یکشنبه ۱۴ شهریور ۱۳۹۵

این ایمیل‌های نامطمئن

این یادداشتم را در روزنامه دنیای اقتصاد از این‌جا بخوانید.

در فضای تجارت بین‌الملل، نکات ساده، اما بسیار خطیری وجود دارد که بی‌توجهی به آن‌ها ممکن است مشکلات بزرگی را به همراه بیاورد. برخی از این نکات را در هیچ کتاب و جزوه‌ای نمی‌توان یافت و تا صابون آن به تن خود آدم نخورد، حواسی را جمع نخواهد کرد. در این چند ماه اخیر، درگیر وکالت پرونده‌ای در مرکز داوری اتاق سوییس هستم که در آن، یکی از همین اشتباه‌های ساده طرفین را دچار مشکلات جدی‌ای کرده است. به اشتراک گذاشتن این اشتباه و درس گرفتن از آن، به گمانم برای تمام کسانی که درگیر کسب و کار و تجارت در فضای بین‌المللی هستند، می‌تواند مفید باشد.

داستان به طور ساده از این قرار است که شرکت ایرانی (خریدار) و شرکت ایتالیایی (فروشنده) از دیرباز مراودات تجاری‌ای با یکدیگر داشتند و اعتماد نسبی‌ای میانشان حاکم بوده است. در یکی از همین خرید و فروش‌ها، بخشی از موضوع معامله با توافق طرفین منتفی می‌شود و شرکت ایرانی که تمام وجه کالا را پیش‌تر پرداخته بود، می‌بایست بخشی از مبلغ پرداختی را از شرکت ایتالیایی بازپس‌گیرد. شرکت ایتالیایی برای بازپرداخت اعلام آمادگی می‌نماید، اما شرکت ایرانی که درگیر مراودات تجاری بین‌المللی بود و هست، برای پرهیز از ورود مجدد به مشکلات انتقال وجه به خارج، از شرکت ایتالیایی درخواست می‌کند که مبلغ را به امانت نزد خود نگه داشته و به حسابی که متعاقبا اعلام می‌گردد، منتقل نماید. شرکت ایتالیایی نیز مشکلی با این موضوع نداشت و وجه به طور امانت نزد این شرکت باقی ماند.

در تاریخ ۲۳ دسامبر ۲۰۱۵، شرکت ایرانی طی ایمیلی به شرکت ایتالیایی شماره حسابی را در بانکی در هنگ‌کنگ معرفی و درخواست نمود که وجه به این حساب منتقل گردد. دقایقی بعد از ارسال این ایمیل، رخنه‌گر (هکر) اینترنتی‌ای که احتمالا از مدت‌ها پیش در حال رصد مکاتبات ایمیلی این شرکت‌ها بود، ایمیلی به شرکت ایتالیایی ارسال می‌نماید و ضمن پوزش، درخواست می‌کند شماره حساب اصلاح شده و پول به حساب دیگری –این بار در هند- منتقل گردد. آدرس ایمیلی که توسط رخنه‌گر ارسال گردید، دقیقا همان آدرس ایمیل شرکت ایرانی بوده و جایی برای تردید شرکت ایتالیایی باقی نمی‌گذاشت. شرکت ایتالیایی وجه را به حساب جدید منتقل نمود و در پاسخی به شرکت ایرانی اعلام نمود که پرداخت به حساب هند انجام گرفته است. اما تنظیمات ایمیل جعلی به گونه‌ای بود که پاسخ شرکت ایتالیایی هرگز به طرف ایرانی واصل نشد.

سه روز بعد، یعنی در تاریخ ۲۶ دسامبر، شرکت ایرانی که مطلع شد وجه هنوز به حساب هنگ‌کنگ منتقل نگردیده است، پیگیر موضوع از شرکت ایتالیایی گردید. اما شرکت ایتالیایی به دلیل تعطیلات کریسمس تعطیل بود و هیچ یک از پرسنل آن در محل حضور نداشتند. ایمیل‌هایی هم که برای شرکت ارسال می‌شد، پاسخ خودکاری دریافت می‌کرد که شرکت تا تاریخ ۴ ژانویه در تعطیلات به سر می‌برد و پس از آن پاسخگو خواهد بود.

