سایت‌های شرط بندی و قمار | روش‌های انتقال پول

شاید برای شما هم سوال پیش آمده باشد که با وجود غیر قانونی بودن قمار و شرط‌‌بندی در کشور ما، سایت های شرط بندی و قمار چطور تراکنش‌های بانکی انجام می‌دهند؟ آیا ارتباطی مخفیانه بین سیستم بانکی کشور و مالکان سایت‌های قمار و شرط‌بندی وجود دارد یا حفرات امنیتی در سیستم بانکی کشور امکان تراکنش‌های مالی را برای این فعالیت‌های مجرمانه فراهم می‌آورد؟ آیا این سایت‌ها از تکنیک‌های خاصی برای پولشویی و دور زدن محدودیت‌های بانکی استفاده می‌کنند؟

سایت‌های شرط‌بندی ایرانی برای کسب درآمد و کلاهبرداری از ایرانیان طراحی شده‌اند. با توجه به این موضوع باید راه‌های مختلفی برای پرداخت کاربران ایرانی داشته باشند. در این مقاله به معرفی انواع روش‌های پرداخت سایت‌های قمار و شرط‌بندی می‌پردازیم. با سایبرنو همراه باشید.

 

موضوعاتی که در ادامه به آن می‌پردازیم:

۱- روش های پرداخت ریالی سایت های شرط بندی

۲ـ سایر روش‌های پرداخت سایت های شرط بندی

 

۱- روش های پرداخت ریالی سایت‌های شرط بندی

با اینکه فعالیت سایت‌های شرط‌بندی در ایران غیرقانونی است و پلیس فتا از هرگونه نقل و انتقال پول به سایت‌های شرط‌بندی جلوگیری می‌کند، اما با توجه به اینکه منبع اصلی درآمد سایت های شرط بندی، کاربران ایرانی هستند، لذا این سایت‌ها سعی می‌کنند تا با استفاده از روش‌های مختلف پولشویی و دور زدن سیستم‌های بانکی ایران اقدام به کسب درآمد از کاربران ایرانی نمایند. در این بخش به بررسی تکنیک‌های مختلفی که سایت‌های شرط‌بندی برای ایجاد درگاه پرداخت ریالی استفاده می‌کنند، می‌پردازیم.

۱-۱-درگاه مستقیم بانکی

یکی از راه‌های شارژ حساب در سایت‌های شرط‌بندی، استفاده از درگاه مستقیم بانکی است. طبق آئین‌نامه تصویب‌شده در سال ۱۳۹۸، اگر فردی، فروشگاهی را به صورت اینترنتی راه‌اندازی کند، ثبت دامنه سایت، حساب معرفی شده برای اعمال تراکنش، تمام اطلاعات و احراز هویت باید به نام فرد درخواست‌کننده باشد تا مقابل اجاره دادن شدن درگاه‌های بانکی گرفته شود. بنابراین، روش پرداخت از طریق درگاه مستقیم بانکی، کمتر مورد استفاده سایت های شرط بندی و قمار می‌گیرد زیرا اجاره کردن درگاه‌های مستقیم بانکی یا حتی گرفتن درگاه پرداخت واسط از پرداخت‌یارها برای این سایت‌ها سخت شده است و عدم اجاره درگاه نیز با توجه به غیرقانونی بودن وجود این سایت‌ها، ریسک بالایی برای شناسایی در پی خواهد داشت. با این همه، روش پرداخت از طریق درگاه مستقیم بانکی برای وبسایت‌های دارای فعالیت مجرمانه، غیرممکن نیست؛ بسیاری از سایت های شرط‌بندی درگاه مستقیم بانکی دارند اما برای اینکه درگاهشان شناسایی و مسدود نشود، آن را در اختیار کاربران جدیدشان قرار نمی‌دهند، بلکه تنها آن را در اختیار کاربران شناخته‌شده و آنهایی که مبالغ بالایی در سایتشان شرط‌بندی کرده‌اند، قرار می‌دهند.

