پول سرّی

در حالی که در دهه‌های اخیر فناوری سنگ‌بنای بسیاری از نوآوری‌ها بوده است، اما روی آوردن مجرمان سایبری به حوزه رمزارزها به یکی از چالش‌های اساسی مقررات این پول‌های نوین تبدیل شده است. حملات سایبری، فعالیت‌های پولشویی و کلاهبرداری‌های گوناگون حوزه رمزارزها به تازگی روندی رو به تشدید یافته است، تا جایی که رئیس‌جمهور آمریکا مجبور به صدور فرمان اجرایی در راستای الزام سازمان‌ها به اتخاذ اقدامات مناسب شد. بر اساس گزارش کمیسیون فدرال تجارت آمریکا، رمزارز اصلی‌ترین روش پرداخت در کلاهبرداری‌هاست (با جلو زدن از حواله‌های بانکی و کارت‌های اعتباری). طبق گزارش‌ها، آسیب باج‌افزارها در سطح جهانی در سال 2023 به فراتر از 30 میلیارد دلار خواهد رسید. بر این اساس به منظور حفاظت از مصرف‌کنندگان، سرمایه‌گذاران و کسب‌وکارها، اولین گام تجزیه و تحلیل علمی ماهیت این چالش‌هاست.

چهار اقتصاددان به نام‌های «لین ویلیام کونگ» و «دانیل رابتی» از دانشگاه کرنل، «کمپبِل هاروِی» از دانشگاه دوک و «ژانگ-یو وو» از شرکت امنیت سایبری ان‌سی‌سی آمریکا در مقاله‌ای که به تازگی (ژانویه 2023) در تارنمای انجمن ملی تحقیقات اقتصادی این کشور منتشر شده است، به تجزیه و تحلیل رابطه جرائم مالی و رمزارزها پرداخته‌اند. طبق این مقاله، فراگیری رمزارزها، دو فرصت برای مجرمان ایجاد کرده است. نخست، هکرها از ضعف سازمان‌های متمرکز نظیر بازارهای خرید و فروش رمزارز یا الگوریتم‌های متمرکز برای سرقت دارایی‌های دیجیتال استفاده می‌کنند. به عنوان مثال، ام‌تی گوکس -یک بازار رمزارز ژاپنی- تاکنون قربانی حملات متعدد بوده است (آخرین آنها به سال 2014 برمی‌گردد که به از دست دادن 850 هزار بیت‌کوین معادل 17 میلیارد دلار در زمان انشای این مقاله منجر شد). در این حملات، پول‌ها به آدرس‌های بی‌نام‌ونشان در زنجیره بلوکی (بلاک‌چین) منتقل می‌شوند. البته با توجه به اینکه دفتر کل تراکنش‌ها برای عموم قابل رویت است، می‌توان از این عمل مجرمانه باخبر شد. در حالی که جرم اصلی کاملاً بی‌نام‌ونشان است، اما مجرمان در نهایت باید آن را به صورت پول خارج کنند. هر تراکنش دیگری که از این آدرس صورت گیرد نیز عیان است، بنابراین ناظران قانونی می‌توانند تا حدی مجرمان را ردیابی کنند.

در فرصت دوم، به جز سرقت رمزارز از بازارها، کانال‌های پرداخت جدید به کمک فعالیت‌های مجرمانه سنتی آمده‌اند. رمزارزها جایگزین روش‌های پرداخت متداول سنتی که قابل ردیابی هستند نظیر جابه‌جایی پول نقد یا حواله‌های بانکی شده‌اند. همچنین بهره‌گیری روزافزون از رمزارزها سایر اَشکال جرم‌های سایبری مانند فعالیت پولشویی توسط سازمان‌های مجرمانه را تسهیل کرده است.

آمار و اطلاعات مربوط به فعالیت‌های مجرمانه‌ای که به کمک یا در حوزه رمزارزها انجام می‌گیرند محدود، خصوصی و ناقص است. در این مقاله جامع‌ترین مجموعه اطلاعاتی که در اختیار عموم قرار گرفته، جمع‌آوری شده و به واسطه جست‌وجوی دستی و پردازش اطلاعات بسط داده شده است. این تلاش اجازه می‌دهد تا فعالیت‌های مجرمانه حوزه رمزارزها به صورت عدد و رقم درآمده، سازوکارهای آنها شناسایی شده و ابعاد اقتصادی آنها روشن شود.

