پدرم امروز اومدم پیشم و یک پیامک رو از داخل گوشیش بهم نشون داد و پرسید آیا این لینک کلاه برداریه یا نه؟. تصویری از پیام اصلی ندارم ولی متنش شبیه به متن زیر بود :

سلام حمایت خانوار نگرفتی بگیر! من خودم گرفتم.
cr.irpgs.com

من ی نگاه سریع انداختم و گفتم که به لینک اطمینان ندارم و بنظرم درست نیست و بهتره یکم صبر کنه اما چند دقیقه بعدش توی تلگرام وسایت های مختلف خبر جعلی بودن این لینک اومد و مطمئن شدم.
توی این پست قصد داریم توضیح بدم که چطوری می‌تونیم بفهمیم که این لینک جعلیه یا واقعی یا حداقل توضیح بدم من توی اینجور مواقع چطوری مسئله رو چک می‌کنم.

چه کسی این پیامک رو فرستاده؟

اگر برنامه نویس باشید خوب می‌دونید که فرستادن یک پیامک با یک لینک به هزاران نفر اصلا کار سختی نیست پس اولین سوالی که باید جواب بدیم که این پیامک از کجا ارسال شده؟
از اونجایی که بحث یارانه و کمک معیشتی هست پس انتظار داریم متولی این مسئله یک نهاد دولتی باشه. در نتیجه انتظار داریم یک نهاد دولتی این پیامک رو برای شما ارسال کنه و اگر به شکل اتفاقی بدستتون رسیده یا دوستی برای شما اون رو فرستاده کمی صبر کنید و بیشتر فکر کنید.
اگر به متن پیامک توجه کنید دو نکته داره :
نکته یک : لحن صمیمی پیامک. اگر این یک پیامک از سمت نهاد دولتی باشه معمولا کمی رسمی تر نوشته میشه. ما پسر خالش نیستیم که با این لحن بهمون پیام بده 🙂
نکته دو :‌ عبارت “من خودم گرفتم”. کسی که این پیامک رو ارسال کرده با نوشتن این جمله سعی کرده یک اعتمادی رو برای خواننده ایجاد کنه و بگه که اعتماد کن چون منم اعتماد کردم و الان پول دار شدم (با پول کمک معیشتی) حالا تو هم عجله کن و پول دار شو.

بررسی URL و اینکه آیا لینک معتبره ؟

بعد از خوندن متن پیام و بررسی اینکه چه کسی این پیام رو فرستاده ی نگاهی هم به لینک میندازم.
قبل از اینکه روی لینک کلیک کنم به آدرس url نگاه می‌کنم و چنتا نکته در مورد این url وجود داره :‌

نکته یک : آدرس url با com ختم شده. اگر نمیدونید com مخفف commercial به معنای تجارت هست و سوال اینه که چرا یک نهاد دولتی باید دامنه com رو برای کمک معیشتی و یارانه استفاده بکنه؟ تا حدودی همین مسئله مشخص می‌کنه که ما با یک لینک اشتباه طرف هستیم.
این نکته رو یادتون داشته باشید که اگر یک نهاد دولتی معتبر بخواد یک لینک برای شما ارسال کنه قسمت انتهایی لینک چیزی شبیه به الگوی زیر باید باشه (حالت هایی هم هست که متفاوت باشه اما این الگو بیشتر تکرار میشه )

.gov.ir

قسمت ir مخفف iran و قسمت gov مخفف government است و تمام اینها یعنی سایت هایی که آخر url شون به .gov.ir ختم میشن در اختیار دولت هستند.

بررسی سایت

بعد از اینکه لینک رو بررسی کردم، لینک رو داخل لپ تاپ خودم باز کردم و صفحه زیر لود شد :

پدر من با دیدن لوگوی وزارت اقتصاد و دارایی حدس زد که سایت باید معتبر باشه. این اشتباهی هست که در نگاه اول خیلیا انجام میدن. در این مورد خاص سازنده سایت خیلی ناشیانه این کار رو انجام داده ولی در بعضی از سایت های جعلی این کار اونقدر خوب انجام میشه که شاید آدم های حرفه ای هم متوجه جعلی بودن سایت نشن.
این نکته رو بدونید که تصویر وزارت اقتصاد و دارایی فقط یک عکس سادست که از اینترنت می‌تونید دانلود کنید، به 10M هم فکر نکنم برسه. در نتیجه هیچ موقع به لوگو و ظاهر اعتماد نکنید.

