانی است؛ این شرکت بزرگترین ناشر روزنامه در اروپا است و قبلا Business Insider را خریداری کرده بود. در سال ۲۰۲۱ هم به مبلغ بیش از ۱ میلیارد دلار پولیتیکو را خرید. با این که مدیران اکسل اشپرینگر به ضد فلسطینی بودن و حمایت از اسرائیل شناخته میشوند. برخلاف کارمندان روزنامههای آلمانی این موسسه، کارمندان پولیتیکو مجبور نیستند بیانیه ماموریت اکسل اشپرینگر در حمایت از اسرائیل را امضا کنند. گلی شیخالاسلامی از سال ۲۰۲۲ و از سوی اکسل اشپرینگر به عنوان مدیرعامل پولیتیکو انتخاب شده است. خانم شیخ الاسلامی در صفحههای شخصی خود در شبکههای اجتماعی مطالبی علیه حکومت ایران منتشر میکند.
پرسشهای بیپاسخ
با این که ادعا میشود مبلغ پرداختی به هکرها از طریق بیتکوین بوده، ولی هنوز پرسشهای بیپاسخ زیادی درباره شیوه تامین این مبلغ در یک شرکت بورسی وجود دارد. داغ شدن این گزارش هم زمان شده است با شروع وزارت عبدالناصر همتی رئیسکل اسبق بانک مرکزی ایران. ایران اینترنشنال که میداندار اصلی این گزارشها است در روایتهایی تلاش کرده است نام بنیانگذار مجموعه توسن یعنی سید ولیاله فاطمی اردکانی را برجسته کند و این نام را به همتی وزیر اقتصاد گره بزند.
به نظر میرسد همتی برای اصلاح اقتصاد بیمار کشور مسیر سختی در پیش داشته باشد و هر روز شاهد بحرانهای بیشتری برای او باشیم. افشای ماجرای وام میلیاردی به اعضای هیئت مدیره سازمان بورس و استعفای رئيس بورس، تنها یکی از بحرانهای متعدد همتی در شروع کار وزارت اقتصاد است. ایجاد محدودیتهای جدی برای کسبوکارهای حوزه فناوری بانکی در چند ماه گذشته توسط بانک مرکزی به اعتراض بسیاری از فعالان اقتصادی منجر شده است. بانک مرکزی درباره همه این موارد سکوت کرده است. در شرایطی که ابعاد فنی ماجرای هک بانکی روشن نیست و پیش از این هم بانک مرکزی آن را تکذیب کرده، به نظر میرسد طرح بزرگتری برای سختتر کردن مسیر همتی در راه اصلاحات اقتصادی چیده شده است.
ایران اینترنشنال در گزارشی ویدیویی سعی کرده نام توسن و بنیانگذار آن را در کانون توجه قرار دهد. گزارههای اشتباه متعدد هم در گزارش آمده است؛ از جمله این که شرکت توسن متعلق به رئيس پیشین هیئت مدیره بانک ملی ایران است؛ یا این که انحصار زیرساخت بانکداری الکترونیکی ایران در اختیار شرکت توسن است. ایران اینترنشنال پیش از این بارها به دلایل متعدد به سید ولیاله فاطمی اردکانی تاخته بود.
سید ولیاله فاطمی اردکانی چهره شناخته شدهای در بانکداری الکترونیکی ایران است و تاسیس گروه شرکتهای توسن به پیش از حضور او در بانک ملی ایران به عنوان معاون فناوری اطلاعات و عضو هیئت مدیره [و نه رئیس هیئت مدیره] بازمیگردد. ایران اینترنشنال در حالی گفته که توسن انحصار بانکداری الکترونیکی ایران را در دست دارد که زیرساخت فناوری بانکهای بزرگ و دولتی کشور و تمام سامانههای بانک مرکزی ایران، توسط شرکت خدمات انفورماتیک ارائه میشود. در فهرست ۲۰ بانکی هم که توسط این رسانه آمده است نام بانکهایی مانند ملی و صادرات دیده میشود که از زیرساخت شرکت خدمات انفورماتیک استفاده میکنند یا بانک سپه که از داتین خدمت میگیرد و بانک مسکن از ناواکو.
خبرنگاران راه پرداخت نمیتوانند صحت موارد بازنشر شده از گزارش رسانههای دیگر را تایید کنند و به دنبال بررسیهای بیشتر برای روشن شدن ابعاد فنی موضوع هستند.
چه باید کرد؟
خبرآنلاین در گزارشی در پاسخ به این پرسش که چه خطری کاربران را تهدید میکند نوشته است: «نمونهای از دادهها منتشر نشده است اما، طبق گفته این گروه هکری، این حمله هکری بیشتر دادههای بانکی را شامل میشده است؛ از اطلاعات افراد و موجودیهای بانکی گرفته تا سایر اطلاعات بانکی و بستری که میتوان از این دادههای استفاده کرد، بسیار گسترده است. عدهای برای کلاهبرداری از این دادهها استفاده میکنند و با هدف قرار دادن افراد، با استفاده از این دادهها، اعتماد آنها را جلب میکنند و عملیات کلاهبرداری را پیادهسازی میکنند. گفتنی است که فعالانی که کار خلاف قانون انجام میدهند، در هر زمینهای، اطلاعات جامعهای از افراد دارند، به عنوان مثال در حملات فیشینگ نیز میتوان این دادهها را مورد استفاده قرار داد و حتی اگر دادههای فنی نیز داشته باشد، میتوان از این دادهها برای هکهای بعدی نیز استفاده کرد. اما تا زمانی که نمونهای از دادهها منتشر نشود، نمیتوان فهمید که عمق این حمله چقدر بوده است.»
این گزارش در تحلیل چرایی این ماجرا مینویسد: «فیلترینگ و تحریمها به صورت مستقیم بر بحث امنیت سایبری اثرگذار هستند؛ در حوزه نرمافزار، نیاز است که ارتباطات بینالمللی شکل گرفته باشد و مجموعه با همفکری یکدیگر اتفاقاتی که در این حوزه رخ میدهد را به گوش یکدیگر برسانند و با یکدیگر همکاری داشته باشند که در حال حاضر برای شرکتهای ایرانی چنین امکانی فراهم نیست و از طرف دیگر تحریمها منجر میشود که تجهیزات سختافزاری و نرمافزاری با کیفیت به ایران نرسد و تجهیزات قدیمیتر و نسخه کرک در اختیار سازمانها و نهادها قرار گیرد و فیلترینگ نیز هم بر روی ارتباطات بینالمللی تاثیر میگذارد و هم بروزرسانی نرمافزارها را دچار مشکل میکند و فیلترینگ اختلالاتی به وجود میآورد که نمیگذارد نرمافزارهای امنیتی از سایت خود بروزرسانی شوند و همه اینها مستقیما بحث امنیت را تحت تاثیر قرار میدهند.»
خبرنگاران راه پرداخت برای بررسی صحت گزارش رسانهها در حال پیگیری از مراجع رسمی هستند.