هشدار به مشتریان بانک سپه: هکرها این‌طور حسابتان را خالی می‌کنند

تکذیب هک بانک سپه اولین واکنش روابط عمومی این مجموعه بود. گروه هکری اعلام کرده بود بیش از ۱۲ ترابایت داده دیجیتال از اطلاعات هویتی و مالی ۴۲ میلیون نفر مشتریان (از سال ۱۳۰۴ تا ۱۴۰۴) را به دست آورده است.

رضا همدانچی -رئیس اداره کل روابط عمومی بانک سپه- تمامی ادعاهای هکرها را تکذیب کرد و به خبرگزاری فارس گفت: «این ادعا از اساس کذب محض است و سیستم‌های بانک سپه غیر قابل هک و نفوذ هستند! سیستم‌های بانک سپه، ارتباطی به اینترنت ندارد و کاملاً بسته است. تا کنون هیچگونه هک و نفوذی به سیستم‌های بانک سپه صورت نگرفته است و این ادعا تکذیب از اساس می‌شود.»

همدانچی به روش معمول نهادها و سازمان‌های دولتی، انتشار این خبر را به تشویش اذهان عمومی گره زد و خطاب به سپرده‌گذاران ادامه داد: «مشتریان بانک سپه خیالشان راحت باشد، چون این ادعا از اساس کذب محض است.»

واکنش بانک سپه به هک و نشت اطلاعات

پس از انکار و تکذیب روابط عمومی بانک سپه، هکرها اطلاعات کامل حساب بانکی همدانچی را منتشر کردند که شامل داده‌های هویتی (کد ملی، شماره تلفن، نشانی) و اطلاعات بانکی (شامل حقوق، وام دریافتی، میزان سپرده، تاریخ‌ها و...) بود. این گروه سپس اعلام کرد که حاضر است تمامی داده‌ها را به بانک بفروشد و منتشر نکند و با ادامه سکوت مسئولان و مدیران بانک سپه، نام، کد ملی، شماره موبایل و میزان دارایی سپرده‌گذارانی را منتشر کرد که بیش از ۵۰ میلیارد تومان در این بانک اندوخته دارند.

فهرست دوم، اسم، شماره تلفن و کد ملی افراد حقیقی و حقوقی بود که وام‌های بالای ۱۰ میلیارد تومان از بانک سپه گرفته‌اند. مبلغ وام دریافتی نیز در این فایل مشخص بود.

بالاخره بانک سپه به ناچار هک شدن را پذیرفت ولی به جای مذاکره با هکرها، به‌طور ضمنی رسانه‌ها را تهدید کرد و در سایت آن نوشته شد: «در پی طرح برخی ادعاها در فضای مجازی مبنی بر دسترسی غیرمجاز به اطلاعات مشتریان بانک سپه توسط گروه‌های هکری، و نظر به جایگاه این بانک در نزد نیروهای مسلح و همچنین اهمیت حفظ اصلِ محرمانگی اطلاعات مرتبط با نهادهای نظامی و امنیتی کشور، به آگاهی می‌رسد هرگونه بازنشر اطلاعات ادعایی مربوط به حساب‌های اشخاص حقیقی و حقوقی، به‌ویژه نهادهای نظامی، به‌منزله نقض اصل محرمانگی اطلاعات منتسب به نیروهای مسلح محسوب شده، می‌تواند مشمول پیگرد قضایی قرار گیرد.
به همین دلیل از همه همکاران رسانه‌ای درخواست می‌شود، از انتشار، تحلیل یا دامن‌زدن به این موضوع، تا زمان روشن شدن ابعاد دقیق آن، اکیداً خودداری کنند.»