اگر کلاه بردار (سازنده سایت تقلبی) هم داره این پست رو میخونه میخوام از همینجا بهش بگم که یکم سلیقه به خرج بده و روی UI/UX کار کن. من خودم توی UI/UX افتضاحم ولی اینی که تو درست کردی دیگه خیلی ضایعس. حداقل اون فیلد ها رو بذار وسط صفحه که نصف مانیتور یک صفحه سفید خالی نباشه.

بررسی SSL certificate

کار بعدی که من انجام دادم بررسی SSL certificate بود. با بررسی SSL certificate میخواستم ببینم issuer این certificate چه کسی بوده.
برای بررسی certificate از گوشه سمت چپ مرورگر روی علامت قفل کلیک کردم و پنجره زیر باز شد :

دکمه view certificate رو زدم و صفحه پایین باز شد :

توی هیچ کدوم از قسمت های این certificate من نشونه ای از هیچ نهاد دولتی ندیدم.

بررسی whois

بیاید ی بار دیگه به لینک داخل پیام نگاه کنیم. لینک هست :

cr.irpgs.com

قسمت قبل از com یعنی همون عبارت irpgs آدرس سایت رو نشون میده. شرکت ها و نهاد ها برای اینکه url های کوچیک داشته باشند از مخفف اسم شرکت یا نهادشون برای انتخاب دامنه استفاده می‌کنند.
توی این لینک عبارت irpgs استفاده شده. قسمت ir احتمالا برای اینه که بگه ی جوری به ایران مرتبطه و قصد داره باز هم اعتماد کاربر رو جلب کنه. قسمت pgs هم من نمیدونم مخفف چی هست. احتمالا ی سری کارکتر رندم 🙂

برای اینکه ببینم چه کسی این دامنه رو ثبت کرده توی ترمینالم از این url یک whois گرفتم و خروجی به شکل زیر بود :

من چیز قابل اعتمادی داخل فیلد های whois ندیدم ولی ی سری چیز ها جالب داخلش بود.
مثلا namecheap.com چند جا تکرار شده که یک سایت خرید دامنه است. خود namecheap ی نشون از جعلی بودنه 🙂

خلاصه

سعی کردم خلاصه و کوتاه توضیح بدم چطوری می‌تونیم صحت یک پیامک و لینک رو بررسی کنیم. ممکنه راه حل های مطمئن تری هم باشه که من بلد نباشم و اگر شما بلدید لطفا به من و بقیه هم یاد بدید اما چنتا نکته :‌

نکته یک : کلاهبردار ها هر روز بیشتر و بیشتر میشن پس کمی محتاط تر عمل کنید و به هر پیامی اعتماد نکنید. بهترین راه مقابله افزایش دانش و اطلاعاته. اگر به شکل حرفه ای با کامپیوتر کار می‌کنید احتمالا خیلی بهتر از من می‌تونید این سایت ها رو تشخیص بدید ولی اگر به شکل حرفه ای با کامپیوتر کار نمی‌کنید حتما دانشتون رو افزایش بدید. مسلما سودی که این افزایش دانش به شما می‌رسونه از پولی که بابت کمک معیشتی میگیرید بیشتر به شما کمک میکنه.

نکته دو : همونطور که گفتم این سایت خیلی تابلو و ضایع ساخته شده اما همین سایت ضایع هم تعداد زیادی قربانی گرفته. در حالت های دیگه ممکنه این سایت خیلی بهتر ساخته بشه و شاید آدم های حرفه ای هم نتونن جعلی بودن رو تشخیص بدن پس همیشه سعی کنید چندین راه رو برای صحت سایت بررسی کنید.

نکته سه : با گذشت چند روز از این ماجرا و فراگیر شدن خبرش این سایت هنوز در دسترسه در صورتی که فیلترچی خیلی راحت می‌تونه این سایت رو فیلتر کنه که باعث میشه آدم های کمتری توی تله بیافتند اما ظاهرا این کار سودی براش نداره.

آپدیت : امروز ۱۹ مرداد ۱۴۰۳ سایت رو مجددا چک کردم، حدودا بعد از ۴ روز سایت از دسترس خارج شده و صفحه زیر رو داریم :