این ایمیلهای نامطمئن
این یادداشتم را در روزنامه دنیای اقتصاد از اینجا بخوانید.
در فضای تجارت بینالملل، نکات ساده، اما بسیار خطیری وجود دارد که بیتوجهی به آنها ممکن است مشکلات بزرگی را به همراه بیاورد. برخی از این نکات را در هیچ کتاب و جزوهای نمیتوان یافت و تا صابون آن به تن خود آدم نخورد، حواسی را جمع نخواهد کرد. در این چند ماه اخیر، درگیر وکالت پروندهای در مرکز داوری اتاق سوییس هستم که در آن، یکی از همین اشتباههای ساده طرفین را دچار مشکلات جدیای کرده است. به اشتراک گذاشتن این اشتباه و درس گرفتن از آن، به گمانم برای تمام کسانی که درگیر کسب و کار و تجارت در فضای بینالمللی هستند، میتواند مفید باشد.
داستان به طور ساده از این قرار است که شرکت ایرانی (خریدار) و شرکت ایتالیایی (فروشنده) از دیرباز مراودات تجاریای با یکدیگر داشتند و اعتماد نسبیای میانشان حاکم بوده است. در یکی از همین خرید و فروشها، بخشی از موضوع معامله با توافق طرفین منتفی میشود و شرکت ایرانی که تمام وجه کالا را پیشتر پرداخته بود، میبایست بخشی از مبلغ پرداختی را از شرکت ایتالیایی بازپسگیرد. شرکت ایتالیایی برای بازپرداخت اعلام آمادگی مینماید، اما شرکت ایرانی که درگیر مراودات تجاری بینالمللی بود و هست، برای پرهیز از ورود مجدد به مشکلات انتقال وجه به خارج، از شرکت ایتالیایی درخواست میکند که مبلغ را به امانت نزد خود نگه داشته و به حسابی که متعاقبا اعلام میگردد، منتقل نماید. شرکت ایتالیایی نیز مشکلی با این موضوع نداشت و وجه به طور امانت نزد این شرکت باقی ماند.
در تاریخ ۲۳ دسامبر ۲۰۱۵، شرکت ایرانی طی ایمیلی به شرکت ایتالیایی شماره حسابی را در بانکی در هنگکنگ معرفی و درخواست نمود که وجه به این حساب منتقل گردد. دقایقی بعد از ارسال این ایمیل، رخنهگر (هکر) اینترنتیای که احتمالا از مدتها پیش در حال رصد مکاتبات ایمیلی این شرکتها بود، ایمیلی به شرکت ایتالیایی ارسال مینماید و ضمن پوزش، درخواست میکند شماره حساب اصلاح شده و پول به حساب دیگری –این بار در هند- منتقل گردد. آدرس ایمیلی که توسط رخنهگر ارسال گردید، دقیقا همان آدرس ایمیل شرکت ایرانی بوده و جایی برای تردید شرکت ایتالیایی باقی نمیگذاشت. شرکت ایتالیایی وجه را به حساب جدید منتقل نمود و در پاسخی به شرکت ایرانی اعلام نمود که پرداخت به حساب هند انجام گرفته است. اما تنظیمات ایمیل جعلی به گونهای بود که پاسخ شرکت ایتالیایی هرگز به طرف ایرانی واصل نشد.
سه روز بعد، یعنی در تاریخ ۲۶ دسامبر، شرکت ایرانی که مطلع شد وجه هنوز به حساب هنگکنگ منتقل نگردیده است، پیگیر موضوع از شرکت ایتالیایی گردید. اما شرکت ایتالیایی به دلیل تعطیلات کریسمس تعطیل بود و هیچ یک از پرسنل آن در محل حضور نداشتند. ایمیلهایی هم که برای شرکت ارسال میشد، پاسخ خودکاری دریافت میکرد که شرکت تا تاریخ ۴ ژانویه در تعطیلات به سر میبرد و پس از آن پاسخگو خواهد بود.
روز ۴ ژانویه، شرکت ایتالیایی که از تعطیلات به محل کار بازگشت، با سیلی از ایمیلهای شرکت ایرانی مواجه شد که پیگیر وضعیت پول بود. شرکت ایتالیایی بلافاصله موضوع را از بانک پیگیری کرد و تایید بانک را برای شرکت ایرانی ارسال نمود که حکایت از انتقال پول در همان تاریخ ۲۳ دسامبر به حسابی در هند میکرد. وقتی شرکت ایرانی صحت این حساب را انکار نمود، شرکت ایتالیایی تصویری از ایمیل شرکت ایرانی را فرستاد که در آن شرکت ایرانی، با پوزش، شماره حساب را اصلاح و به هند تغییر داده بود. آدرس ایمیل فرستنده و گیرنده، همگی درست بود. شرکت ایرانی اعلام کرد که هرگز چنین ایمیلی را ارسال نکرده است و اینکه این یک تقلب اینترنتی است و شرکت ایتالیایی باید وجه را به حساب اولیه منتقل میکرد. شرکت ایتالیایی نیز اعلام نمود که دقیقا برابر دستورالعمل شرکت ایرانی عمل نموده و هیچ مسوولیتی متوجه وی نیست و هیچ راهی هم وجود نداشت که متوجه شود ایمیل جعلی است. پیگیریهای شرکت ایتالیایی از بانک نیز به نتیجهای نرسید و بانک اعلام نمود که نهایتا تا روز بعد از دستور پرداخت امکان توقف عملیات را داشته و اکنون با گذشت دو هفته، چنین امکانی وجود ندارد. مذاکرات متعدد طرفین نیز برای حل مشکل به نتیجهای نرسید و نهایتا به درخواست شرکت ایرانی، دعوایی در مرکز داوری اتاق سوییس به جریان افتاد.