ارزیابی جرم‌های حوزه رمزارزها

در ابتدا، جرم‌های رمزارزمحور در اکوسیستم بیت‌کوین برآورد کمی می‌شود. برای این کار از اطلاعات هزاران گزارشی که در تارنمای بیت‌کوین اَبیوز -سکوی دیجیتالی که در آن قربانیان حملات سایبری، آدرس دریافت وجه فعالیت‌های مجرمانه را افشا می‌کنند- ثبت شده، استفاده می‌شود. فهرست بیت‌کوین ابیوز به‌طور میانگین ماهانه پنج هزار گزارش جرائم سایبری را بر مبنای آدرس، تراکنش و... ثبت می‌کند. این گزارش‌ها به پنج دسته تقسیم می‌شوند: درآمیختگی (ترکیب بیت‌کوین میان کاربران و آدرس‌های مختلف برای از بین بردن رد تراکنش‌های درون بلاک‌چین)، اخاذی (ارسال ای‌میل تهدیدآمیز به قربانیان به منظور دریافت بیت‌کوین از آنها)، بازار سیاه (بازار دیجیتال دادوستد کالا و خدمات غیرقانونی)، باج‌افزار (نرم‌افزارهای مخرب یا بدافزارهایی که مجرمان سایبری برای رمزدار کردن اطلاعات و خارج کردن دسترسی قربانیان از پروفایل‌هایشان به‌کار می‌گیرند. در این حالت مجرمان با درخواست مبلغ از قربانیان اطلاعات را مجدد به قربانیان بازمی‌گردانند)، افشای جنسی (ارسال ای‌میل تهدیدآمیز به قربانیان و تهدید به انتشار تصاویر خصوصی آنها)، و سایر (ترکیب جرائمی که در بالا توضیح داده شد یا جرائمd که در دسته‌های بالا قرار نمی‌گیرند).

اما هر یک از جرائم بالا چه سهمی در گزارش‌های ثبت‌شده دارند؟ از 21 هزار و 650 گزارش ثبت‌شده بر مبنای آدرس، 8 /33 درصد از جرائم سایبری مربوط به افشای جنسی، 3 /32 درصد اخاذی و 9 /23 درصد باج‌افزار هستند. این سه دسته از جرائم سایبری در مجموع سهمی 4 /94درصدی از گزارش‌های ثبت‌شده در تارنمای بیت‌کوین‌ابیوز دارند. گزارش‌های مبتنی بر تراکنش‌ها اما تصاویر متفاوت‌تری به نمایش می‌گذارند. از میان 6 /13 میلیون تراکنش مربوط به جرائم رمزارزها، باج‌افزار با سهمی 5 /42درصدی، درآمیختگی با 32 درصد و سایر با 4 /22 درصد پیشگام هستند.

مجرمان بزرگ

بدون شک حملات باج‌افزاری یکی از بزرگ‌ترین جرائم حوزه سایبری به حساب می‌آید، جرائمی که به تنهایی در سال 2021 صدها میلیون دلار برای مجرمان ثروت آفریدند. به علاوه این نوع جرائم به یکی از اصلی‌ترین تهدیدات کسب‌وکارهای بزرگ آمریکایی تبدیل شده است. البته به این خاطر که اغلب قربانیان شرکت‌های بزرگ هستند و به دلیل عدم وارد شدن لطمه به شهرتشان از افشای آن سر باز می‌زنند، برآورد آمارهای این نوع جرائم معمولاً کمتر از حد است.

طبق آمارها، سه گروه خلافکار بزرگ حوزه باج‌افزارها بر مبنای درآمد عبارت‌اند از کونتی (Conti) با درآمد 88 /50 میلیون دلار، نت‌واکر (Netwalker) با 36 /27 میلیون دلار و لاکی (Locky) با 14 میلیون دلار در سال 2022-2021. البته شرکت چِینلایسز ارقام بسیار بزرگ‌تری را در این باره گزارش می‌کند، جایی که درآمد 170 میلیون‌دلاری در سال 2021 برای گروه کونتی برآورد شده است.

علاوه بر درآمد، معیار دیگر سطح فعالیت است. فعالیت خلافکاران معمولاً در دو جبهه رمزدار کردن پروفایل‌ها و درخواست پول از قربانیان برای دادن رمز به آنها و همچنین تهدید به افشای اطلاعات مهم انجام می‌گیرد. بر این اساس قربانیانی که با خلافکاران همکاری نمی‌کنند اطلاعات آنها افشا می‌شود. این اطلاعات معمولاً در تارنمای دارک‌تریسر در دسترس قرار می‌گیرد. طبق این اطلاعات، بزرگ‌ترین خلافکاران این حوزه از می 2019 تا جولای 2021 به ترتیب کونتی، سودینوک (یا رِویل) و مِیز بودند. به تازگی مجرمان سایبری به روش‌های جدیدی برای اخاذی روی آورده‌اند، نظیر تهدید قربانیان (که عمدتاً کسب‌وکارهای بزرگ هستند) به افشای اطلاعات مهم به سهامداران، شرکای تجاری، کارکنان، مصرف‌کنندگان و... . به این منظور گروه خلافکاران از ساختارهای شبیه به کسب‌وکارهای حرفه‌ای، همچون بهره‌گیری از مرکز تماس برای ارتباط با سهامداران، کارکنان و مشتریان قربانیان استفاده می‌کنند.