روز ۴ ژانویه، شرکت ایتالیایی که از تعطیلات به محل کار بازگشت، با سیلی از ایمیل‌های شرکت ایرانی مواجه شد که پیگیر وضعیت پول بود. شرکت ایتالیایی بلافاصله موضوع را از بانک پیگیری کرد و تایید بانک را برای شرکت ایرانی ارسال نمود که حکایت از انتقال پول در همان تاریخ ۲۳ دسامبر به حسابی در هند می‌کرد. وقتی شرکت ایرانی صحت این حساب را انکار نمود، شرکت ایتالیایی تصویری از ایمیل شرکت ایرانی را فرستاد که در آن شرکت ایرانی، با پوزش، شماره حساب را اصلاح و به هند تغییر داده بود. آدرس ایمیل فرستنده و گیرنده، همگی درست بود. شرکت ایرانی اعلام کرد که هرگز چنین ایمیلی را ارسال نکرده است و این‌که این یک تقلب اینترنتی است و شرکت ایتالیایی باید وجه را به حساب اولیه منتقل می‌کرد. شرکت ایتالیایی نیز اعلام نمود که دقیقا برابر دستورالعمل شرکت ایرانی عمل نموده و هیچ مسوولیتی متوجه وی نیست و هیچ راهی هم وجود نداشت که متوجه شود ایمیل جعلی است. پیگیری‌های شرکت ایتالیایی از بانک نیز به نتیجه‌ای نرسید و بانک اعلام نمود که نهایتا تا روز بعد از دستور پرداخت امکان توقف عملیات را داشته و اکنون با گذشت دو هفته، چنین امکانی وجود ندارد. مذاکرات متعدد طرفین نیز برای حل مشکل به نتیجه‌ای نرسید و نهایتا به درخواست شرکت ایرانی، دعوایی در مرکز داوری اتاق سوییس به جریان افتاد.

از هر طرف که به این ماجرا بنگریم، می‌توانیم حق را به یکی از طرفین بدهیم. از یک سو شرکت ایرانی درست می‌گوید که هرگز چنین ایمیلی را ارسال ننموده است و از سوی دیگر، شرکت ایتالیایی حق می‌گوید که برابر ایمیل دریافتی عمل کرده است. قضاوت در خصوص این پرونده نیاز به بررسی‌های فنی و کارشناسی دارد تا مشخص گردد قصور و ضعف امنیتی از سوی کدام یک از طرفین بوده و کدام‌یک باید مسوولیت این اشتباه را پذیرا شود. اما نگارنده شخصا، تا پیش از این پرونده، هرگز نمی‌دانست که برخی وبسایت‌های -عموما- غیر معتبر این امکان را برای کاربران خود فراهم می‌آورند تا ایمیلی را با شکل و شمایل جعلی و دقیقا با آدرس ایمیل مشابه اصلی ارسال نمایند. به این معنا که ممکن است هیچ چیزی در ظاهر ایمیل شک و شبهه‌ای را برنیانگیزد و همه چیز، حتی نشانی ایمیل دقیقا درست باشد، اما ایمیل از سوی یک رخنه‌گر یا هکر طراحی و ارسال شده باشد. در جریان همین پرونده متوجه شدم که راهکار فنی حل این مشکل، افزایش ایمنی ایمیل‌ها از طریق افزونه‌ای به نام SPF است که اجازه نمی‌دهد ایمیلی خارج از IP مجاز از پیش تعریف شده ارسال و دریافت شود. اما ابعاد فنی ماجرا موضوع این یادداشت نیست.