از هر طرف که به این ماجرا بنگریم، میتوانیم حق را به یکی از طرفین بدهیم. از یک سو شرکت ایرانی درست میگوید که هرگز چنین ایمیلی را ارسال ننموده است و از سوی دیگر، شرکت ایتالیایی حق میگوید که برابر ایمیل دریافتی عمل کرده است. قضاوت در خصوص این پرونده نیاز به بررسیهای فنی و کارشناسی دارد تا مشخص گردد قصور و ضعف امنیتی از سوی کدام یک از طرفین بوده و کدامیک باید مسوولیت این اشتباه را پذیرا شود. اما نگارنده شخصا، تا پیش از این پرونده، هرگز نمیدانست که برخی وبسایتهای -عموما- غیر معتبر این امکان را برای کاربران خود فراهم میآورند تا ایمیلی را با شکل و شمایل جعلی و دقیقا با آدرس ایمیل مشابه اصلی ارسال نمایند. به این معنا که ممکن است هیچ چیزی در ظاهر ایمیل شک و شبههای را برنیانگیزد و همه چیز، حتی نشانی ایمیل دقیقا درست باشد، اما ایمیل از سوی یک رخنهگر یا هکر طراحی و ارسال شده باشد. در جریان همین پرونده متوجه شدم که راهکار فنی حل این مشکل، افزایش ایمنی ایمیلها از طریق افزونهای به نام SPF است که اجازه نمیدهد ایمیلی خارج از IP مجاز از پیش تعریف شده ارسال و دریافت شود. اما ابعاد فنی ماجرا موضوع این یادداشت نیست.
آنچه از منظر نگارنده میتواند در این پرونده درسآموز باشد و تمام کسانی هم که درگیر فضای تجاری بینالمللی –و حتی داخلی- هستند باید بیاموزند، این است که در موضوعات مهم، نظیر انتقال وجه و اطلاعات راجع به حساب یا اتخاذ تصمیمات کلیدی، ایمیل را به تنهایی مبنای کار خود قرار ندهند، بلکه حتما صحت اطلاعات مبادله شده را از طرق دیگری نیز احراز نمایند. این طرق دیگر میتواند تماس تلفنی یا تماس با هر ابزار دیگری مانند تلگرام باشد. مهم این است که اطلاعات در دو یا چند مسیر مختلف بازگو شده و همخوانی آن با یکدیگر بررسی شود. برای مثال، در همین پروندهای که صحبتش رفت، اگر قرار طرفین این میبود که پیش از هر انتقال وجهی، در یک تماس ساده تلفنی، جزییات انتقال بررسی و تایید شود، امروز کار به جایی نمیکشید که هر دو طرف خود را در معرض آسیب جدی مالی بیابند و ناگزیر به صرف هزینههای قابل توجهی برای اثبات حق خود گردند.
از درج این مطلب تشکر می کنم. به نظر می رسد عنوان صحیح روزنامه، روزنامه دنیای اقتصاد باشد که در خط اول بگونه دیگری منعکس شده است.
ممنونم. تصحیح کردم.
اطلاعات حساس، همچون گذرواژه ها، شماره حساب های بانکی و اعداد امنیتی شما، نباید از طریق ایمیل ارسال شوند و یا حداقل باید آنها را در فایلی نوشت، روی آنها رمز گذاشت و فایل را ارسال کرد و سپس، از طریقی دیگر، رمز آن فایل را نیز به طرف مقابل داد. ﺑﻨﻆﺮ ﻣﻴﺮﺳﺪ ﺩﺭﻣﺮاﻭﺩاﺕ ﺗﺠﺎﺭﻱ ﻛﻪ اﻓﺮاﺩ ﺑﺎﻫﻮﺵ ﻭﻭﻳﮋﻩ ﺑﺮاﻱ ﻣﻌﺎﻣﻼﺕ ﻃﺮﻓﻴﻦ ﻫﻢ ﻗﺮاﺭﻣﻴﮕﻴﺮﻧﺪ اﻳﻦ ﻫﻮﺵ ﻭﺫﻛﺎﻭﺕ ﺭاﻫﻢ ﺩاﺷﺘﻪ ﺑﺎﺷﻨﺪ ﺗﺎﻧﻬﺎﻳﺖ اﻳﻤﻨﻲ ﻣﻌﺎﻣﻼﺕ ﺧﻮﺩ ﺭاﺑﺎاﻥ ﺗﻀﻤﻴﻦ ﻛﻨﻨﺪ.
ﺑﺴﻴﺎﺭ ﻣﻂﻠﺐ ﻣﻔﻴﺪﻱ ﺑﻮﺩ ﺗﺸﻜﺮ اﺯ ﺁﻗﺎﻱ ﺩﻛﺘﺮ ﻋﺰﻳﺰ
سلام.
با توجه به اینکه جنابعالی از داوران و حقوقدانان برجسته کشور و فعال در سطح بین اللمل هستید بسیار جای خوشحالی دارد تجربیات خود را در اختیار خوانندهها بگذارید.
با آرزوی توفیقات روز افزون
ارادتمند: اصغر طهماسبی
کارشناس رسمی دادگستری و داور حقوقی
خیلی خیلی ممنونم از مطالب خوبتون
عالیهههههه
خسته نباشید
از به اشتراک گذاشتن این تجربه بسیار ممنونم. منتظر و سراپا گوشِ مطالبی این چنینی هستم