فیشینگ در حال حاضر یکی از مهمترین جرایم در فضای سایبر است . عبارت فیشینگ برای توصیف نوعی از جرم که با تلاش فریبکارانه برای بدست آوردن اطلاعات حساس است شناخته می شود . ( گرکی ، ۱۳۸۹ ، ۴۹ )
فیشینگ یک تکنیک قدیمی ( بیشتر از بیست سال پیش ) برای شنود اطلاعات کاربران است که همچنان امروزه هم مورد استفاده هکرها است . فیشینگ به زبان ساده یعنی صفحه ای شبیه صفحه لاگین یک سایت معتبر که حاوی کدی است که آنچه شما در قسمت نام کاربری و رمز وارد می کنید را به طور مخفیانه برای هکر می فرستد .

فیشینگ در اصطلاح به معنای شبیه سازی قسمت هایی از یک سایت اینترنتی ( مثلا یک صفحه از سایت ) آشنا و یا معروف است که به وسیله آن بتوان کاربر را گمراه کرده و اطلاعات شخصی وی را بدست آورد . این اطلاعات می تواند شامل نام کاربری و کلمه ی عبور فرد در آن سایت یا اطلاعاتی مربوط به شماره حساب بانکی فرد و خیلی موارد دیگر باشد . ( مجرب ، ۱۳۸۸ ، ۲۳ )

فیشینگ یک نمونه از تکنیک مهندسی اجتماعی به منظور گمراه کردن کاربران اینترنتی برای بدست آوردن اطلاعات محرمانه آنان است . در این تکنیک فیشرها ( کسانی که عمل فیشینگ را انجام می دهند ) با طراحی یک سایت که شبیه به سایت مورد نظر می باشد ، کار خود را آغاز می کنند و اطلاعات در حال انتقال کاربران را شنود و ثبت می نمایند . شاید خود شما تا به حال به طور ناخواسته و بدون اینکه متوجه چیزی شوید ، یکی از قربانیان فیشینگ شده باشید . ( به اصطلاح در قلاب ماهیگیر افتاده باشید ! )

فیشینگ در عمل به صورت کپی دقیق رابط گرافیکی یک وب سایت معتبر مانند بانک های آنلاین انجام می شود . ابتدا کاربر از طریق ایمیل و یا آگهی های تبلیغاتی سایت های دیگر ، به این صفحه قلابی راهنمایی می شود . سپس از کاربر درخواست می شود تا اطلاعاتی را که می تواند مانند اطلاعات کارت اعتباری مهم و حساس باشد ، آنجا وارد کند . در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود ، فیشرها به اطلاعات شخص دسترسی می یابند . ( ایازی ، ۱۳۸۶، ۱۵ )

تنها راه برای جلوگیری از افزایش آمار فیشینگ و دستیابی به اطلاعات ، افزایش آگاهی کاربران است .

بخش دوم : ارکان تشکیل دهنده دسترسی و شنود غیرمجاز

جرایم رایانه ای نیز مانند هر جرم دیگری دارای سه رکن می باشد که عبارتند از :

۱ . رکن قانونی : رکن قانونی یعنی اینکه قانون ، فعل یا ترک فعل آن را تحت عنوان جرم ، قانونگذاری و برای آن مجازات بیان کرده باشد و تا هنگامی که قانون درباره فعل یا ترک فعلی چنین نکرده باشد رکن قانونی تحقق نیافته است .

۲ . رکن مادی : رکن مادی هر جرم عبارت است از فعل ، ترک فعل ، فعل ناشی از ترک فعل و داشتن و نگهداری که به موجب قانون جرم باشند . اما در جرایم رایانه ای ترک فعل و داشتن و نگهداری تا کنون مصداق عینی نداشته است ؛ از این رو باید گفت در حال حاضر جرایم رایانه ای از جرایم عمدی است و هرگونه بی احتیاطی ، بی مبالاتی و عدم مهارت که جزء مصادیق خطا هستند باید به عنوان تخلفات مدنی یا اداری مورد بررسی قرار گیرند .