تمام مشتریان بانک سپه در خطر خالی شدن حساب

در حالی که تمرکز رسانه‌ها و کاربران فضای مجازی، روی حساب‌های بزرگ و سپرده‌گذاران ثروتمند بانک سپه است، خطر اصلی مشتریان عادی بانک را تهدید می‌کند، به‌ویژه کسانی که از هک بانک سپه بی‌خبرند. در حال حاضر اطلاعات کامل هویتی و بخشی از اطلاعات اقتصادی ۴۲ میلیون نفر از ایرانیان روی دارک وب جهانی قرار دارد و پس از فروش، در دسترس هکرها و کلاهبرداران قرار می‌گیرد. تمام کسانی که در بانک سپه حساب دارند، باید مراقب و مواظب باشند، درمورد اندوخته‌ی خود در این بانک یا هر بانک دیگر.

بسیاری از افراد گمان می‌کنند چون پول زیادی در حساب بانکی خود ندارند یا فرد مشهوری نیستند، مشکلی برایشان پیش نمی‌آید یا پخش شدن اطلاعات هویتی و نشانی و شماره  تلفن افراد عادی اهمیتی ندارد و کسی دنبال نام و نشانی مشتریان عادی بانک نیست.

اما اطلاعاتی که با هک بانک سپه، نشت پیدا کرده همه چیزی است که هکرها برای فیشینگ و خالی کردن حساب و کلاهبرداری از افراد معمولی و عادی نیاز دارند و به روش‌های مختلفی از آن استفاده می‌کنند.

بانک سپه وظیفه داشت با هکرها مذاکره کند و مانع فروش و انتشار اطلاعات هویتی مشتریانش شود ولی ترجیح داد هزینه ضعف سیستم‌هایش را نپردازد، برابر مشتریان خود مسئولیتی به عهده نگیرد و حالا میلیون‌ها ایرانی در خطر هک، فیشینگ، کلاهبرداری از دست دادن بخشی از دارایی خود قرار دارند.

توصیه کارشناسان امنیت سایبری به مشتریان بانک سپه

روش‌های فیشینگ باید به اطلاع تمام مشتریان بانک سپه برسد، حتی اگر حساب‌شان فعال نیست یا از کارت‌شان استفاده نمی‌کنند. ممکن است هکرها از طریق همین اطلاعات بتوانند حساب و کارت افراد در بانک‌های دیگر را هم خالی کنند.

یکی از روش‌های هک و فبشینگ تماس تلفنی است. احتمالا هکرها با یک شماره ناشناس یا حتی معمولی تماس می‌گیرند و خود را کارمند بانک، سازمان یا اداره‌ی خاصی معرفی می‌کنند. در شرایطی که اطلاعات کامل پرونده بانکی فرد را دارند، پس نام، نام خانوادگی، نام پدر، کد ملی، محل تولد و... را می‌خوانند تا اعتماد فرد جلب شود. در آخر کدی به موبایل او فرستاده می‌شود و از او می‌خواهند کد را بخواند تا کاری برایش انجام شود.
آن کد، رمز انتقال پول است و تمام موجودی حساب بانکی فرد برداشت یا منتقل می‌شود.

فرقی ندارد مشتری بانک سپه هستید، یا نه؟ هرگز و در هیچ شرایطی به چنین تماسی اعتماد نکنید و از آن فرد بخواهید نام خودش، شماره تلفن، شماره داخلی خودش و نشانی شعبه یا اداره محل کارش را بگوید تا شما تماس بگیرید. این اطلاعات را با شعبه مرکزی هم چک کنید و به نشانی اینترنتی اعتماد نکنید.

یکی دیگر از روش‌های هک و فیشینگ افراد، فرستادن پیامک است. در متن پیام یک لینک برای شما فرستاده می‌شود و با کلیک روی آن، به سایت جعلی می‌روید. سایت‌ها شبیه سایت بانک، قوه قضاییه یا نهادها و سازمان‌های دیگر طراحی می‌شوند و شما به اشتباه گمان می‌کنید که وارد سایت اصلی شده‌اید.