اقتصاد باج‌افزارها

همان‌طور که در بالا اشاره شد، گروه خلافکارهای حرفه‌ای حوزه سایبری در کنار مهندسان الکترونیک و متخصصان علوم کامپیوتری با سواری روی موج دیجیتالی شدن جهان و دردسترس قرار گرفتن گسترده رمزارزها، از ایده‌ای که دو دهه قبل از یک کنجکاوی علمی نشأت گرفت در حال پول درآوردن هستند. شروع حملات سایبری باج‌افزاری حوزه رمزارزها به حمله جهانی واناکرای (WannaCry) در می 2017 برمی‌گردد که طی آن رایانه‌هایی که ویندوز مایکروسافت داشتند به صورت رمزدار‌شده درآمدند و در ازای آزادسازی آنها درخواست مبالغ بیت‌کوینی شد. این اتفاق نشان داد که حملات باج‌افزاری در ازای دریافت رمزارز، شدنی و سودآور است. از آن زمان گونه‌های مختلفی از باج‌افزار توسعه داده شده و در حملات مورد استفاده قرار گرفته‌اند. با شیوع طاعون کرونا و دورکاری مشاغل، حتی این حملات بیشتر نیز شد. خلافکاران سایبری برای اینکه حمله باج‌افزاری آنها موفق شود باید به سیستم‌های هدف دسترسی یابند، اطلاعات را رمزنگاری کنند و برای رمزگشایی آنها از قربانیان تقاضای مبلغ کنند. درخواست‌های دریافت مبلغ اغلب به صورت بیت‌کوین است. در حالی که جزئیات اجرای حملات با توجه به گونه باج‌افزار متفاوت است، اما مراحل اصلی مشترکی میان آنها وجود دارد.

نخست، باج‌افزارها همانند سایر بدافزارها از چند طریق می‌توانند به سیستم‌های یک سازمان دسترسی یابند. البته هکرها معمولاً به چند راهکار به‌خصوص تمایل دارند. یکی از آنها ای‌میل‌های باج‌گیری است. یک ای‌میل ناسالم ممکن است حاوی راه ارتباطی به یک تارنمای مخرب باشد. در صورتی که دریافت‌کننده ای‌میل وارد لینک شود، باج‌افزار در رایانه او دانلود شده و به اجرا درمی‌آید. سایر روش‌های حمله عبارت‌اند از آبگیر (آلوده کردن تارنما‌هایی که اغلب مورد استفاده سازمان است)، پیوست ای‌میل، لینک شبکه‌های اجتماعی، سرقت اطلاعات کارکنان، بهره‌گیری از حفره‌های امنیتی نرم‌افزارهای شناخته‌شده (مانند اِتِرنال‌بلو در مایکروسافت که به حمله واناکرای منجر شد)، برنامه‌های کاربردی آلوده و... .

پس از دسترسی به سیستم، اطلاعات و پوشه‌های قربانیان رمزدار می‌شوند. این فرآیند شامل دسترسی به اطلاعات، رمزدار کردن آنها توسط کلید تحت کنترل حمله‌کننده و جایگزین کردن فایل رمزدار با فایل اصلی است. برخی گونه بدافزارها در انتخاب نوع فایل برای رمزنگاری هوشمند هستند تا پایداری سیستم حفظ شود و اطلاعات پشتیبان نیز از بین بروند تا جبران حمله سخت‌تر شود.

و سوم، پس از رمزدار کردن، نوبت به درخواست باج از قربانیان می‌رسد. باج‌افزارها به روش‌های مختلفی این کار را انجام می‌دهند. البته رایج این است که پیام باج در صفحه‌نمایش یا روی فایل‌های رمزدارشده نمایان شود. روش حرفه‌ای‌تر این است که مرورگر تور برای قربانی دانلود شود تا به یک تارنمای تیره طراحی‌شده دسترسی یابد. این تارنما امکان چت را فراهم می‌کند و شیوه، جزئیات و زمان پرداخت در آن اعلام می‌شود. همچنین فاز مذاکرات دور از انتظار نیست، به‌خصوص زمانی که قربانیان شرکت‌های بزرگ هستند یا باج‌ها بیش از شش رقم دارند.