به عنوان نمونه یکی از این درگاه‌ها که هیچ نماد اعتمادی ندارد، پرداخت الکترونیکی ویچر (witcher) است که با دامنه https://sharez.site ارائه می‌شود. نمونه‌ای از این درگاه را در شکل زیر می‌بینید:

 

 

۱-۲- مهندسی معکوس برنامه‌های کارت به کارت

یکی از روش‌های متداول مورد استفاده سایت‌های شرط بندی، «مهندسی معکوس برنامه‌های کارت به کارت یا همراه بانک‌ها» است. برنامه‌هایی همانند همراه کارت، ۷۸۰، آپ، سکه و... (که توسط بانک‌ها و شرکت‌های PSP برای انجام کارهای بانکی طراحی شده‌اند) امکان انجام عملیات کارت به کارت در تلفن همراه را به کاربر می‌دهند.

در این روش، گردانندگان سایت‌های شرط‌بندی با مهندسی معکوس این برنامه‌ها (که قابلیت کارت به کارت دارند) و استخراج API‌ آن‌ها، سعی می‌کنند با شبیه‌سازی آن واسط کاربری، با سرور مربوطه ارتباط برقرار کنند و عملیات کارت به کارت را از کارت کاربر به یک کارت بانکی دیگر (اجاره‌ای یا غیره) انجام دهند. این کار بین سایت‌های شرط‌بندی بسیار مرسوم است به طوری که تقریبا تمامی سایت های شرط‌بندی از این روش استفاده می‌کنند. در ادامه، بعضی از مهم‌ترین روش‌های مهندسی معکوس برنامه‌های کارت به کارت مورد استفاده سایت‌های دارای فعالیت مجرمانه را معرفی می‌کنیم.

۱-۱-۱ درگاه پرداخت جعلی JibGate و Asan Pay

این درگاه با استفاده از PHP پیاده‌سازی شده است و اکثرا وب‌سایت‌های دارای اسکریپت Parsiga از این درگاه پرداخت استفاده می‌کنند. این درگاه در دو نسخه مختلف JibGate و Asan Pay ارائه می‌شود. در این روش، ابتدا شماره کارت و شماره موبایل از کاربر دریافت و پس از وارد کردن کد پیامک‌شده (ارسالی از برنامک‌های سکه، تاپ، آپ و همراه بانک تجارت)، سایر اطلاعات کارت بانکی برای ادامه پرداخت دریافت می‌شود. در زیر می‌توانید نمایی از صفحه اصلی درگاه پرداخت جعلی JibGate (بالا) و روند شارژ حساب با این درگاه (پایین) را ببینید:

 

 

همچنین، در زیر، تصویری از پیامک ارسال شده از سمت برنامه سکه بعد از وارد کردن شماره همراه در JibGate نمایش داده شده است:

 

 

۱-۱-۲- درگاه پرداخت جعلی IraGate

درگاه پرداخت جعلی ایران‌گیت یا IranGate یکی دیگر از درگاه‌های کارت به کارت بانکی مورد استفاده سایت های شرط بندی است که در وب‌سایت‌های دارای اسکریپت Parsiga استفاده می‌شود. در این روش ابتدا اطلاعات کارت و شماره همراه از کاربر گرفته شده و پس از وارد کردن کد پیامک‌شده (ارسالی از برنامک تاپ، سکه، ستاره یک و همراه کارت) سایر اطلاعات کارت بانکی برای ادامه پرداخت دریافت می‌شود.

نکته: این درگاه به صورت یک چارچوب پرداخت کامل طراحی شده است؛ یعنی علاوه بر اینکه از اپلیکیشن‌های کارت به کارت برای پرداخت استفاده می‌کند، روش‌های پرداخت مبتنی بر رمز‌ارز، PS-Voucher، Perfect Money Voucher و کارت به کارت خودکار نیز دارد.

در تصویر زیر، روند شارژ حساب با مهندسی معکوس برنامه‌های سکه، ۷۳۳، تاپ از طریق درگاه Asan Pay نمایش داده شده است:

 

 

 

همچنین، در زیر می‌توانید صفحه اول درگاه پرداخت جعلی IranGate (بالا) و روند شارژ حساب از طریق درگاه پرداخت جعلی IranGate (پایین) را ببینید:

 

 

تصویری از پیامک ارسال‌شده از برنامه‌های سکه، تاپ و ستاره یک در روند شارژ از طریق درگاه IranGate در زیر نمایش داده شده است:

 

 

۱-۱-۳- درگاه پرداخت جعلی Vodapay

درگاه پرداخت Vodapay یکی دیگر از درگاه‌های کارت به کارت بانکی است که در وب‌سایت‌های دارای اسکریپت Parsiga و riobet استفاده می‌شود. در این روش نیز ابتدا اطلاعات کارت و شماره همراه از کاربر گرفته شده و پس از وارد کردن کد پیامک‌شده سایر اطلاعات کارت بانکی برای ادامه پرداخت دریافت می‌شود. این درگاه پرداخت جعلی در پس‌زمینه از اپلیکیشن همراه کارت استفاده می‌کند.