هرگز روی هیچ لینکی که با پیامک برایتان فرستاده می‌شود، کلیک نکنید و از این طریق وارد هیچ سایتی نشوید. حتی اگر کسی به صورت تلفنی یا متنی اسم و مشخصات شما را بخواند و بگوید لینک از طرف فلان نهاد فرستاده شده است.

چرا ثروتمندان بانک سپه پنهان شده‌اند؟

به گزارش روزنامه اینترنتی فراز، بانک سپه در حالی از اصل محرمانگی نوشته که حاضر به پرداخت مبلغ درخواستی هکرها نشده است و آن‌ها اطلاعات و داده‌های تمام ۴۲ میلیون مشتری بانک را برای فروش در فضای دارک وب جهانی قرار داده‌اند. بررسی نام، مشخصات و اطلاعات تعدادی از افرادی که نام‌شان در فهرست‌های منتشر شده آمده است، نشانه‌ای از عضویت یا وابستگی اغلب آن‌ها به نیروهای مسلح ندارد.
بعضی از نام‌های این فهرست شناخته شده و مشهور هستند، مانند ح.پ که رتبه دوم اندوخته در بانک سپه را دارد و به دلیل عضویت در سپاه قدس پاسداران انقلاب اسلامی، توجه زیادی به خود جلب کرد. او که زمانی کنار سردار سلیمانی فعالیت داشت، جمع‌آوری کمک‌های مردمی برای حمایت از قربانیان جنگ اسرائیل به عهده دارد.

ع.گ که در صدر جدول سپرده‌گذاران قرار دارد و بیشترین میزان اندوخته در بانک سپه به نام اوست، پیش از این، شهرت چندانی نداشت. او دکترای زمین شناسی اقتصادی دارد و در زمینه‌ی معدن و صنایع معدنی فعالیت کرده و پست‌های دولتی گرفته است. معاونت اکتشاف سازمان زمین‌شناسی کشور و معاونت برنامه‌ریزی، توسعه و اکتشاف مجتمع سنگ آهن سنگان در کارنامه‌ی کاری او قرار دارند.

نام م.ب که سومین نفر در فهرست سپرده‌گذاران است، در بین دریافت‌کنندگان وام نیز دیده می‌شود. او با دریافت تسهیلاتی نزدیک به ۲۰۰۰ میلیارد تومان پس از چند شرکت و مجموعه حقوقی رتبه چهارم در فهرست دریافت تسهیلات از بانک سپه را دارد. نام ک.ق هم بین سپرده‌گذاران بانک سپه مورد توجه کاربران ایکس و رسانه‌ها قرار گرفت، کسی که اسمش با کنکور، دوره‌های آموزشی، تست‌ و آزمون‌های آزمایشی گره خورده است و بورسیه دانش‌آموزان کم‌بضاعت و مشارکت در مدرسه‌سازی را هم در کارنامه خود دارد.

خبرنگار روزنامه فراز با موبایل تمامی افرادی که در رتبه‌ی اول تا پانزدهم فهرست ثروتمندان بانک سپه قرار دارند، تماس گرفت ولی شماره‌ها در دسترس نبود، دستگاه خاموش بود، تماس پاسخ داده نشد یا برگشت خورد.


یک مورد غیرعادی در فهرست منتشر شده از طرف هکرها، شباهت شماره موبایل ع.م و م.ب است (دو نفر از کسانی که اطلاعات‌شان در دسترس نیست) اما این شماره متعلق به هیچ‌کدام از آن‌ها نیست. به نظر می‌رسد سیستم بانکی حساسیتی به درستی اطلاعات ادعایی مشتریان چند صد میلیاردی خود ندارد یا دست‌کم اطلاعات آن‌ها در بانک‌ها به روز رسانی نمی‌شود، حتی کسی مانند م.ب که تسهیلات چند صد میلیاردی گرفته است.