۳ . رکن معنوی : رکن معنوی عبارت است از قصد مجرمانه یا خطایی که مجرم بر اثر آن مرتکب جرم شده باشد و با شرایطی مسئولیت جزایی متوجه او خواهد بود . جرایم رایانه ای نیز مانند دیگر جرایم نیازمند رکن معنوی است . ( حسینی خواه و رحمتی ، ۱۳۸۹ ، ۵۶ )

مبحث اول : ارکان تشکیل دهنده دسترسی غیرمجاز   

دسترسی توانایی یک کاربر جهت مشاهده کردن ، تغییر دادن و ارتباط برقرار کردن با یک فایل در یک سیستم رایانه ای است . دسترسی ، نوعاً تبادل اطلاعات بین کاربر و اطلاعات می باشد ، به عنوان مثال ، کاربر می تواند یک فایل را فقط بخواند یا اینکه فهرست یا برنامه ای را ایجاد و اجرا نماید .

بخشی از کار در برقراری امنیت سامانه های رایانه ای و مخابراتی ، مربوط به حفاظت اطلاعات موجود در آنهاست که دسترسی غیرمجاز می تواند امنیت آن را کاهش داده یا به طور کامل سلب نماید . ( گروه مؤلفین ، ۱۳۸۲ ، ۴۱ )

به همین جهت مسؤولان ذی صلاح عموماً به منظور حفاظت محتوای اطلاعات موجود ، اقدام به کنترل و دسترسی می کنند و افراد مجاز فقط در محدوده های مجاز می توانند به اطلاعات دسترسی داشته باشند .

گفتار اول : رکن قانونی دسترسی غیرمجاز

مطابق مادۀ یک قانون جرایم رایانه ای : هرکس به طور غیرمجاز به داده ها یا سامانه های رایانه ای یا مخابراتی که به وسیله تدابیر امنیتی حفاظت شده است دسترسی یابد ، به حبس از نود و یک روز تا یک سال یا جزای نقدی از پنج تا بیست میلیون ریال یا هر دو مجازات محکوم خواهد شد   .

دسترسی یعنی وجود شرایط لازم به منظور دستیابی به اطلاعات طبقه بندی شده و دسترسی غیرمجاز ، به دست آوردن هرگونه اطلاعات طبقه بندی شده خارج از ضوابط و مقررات حفاظتی می باشد . ( ترکی ، ۱۳۸۸ ، ۱۳ )

جرم دسترسی غیرمجاز از جرایم جدید می باشد که پیش از این در خصوص اطلاعات اسنادی و مدارکی سابقه جرم انگاری نداشته است . به طور کلی دسترسی به اطلاعات طبقه بندی شده حفاظتی به دو صورت انجام می گیرد :

دسترسی مجاز : اطلاع یافتن از محتویات اطلاعات در چارچوب تعیین شده  .

دسترسی غیرمجاز : اطلاع یافتن از محتویات اطلاعاتی برای افرادی که نیاز به دانستن اطلاعات را ندارند.

یکی از اصل های مهم در حفاظت اطلاعات ، جلوگیری از دسترسی غیرمجاز است . برای جلوگیری از افشای اطلاعات ، مقرراتی از سوی مقامات ذی صلاح وضع شده تا دسترسی به اطلاعات در محدوده مشخص شده انجام گیرد و هرگونه دسترسی خارج از آن مسیر ، دسترسی غیرمجاز تعریف می شود . به طور کلی سه عامل در دسترسی نقش تعیین کننده ای ایفا می کنند که عبارتند از :

الف ) نیاز به دانستن

ب ) صلاحیت امنیتی

ج ) آشنایی با مقررات

اولین اصل لازم در دسترسی ، نیاز به دانستن است ؛ به عبارتی فرد برای انجام مأموریت و مسؤلیت خود ، نیاز به اطلاعات مورد نیاز دسترسی داشته باشد و بتواند از آنها در جهت انجام وظیفه یا مأموریت واگذاری ، بهره برداری مجاز نماید . البته دو عامل گفته شده دیگر نیز باید در فرد وجود داشته باشد تا شروط لازم برای دسترسی مجاز مهیا گردد . ( گروه مؤلفین ، ۱۳۸۲ ، ۴۲ )

دسترسی هر یک از گروه ها از اطلاعات گروه های دیگر دسترسی غیرمجاز محسوب شده و جرم تلقی می شود . همچنین شروع به جرم دسترسی غیرمجاز ، جرم نمی باشد ؛ چراکه در هیچ یک از مواد قانونی جرایم رایانه ای بدان اشاره نشده است .