نکته: این درگاه پرداخت جعلی از رمزارز نیز برای پرداخت پشتیبانی می‌کند، اما معمولا کمتر استفاده می‌شود.

در زیر می‌توانید تصویری از روند شارژ حساب از طریق درگاه جعلی Vodapay را ببینید:

 

 

۱-۱-۴- درگاه پرداخت جعلی CentralPay

درگاه پرداخت CentralPay یکی از پیشرفته‌ترین درگاه‌های موجود است که از روش مبتنی بر مهندسی معکوس برنامه‌های کارت به کارت استفاده می‌کند. این درگاه اپلیکیشن‌های سکه (متعلق به بانک ملت)، تاپ (متعلق به بانک پارسیان)، ۷۲۴ (متعلق به پرداخت الکترونیک سامان)، فام (متعلق به موسسه اعتباری ملل)، 780، دیجی‌پی (متعلق به دیجی‌کالا)، ستاره یک و همراه بانک تجارت را مهندسی معکوس کرده است. در این روش ابتدا شماره کارت از کاربر دریافت و با توجه به نام بانک، گزینه‌های مختلفی جهت واریز وجه به کاربر نمایش داده می‌شود. سپس شماره همراه از کاربر گرفته شده و پس از وارد کردن کد پیامک‌شده سایر اطلاعات کارت بانکی برای ادامه پرداخت دریافت می‌شود. در تصویر زیر، روند شارژ حساب از طریق درگاه جعلی CentralPay را می‌بینید:

 

 

۱-۱-۵- درگاه پرداخت جعلی Caspian

این درگاه مبتنی بر Vue.js پیاده‌سازی شده و اکثرا وب‌سایت‌های دارای اسکریپت Parsiga از این درگاه پرداخت استفاده می‌کنند. در این روش ابتدا شماره کارت و شماره موبایل از کاربر دریافت و پس از وارد کردن کد پیامک‌شده (ارسالی از برنامک‌های تاپ، همراه کارت، آپ و فام) سایر اطلاعات کارت بانکی برای ادامه پرداخت دریافت می‌شود. در زیر می‌توانید صفحه اول درگاه پرداخت جعلی Caspian (بالا) و نحوه وارد کردن اطلاعات حساب در شارژ از طریق درگاه پرداخت جعلی Caspian (پایین) را ببینید:

 

 

همچنین، پیامک‌های ارسال‌شده از سمت برنامه‌های کارت‌ به کارت از طریق درگاه پرداخت جعلی CentralPay در زیر نمایش داده شده است:

 

 

۱-۱-۶- درگاه پرداخت جعلی IranGate 2

درگاه پرداخت جعلی دیگری نیز با نام IranGate وجود دارد که ما آن را با نام IranGate 2 می‌شناسیم. این درگاه با دامنه‌های مختلفی چون drgahPay، pinpayy و... یکی دیگر از درگاه‌های کارت به کارت بانکی است که در برخی وب‌سایت‌های دارای اسکریپت Parsiga استفاده می‌شود. در این روش ابتدا اطلاعات کارت و شماره همراه از کاربر گرفته شده و پس از وارد کردن کد پیامک‌شده (ارسالی از برنامک‌های تاپ، 780، همراه کارت و ستاره یک) سایر اطلاعات کارت بانکی برای ادامه پرداخت دریافت می‌شود.

در زیر می‌توانید صفحه اول درگاه پرداخت جعلی IranGate 2 (بالا) و روند شارژ حساب از طریق درگاه پرداخت جعلی IranGate 2 (پایین) را ببینید:

 

 

۱-۱-۷- درگاه پرداخت جعلی Card Pardakht

درگاه پرداخت Card Pardakht یکی دیگر از درگاه‌های کارت به کارت بانکی مورد استفاده سایت‌های شرط بندی است که در وب‌سایت Betforward استفاده می‌شود. در این روش نیز مشابه سایر درگاه‌های مبتنی بر مهندسی معکوس برنامه‌های کارت به کارت، ابتدا مبلغ موردنظر و شماره کارت و تلفن همراه از کاربر گرفته شده (لازم است شماره کارت و تلفن همراه به نام یک نفر ثبت شده باشد) و پس از وارد کردن کد پیامک‌شده که به توجه به درگاه انتخابی از طرف همراه کارت‌های مختلف ارسال می‌شود، سایر اطلاعات کارت بانکی برای ادامه پرداخت دریافت می‌شود.