در این مقاله بیش از 700 مذاکره‌ای که در این باب صورت گرفته و همچنین روند تحولی قدرت چانه‌زنی گروه خلافکاران مورد ارزیابی قرار گرفته است. مذاکره با گروه خلافکاران سایبری ساده نیست. این گروه‌ها اغلب از ساختار و سلامت مالی قربانیان خود اطلاع دارند و اینکه آیا از سیاست‌های حفاظتی جرائم سایبری برخوردارند یا خیر. خلافکاران اغلب از تهدیدات چندگانه که پیشتر توضیح داده شد برای متقاعد کردن قربانیان استفاده می‌کنند. مذاکرات معمولاً چند روز پس از حمله سایبری اتفاق می‌افتد و پرداختی‌ها معمولاً به صورت رمزارز هستند. زمان برای شرکت‌های هدف مهم است، چرا که با گذشت زمان می‌توانند اطلاعات را بازیابی و سیستم خود را تقویت کنند.

کلام پایانی

رمزارزها، تامین مالی فراگیر، کم‌هزینه و با امنیت بالا را به‌خصوص برای کسب‌وکارهای نوپا به ارمغان آورده‌اند. با این حال هر نوآوری فناورانه‌ای با مخاطرات و سوءاستفاده‌هایی همراه است. بی‌نام‌ونشان بودن مالکیت کیف پول‌های (والت) رمزارزها این امکان را به سازمان‌های مجرمانه حوزه سایبری می‌دهد تا فعالیت خود را گسترش دهند. بر این اساس در این مطالعه سعی شد کم و کیف جرائم سایبری حوزه رمزارزها مورد ارزیابی قرار گیرد. در این‌باره علاوه بر پرداختن به اندازه و الگوهای جرائم، اطلاعاتی نیز از الگو‌های درآمدی، شهرت، مذاکرات و فنون باج‌گیری مجرمان ارائه شد.

بخش عمده جرائم سایبری حوزه رمزارزها را حملات باج‌افزاری تشکیل می‌دهد، حملاتی که غالباً توسط چند گروه خلافکار بزرگ انجام می‌گیرد. این گروه‌ها اغلب شهرت خود را تغییر می‌دهند، به‌خصوص زمانی که تحت نظر قرار گیرند. همچنین نشان داده شد که عملیات این گروه‌ها از حملات ساده به عملیات‌های حرفه‌ای مدل شرکتی نظیر امتیاز به گروه‌های تابعه، ایجاد ادارات فیزیکی، مراکز تماس و سرمایه‌گذاری در فناوری بلاک‌چین ارتقا یافته است. کارایی این گروه‌ها نیز به مرور زمان بیشتر شده است. البته خلافکاران سایبری رمزارزها برای شهرت خود ارزش قائل هستند، امری که می‌تواند به قربانیان آنها امید دهد که آسیب حملات باج‌افزاری را جبران کنند.

راه‌حل‌های تک‌بعدی در این زمینه مانند محدودسازی یا ممنوعیت استفاده از رمزارزها توسط اشخاص یا سازمان‌ها به سه دلیل مشکل‌ساز است. این تهدیدات تنها مربوط به یک کشور نیست. زنجیره‌های بلوکی در کشورهای مختلف جهان گسترش یافته‌اند و قوانین سخت‌گیرانه در یک کشور نمی‌تواند در سایر کشورها خریدار داشته باشد. همان‌طور که در رابطه با سایر موضوعات جهانی تاکنون مشاهده شده است (مانند طرح‌های مالیات بر انتشار کربن)، رسیدن به یک اجماع جهانی تقریباً ناممکن است. دوم، رمزارزها نقشی کوچک در تصویر بزرگ پرداخت‌های غیرقانونی دارند. پول نقد کاملاً بی‌نام‌ونشان است. طبق آمارها بیش از 80 درصد ارزش پول نقد در آمریکا به صورت اسکناس 100دلاری است، در حالی که مصرف‌کنندگان و خرده‌فروشان به ندرت در دادوستدهای خود از این اسکناس استفاده می‌کنند. سوم و از همه مهم‌تر، حذف رمزارزها تمام منافع و کارکردهای آنها را از بین می‌برد. همچنین رقابت میان اقتصادها، کشور را در موضع ضعف قرار می‌دهد. به عنوان مثال ممنوعیت رمزارزها مانع از مشارکت شهروندان و شرکت‌ها در نوآوری «وب 3» می‌شود.

ارزیابی‌های مقاله، تاکتیک جدیدی را نمایان کرد. در حالی که آدرس در فناوری زنجیره‌ بلوکی بی‌نام‌ونشان است، اما رمزارزها معمولاً میان آدرس‌های مختلف جابه‌جا می‌شوند تا در نهایت به صورت پول‌های واقعی خارج شوند. اما ویژگی مهم فناوری زنجیره بلوکی این است که تمام تراکنش‌ها در آن قابل رویت و خدشه‌ناپذیر است. بنابراین این امکان وجود دارد که با ابزارهای قانونی بتوان تراکنش‌های رمزارزی مجرمان را ردیابی، رصد و شناسایی کرد. در واقع این مقاله نشان داد که چگونه می‌توان از ماهیت شفاف زنجیره بلوکی بهره گرفت.