ولی معاونت در جرم در صورت وجود شرایط مقرر در ماده ۴۳ مجازات اسلامی امکان پذیر است و از این نظر تابع شرایط عمومی مجازات ها می باشد . ( گلدوزیان ، ۱۳۸۴ ،۲۱۱ )

مقررات حفاظتی در مورد اطلاعات موجود در سامانه های رایانه ای یا مخابراتی ، شرایطی را ایجاد می کند تا فقط افراد مجاز بتوانند به اطلاعات موجود دسترسی یابند و در صورت دسترسی غیرمجاز ، محتویات موجود افشاء شده محسوب می شود . از این رو کسانی که در یک سازمان اداری یا نظامی فعالیت می کنند ولی نیازی به اطلاعات مورد نظر ندارند ، جزء افراد غیرمجاز محسوب می شوند .

به طور مثال تصور کنید در یک مجموعه پژوهشی یک رایانه وجود دارد که سه نفر از اعضای این گروه به صورت مشترک با یک رمز اولیه « گذرواژه » می توانند وارد آن شوند ، ولی هر کدام به منظور دسترسی به اطلاعات مربوط دارای گذرواژه اختصاصی هستند اگرچه افراد مزبور صلاحیت دسترسی به دستگاه رایانه مشترکی را دارند ولی از آنجا که آگاهی از اطلاعات یکدیگر در سامانه برای آنها تعریف نشده است ، از این رو چنانچه یکی از پژوهشگرها بدون رعایت تدایبر حفاظتی به اطلاعات دیگری در همان دستگاه اشتراکی ورود پیدا کند ، مشمول ماده خواهد بود ، ولی در فرض دیگر چنانچه فضای مشترکی در همان مجموعه جهت استفاده کارکنان تعبیه شده باشد تا بتوانند در آن مطالب گذاشته ، دیگران استفاده نمایند یا از آن مطلب بردارند . در چنین حالتی چنانچه یکی از اعضای مجموعه ، اطلاعات طبقه بندی خود را به هر دلیلی یا از روی سهل انگاری در این فضا به اشتراک بگذارد و دیگران نیز به صورت تصادفی آن را ببینند و از آن بهره برداری نمایند ، هیچ گونه جرم یا تخلفی صورت نگرفته است . ( ترکی ، ۱۳۸۸ ، ۱۳ )

گفتار دوم : رکن مادی دسترسی غیرمجاز

مرتکب این جرم ، شخص حقیقی بوده و شخص حقوقی مشمول حکم این ماده نمی شود ، چراکه در فصل هشتم مباحث جداگانه ای به اشخاص حقوقی و مسؤلیت ایشان اختصاص داده شده است . از این رو قانونگذار به عمد از واژه شخص که در علم حقوق هم در مورد اشخاص حقیقی و هم حقوقی استعمال می شود ، استفاده نکرده است و به جای آن از واژهA هرکس@ استفاده نموده است . بنابراین هر فرد ایرانی یا خارجی زن یا مرد ، اداری یا دارای شغل آزاد نظامی یا غیرنظامی می توانند مرتکبان این جرم باشند . چنانچه مرتکب از اشخاص مذکور در بند (الف) مادۀ ۲۶ همان قانون باشد ، از موارد تشدید مجازات نیز خواهد بود . مادۀ ۲۶ قانون مزبور مقرر می دارد در موارد زیر ، حسب مورد مرتکب به بیش از دو سوم حداکثر یک یا دو مجازات مقرر محکوم خواهد شد :

الف ) هریک از کارمندان اداره ها و سازمان ها یا شوراها و یا شهرداری ها و مؤسسه هایی که زیر نظر ولی فقیه اداره می شوند و دیوان محاسبات و مؤسسه هایی که با کمک مستمر دولت اداره می شوند و یا دارندگان پایه قضایی و به طور کلی اعضاء و کارکنان قوای سه گانه و همچنین نیروهای مسلح و مأموران به خدمت عمومی اعم از رسمی و غیر رسمی به مناسبت انجام وظیفه مرتکب جرم رایانه ای شده باشد .

حال چنانچه چند نفر به اتفاق به ارتکاب این جرم دست بزنند ، همه آنها طبق قانون مجازات اسلامی شرکای جرم محسوب می گردند .