در زیر می‌توانید روند شارژ حساب از طریق درگاه پرداخت جعلی «کارت پرداخت» (بالا) و پیامک ارسال شده از سمت برنامه‌های پی‌پاد، سکه و هف‌هشتاد در «کارت پرداخت» (پایین) را ببینید:

 

 

۱-۱-۸- درگاه پرداخت جعلی Pardakht Pal

درگاه پرداخت جعلی Pardakht Pal با دامنه‌‌هایی همچون safawide.com و parcan.site و... یکی دیگر از درگاه‌های کارت به کارت بانکی است. در این درگاه اطلاعات کارت بانکی بدون رمز دوم (پویا) به همراه شماره تلفن از کاربر دریافت شده و کدی از طرف برنامک همراه کارت به شماره داده شده ارسال می‌شود.

در زیر، روند شارژ حساب از طریق درگاه جعلی Pardakht Pal نمایش داده شده است:

 

 

۱-۱-۹- درگاه پرداخت جعلی Digitain Pay و BetConstruct

این دو درگاه پرداخت جعلی در واقع یک درگاه پرداخت واحد هستند که در دو نسخه و با دو رابط کاربری مختلف تهیه شده‌اند. یکی از آن‌ها در برخی از سایت های شرط بندی دارای اسکریپتDigitain  استفاده می‌شود و ما آن را با نام Digitain Pay می‌شناسیم. نسخه دیگر نیز در برخی از سایت‌های شرط‌بندی دارای اسکریپت BetConstruct‌ استفاده می‌شود و ما آن را با نام BetConstruct Pay می‌شناسیم. دامنه‌های این درگاه جعلی بسته به سایت متفاوت است. برخی از آن‌ها شامل pishpayment، paypi یا... می‌باشد.

در این درگاه جعلی ابتدا اطلاعات یک کارت بانکی وارد شده و شماره همراه جهت عضویت درخواست می‌شود. پس از وارد کردن کد پیامک شده (از یکی از برنامک‌های ۷۲۴، 780، همراه بانک تجارت)، از کاربر خواسته می‌شود که کارت خود را در هاب شاپرک ثبت کند. پس از وارد کردن کد پیامک‌شده از طرف هاب شاپرک، باقی اطلاعات برای اتمام شارژ حساب (رمز پویا) دریافت می‌شود.

در زیر می‌توانید روند شارژ حساب از طریق درگاه پرداخت Digitain Pay (بالا) و روند شارژ حساب از طریق درگاه BetConstruct (پایین) را ببینید:

 

 

۱-۱-۱۰- درگاه پرداخت جعلی BankApi

یکی دیگر از درگاه‌های کارت به کارت بانکی، درگاهی با نام BankApi است که در وب‌سایت «برد۹۰» استفاده می‌شود. در این روش ابتدا بانک کارت بانکی انتخاب می‌شود، سپس شماره همراه و مبلغ مورد نظر از کاربر گرفته شده و پس از وارد کردن کد پیامک‌شده که با توجه به درگاه انتخابی از طرف برنامک‌های مختلف (مانند سکه، تاپ، آپ، 780، همراه کارت، آوانو، ستاره یک و همراه بانک تجارت) ارسال می‌شود، سایر اطلاعات کارت بانکی برای ادامه پرداخت دریافت می‌شود.

در شکل زیر، روند شارژ حساب از طریق  روش BankApi (بالا) و پیامک ارسال‌شده از سمت برنامه‌های سکه، آپ، همراه کارت و ستاره یک در BankApi (پایین) را می‌بینید:

 

 

۱-۱-۱۱- سوء استفاده از رعایت نکردن بخشنامه بانک مرکزی

بانک مرکزی در سال اسفند 1397 اقدام به صدور یک بخش‌نامه‌ کرد که در آن مطابقت کدملی با شماره همراه در اپلیکیشن‌های موبایلی اجباری شد. به عبارتی کلیه برنامه‌های دارای قابلیت کارت به کارت تنها زمانی باید عملیات کارت به کارت را انجام دهند که مطمئن شوند صاحب کارت مبدا همان مالک سیم کارت تلفن همراه است. به همین خاطر درگاه پرداخت‌های جعلی نیاز به ارسال پیامک به تلفن همراه کاربر دارند. چرا که بدون آن نمی‌توانند از کارت کاربر عملیات کارت به کارت انجام دهند.