دارایی فردی یا فرار مالیاتی شرکت‌ها و سازمان‌ها؟

در کشورهایی که فرار مالیاتی یکی از تخلف‌ها و جرم‌های سنگین به حساب می‌آید، میزان دارایی افراد و شرکت‌ها، اموال و دارایی‌های غیرمنقول و میزان مالیات پرداختی آن‌ها مشخص و شفاف است. جابجایی پول و تراکنش‌های مالی رصد می‌شود و افراد باید دلیل این تراکنش‌ها را به وضوح اظهار کنند اما در ایران چنین اطلاعاتی در دسترس نیست و روش کسب ثروت، میزان ثروت و دارایی، مالیات تعیین شده، تعهدها و... محرمانه تلقی می‌شود. در این نمونه، اغلب شرکت‌ها و مجموعه‌هایی که نام مدیر یا اعضای هیئت مدیره آن‌ها در فهرست بانک سپه قرار دارد، حتی وبسایت، نشانی و شماره تلفن مشخص ندارند.

یکی از نظرهای مطرح‌شده درباره میزان بالای نقدینگی در حساب شخصی افراد و مدیران دولتی و غیردولتی این است که دارایی شرکت‌ها و مجموعه‌ها به جای شخص حقوقی، به نام فرد حقیقی ثبت می‌شود؛ به‌ویژه وقتی فرد در یک مجموعه‌ی دولتی فعالیت دارد.

بخشی از دارایی موسسه‌ها و نهادها به اسم شخصی حقیقی ثبت می‌شود تا مانده سپرده بخش دولتی در بانک تجاری باقی بماند و به بانک مرکزی منتقل نشود. با این روش به این حساب که ظاهرا شخصی و حقیقی است، سود بالایی تعلق می‌گیرد. سودی که در واقع متعلق به فرد نیست و باید به حساب حقوقی مجموعه برگردد؛ اگر چنین باشد، نه تنها این عمل غیرقانونی است، بلکه امکان و فرصت تخلف‌های دیگر و فساد را فراهم می‌کند.

از سوی دیگر به دلیل شفاف نبودن و محرمانه دانستن داده‌های اقتصادی، مشخص نیست صاحبان حقیقی و حقوقی این حساب‌ها، چه میزان مالیات پرداخت می‌کنند، شائبه قانون‌گریزی و تخلف همچنان باقی می‌ماند. انتشار رقم دقیق میزان مالیات پرداختی هر کدام از این مجموعه‌ها و افراد نشان می‌دهد آیا عملکردشان قانونی بوده یا از این روش برای تخلف‌های مالی و دور زدن بانک مرکزی و تعهدهای سازمانی استفاده شده است؟

آخرین تهدید و هشدار هکرها به مدیران بانک سپه

به گزارش روزنامه اینترنتی فراز، هکرهای بانک سپه روز دوازدهم فروردین، بیانیه‌ای در کانال تلگرامی خود منتشر کردند که احتمالا آخرین فرصت مدیران این مجموعه برای مذاکره و پیشگیری از فروش و انتشارات اطلاعات مشتریان باشد:
بیانیه شماره ۳
ما تا به امروز هر آنچه گفتیم، به انجام رساندیم. حالا نوبت شماست که با واقعیت روبه‌رو شوید داده‌های مشتریان بانک سپه رسما  در دارک‌نت آگهی شده و در فروم (....) به مزایده گذاشته شده.
سوءمدیریت شما نشت اولیه‌ی کوچکی از اطلاعات را رقم زد.
اگر مشتریان‌تان چیزی بیشتر از اعداد ترازنامه‌هایتان هستند و امنیت و حریم خصوصی‌شان هنوز برایتان معنایی دارد، اشتباه گذشته را تکرار نکنید و تماشاگر انتشار اطلاعات مشتریانتان در دارک‌پول‌ها (Dark Pools) نباشید و پای میز مذاکره بیایید. 
ما در حال حاضر با مشتریانی در نقاط مختلف جهان در حال چانه‌زنی هستیم. دیتابیس شما پر از داده های حساس و ارزشمند است و مشتریان زیادی دارد.