آن‌چه از منظر نگارنده می‌تواند در این پرونده درس‌آموز باشد و تمام کسانی هم که درگیر فضای تجاری بین‌المللی –و حتی داخلی- هستند باید بیاموزند، این است که در موضوعات مهم، نظیر انتقال وجه و اطلاعات راجع به حساب یا اتخاذ تصمیمات کلیدی، ایمیل را به تنهایی مبنای کار خود قرار ندهند، بلکه حتما صحت اطلاعات مبادله شده را از طرق دیگری نیز احراز نمایند. این طرق دیگر می‌تواند تماس تلفنی یا تماس با هر ابزار دیگری مانند تلگرام باشد. مهم این است که اطلاعات در دو یا چند مسیر مختلف بازگو شده و همخوانی آن با یکدیگر بررسی شود. برای مثال، در همین پرونده‌ای که صحبتش رفت، اگر قرار طرفین این می‌بود که پیش از هر انتقال وجهی، در یک تماس ساده تلفنی، جزییات انتقال بررسی و تایید شود، امروز کار به جایی نمی‌کشید که هر دو طرف خود را در معرض آسیب جدی مالی بیابند و ناگزیر به صرف هزینه‌های قابل توجهی برای اثبات حق خود گردند.

نظرات بازدید کنندگان

  1. ناشناس می‌گه:

    از درج این مطلب تشکر می کنم. به نظر می رسد عنوان صحیح روزنامه، روزنامه دنیای اقتصاد باشد که در خط اول بگونه دیگری منعکس شده است.

  2. ﻟﻴﻼ می‌گه:

    اطلاعات حساس، همچون گذرواژه ها، شماره حساب های بانکی و اعداد امنیتی شما، نباید از طریق ایمیل ارسال شوند و یا حداقل باید آنها را در فایلی نوشت، روی آنها رمز گذاشت و فایل را ارسال کرد و سپس، از طریقی دیگر، رمز آن فایل را نیز به طرف مقابل داد.  ﺑﻨﻆﺮ ﻣﻴﺮﺳﺪ ﺩﺭﻣﺮاﻭﺩاﺕ ﺗﺠﺎﺭﻱ ﻛﻪ اﻓﺮاﺩ ﺑﺎﻫﻮﺵ ﻭﻭﻳﮋﻩ ﺑﺮاﻱ ﻣﻌﺎﻣﻼﺕ ﻃﺮﻓﻴﻦ ﻫﻢ ﻗﺮاﺭﻣﻴﮕﻴﺮﻧﺪ اﻳﻦ ﻫﻮﺵ ﻭﺫﻛﺎﻭﺕ ﺭاﻫﻢ ﺩاﺷﺘﻪ ﺑﺎﺷﻨﺪ ﺗﺎﻧﻬﺎﻳﺖ اﻳﻤﻨﻲ ﻣﻌﺎﻣﻼﺕ ﺧﻮﺩ ﺭاﺑﺎاﻥ ﺗﻀﻤﻴﻦ ﻛﻨﻨﺪ.
    ﺑﺴﻴﺎﺭ ﻣﻂﻠﺐ ﻣﻔﻴﺪﻱ ﺑﻮﺩ ﺗﺸﻜﺮ اﺯ ﺁﻗﺎﻱ ﺩﻛﺘﺮ ﻋﺰﻳﺰ

  3. طهماسبی می‌گه:

    سلام.
    با توجه به اینکه جنابعالی از داوران و حقوقدانان برجسته کشور و فعال در سطح بین اللمل هستید بسیار جای خوشحالی دارد تجربیات خود را در اختیار خواننده‌ها بگذارید.
    با آرزوی توفیقات روز افزون
    ارادتمند: اصغر طهماسبی
    کارشناس رسمی دادگستری و داور حقوقی

  4. جت پرینتر می‌گه:

    خیلی خیلی ممنونم از مطالب خوبتون
    عالیهههههه
    خسته نباشید

  5. غفاری می‌گه:

    از به اشتراک گذاشتن این تجربه بسیار ممنونم. منتظر و سراپا گوشِ مطالبی این چنینی هستم

دیدگاه شما