ما مشاهده کردیم که برخی درگاه‌های پرداخت جعلی هیچ پیامکی به کاربر ارسال نمی‌کنند. حتی تلفن همراه کاربر را نمی‌خواهند! تنها چیزی که می‌خواهند اطلاعات کارت بانکی (شماره کارت، تاریخ انقضا، کد CVV2 و رمز دوم پویا) می‌باشد. این موضوع برای ما عجیب بوده است که چه‌طور یک درگاه پرداخت جعلی می‌تواند بدون اینکه شماره تلفن همراه صاحب کارت را بگیرد، عملیات کارت به کارت انجام دهد.

با بررسی‌های انجام‌شده به نتیجه جالبی رسیدیم. اینکه برخی از برنامه‌های همراه بانک با اینکه بیش از 4 سال از صدور این بخشنامه گذشته است، هنوز این بخش‌نامه را رعایت نمی‌کنند!

در نتیجه برخی درگاه‌های پرداخت جعلی از API یکی از این برنامه‌ها استفاده کرده و عملیات کارت به کارت را در یک حساب کاربری از پیش تعریف‌شده انجام می‌دهند و نیازی به ارسال پیامک به کاربر و ساخت حساب کاربری به نام آن کاربر در برنامه ندارند.

بر اساس آخرین اطلاعات ما تا زمان آماده‌سازی این گزارش (22 مهر 1400)، همراه بانک‌های سپه و رسالت‌ هنوز این بخش‌نامه را رعایت نکرده‌اند و در نتیجه هر کسی بدون اینکه صاحب کارت باشد، می‌تواند عملیات کارت به کارت در این برنامه‌ها انجام دهد. سایت های شرط بندی نیز از همین مورد سوء استفاده کرده‌اند.

نکته: ما این مورد را در گزارش قبلی نیز ارائه داده بودیم. خوشبختانه اکثر برنامه‌هایی که در گزارش قبلی این مشکل را داشتند، آن را برطرف کرده‌اند. اما کلاهبرداران سایت‌های شرط‌بندی برنامک‌های جدیدی همانند همراه بانک سپه یافته‌اند که این مشکل را دارند و از آن‌ها برای انجام عملیات کارت به کارت خود استفاده می‌کنند. در شکل زیر، پیامک رمز پویا ارسال شده از یک درگاه پرداخت جعلی به دلیل عدم رعایت بخشنامه بانک مرکزی را می‌بینید:

 

 

۱-۱-۱۲- راه‌های جلوگیری از مهندسی معکوس برنامه‌های کارت به کارت

روش "مهندسی معکوس برنامه‌های کارت به کارت" بسیار محبوب است تا جایی که بیش از ۱۰ درگاه پرداخت جعلی مبتنی بر این روش طراحی و پیاده‌سازی شده است. در جدول زیر، خلاصه‌ای از این روش‌ها را می‌بینید.

 

 

 

بنابراین بانک مرکزی و شرکت‌های تولیدکننده برنامه‌های کارت به کارت باید با تمهیداتی جلوی این روش را بگیرند. هر چند این مساله یک مشکل مرسوم در توسعه برنامه‌های تلفن همراه مخصوصا برنامه‌های اندرویدی است. هر کسی می‌تواند هر برنامه اندرویدی را بگیرد، آن را مهندسی معکوس کند، API آن را استخراج کرده و از آن برای اهداف خودش استفاده نماید، اما راه‌های زیادی برای سخت کردن استفاده از این روش وجود دارد. در واقع تولیدکنندگان برنامه‌های کارت به کارت می‌توانند از راهکارهای زیر برای جلوگیری از سوء استفاده از برنامه‌هایشان استفاده کنند:

• استفاده از کپچا (CAPTCHA) پیچیده به هنگام انجام عملیات کارت به کارت: به دلیل اینکه حل کپچای پیچیده بدون دخالت انسان قابل انجام نیست، توصیه می شود با قرار دادن کپچا برای انجام عملیات کارت به کارت، نیاز به تعامل کاربر وجود داشته باشد و فرآیند خودکارسازی عملیات کارت به کارت دشوار گردد.
• تشخیص اجرا در شبیه‌ساز و گوشی روت شده: برخی درگاه‌های جعلی برای خودکارسازی فرآیند کارت به کارت اقدام به اجرای برنامک کارت به کارت بر روی یک شبیه‌ساز یا یک گوشی روت‌شده کرده و رفتار کاربر (وارد کردن اطلاعات و کلیک روی دکمه‌ها) را به صورت خودکار انجام می‌دهند. توصیه می‌شود با پیاده‌سازی ممنوعیت اجرای برنامک‌های پرداخت و کارت به کارت روی این محیط‌ها، جلوی این مدل سوء استفاده گرفته شود.
• جلوگیری از شنود ترافیک شبکه: به منظور استخراج API برنامک پرداخت، لازم است ترافیک شبکه برنامک دریافت و تحلیل گردد، به همین دلیل استفاده از مکانیزم‌های جلوگیری از شنود ترافیک همانند  SSL Pinning می‌تواند این کار را دشوار سازد.
• مبهم‌سازی کد برنامک: یکی دیگر از اقدامات لازم برای استخراج API، تحلیل کد برنامک است که با استفاده از ابزارهای مبهم‌سازی و پیچیده کردن مطالعه کد، می‌توان این کار را نیز سخت‌تر کرد.
• پیچیده‌سازی فراخوانی‌هایAPI : توابع REST API پیاده‌سازی شده هر چقدر پیچیده‌تر باشد، مهندسی معکوس آن سخت‌تر می‌شود. مثلا رمزنگاری ورودی‌ها و خروجی‌ها با استفاده از روش‌های رمزنگاری مستحکم و مبتنی بر تبادل کلید می‌تواند مفید باشد.
• استفاده از راهکارهای تعیین اصالت برنامه تلفن همراه: یکی از شیوه‌های بسیار مفید برای جلوگیری از سوء استفاده از این روش استفاده از روش‌هایی برای تعیین اصالت برنامه تلفن همراهی که فراخوانی API می‌کند، است. مثلا گوگل برای این کار راهکار Integrity Check را در Google Play Integrity API ارائه داده است. البته باید این راهکار به صورت دقیق پیاده‌سازی شده و امضای برنامه و خروجی آن به عنوان یک پارامتر اعتبارسنجی در REST API مورد استفاده قرار گیرد.
• مسدودسازی IPهای استفاده‌کننده از این روش: شرکت‌های تولیدکننده برنامک‌های کارت به کارت می‌توانند بررسی کنند از یک آدرس IP چه میزان درخواست کارت به کارت (با شماره تلفن‌های مختلف) ارسال می‌شود و وقتی مشاهده کردند که میزان درخواست کارت به کارت از یک آدرس IP از یک حدی بیشتر است، اقدام به مسدودسازی آن آدرس IP نمایند. همچنین بستن خدمات کارت به کارت بر رویIPهای خارجی (یا حداقل محدودتر کردن آن‌ها) می‌تواند کار درگاه‌های پرداخت جعلی مبتنی بر این روش را تا حدی سخت کند.
• هشدار لازم به کاربر در هنگام ارسال پیامک به تلفن همراه: بسیاری از کاربران سایت‌های شرط‌بندی نمی‌دانند که با وارد کردن کد پیامک‌شده برنامه کارت به کارت در یک سایت شرط‌بندی عملا دسترسی حساب کاربری خودشان در آن برنامه را در اختیار سایت شرط بندی قرار می‌دهند. می‌توان با نوشتن هشدار مناسب در متن پیامک ارسالی تا حدی کاربر را با خطرات انجام این کار آگاه کرد.
• محافظت از نسخه‌های PWA برنامک: نسخه‌های PWA برنامک‌های کارت به کارت (که عموما برای سیستم عامل iOS ارائه می‌گردد) نیز باید به درستی Obfuscate و محافظت گردند تا قابل مهندسی معکوس نباشند.
• و...

 

۱-۲- روش‌های کارت به کار خودکار (Auto Card 2 Card)

این روش مشابه روش مهندسی معکوس برنامه‌های کارت به کارت است، با این تفاوت که در این مورد، سایت های شرط بندی به حساب کاربر در یک برنامه کارت به کارت دسترسی پیدا نمی‌کند، بلکه شماره یک کارت اجاره‌ای را نمایش داده و از وی می‌خواهد پولی به آن کارت واریز و شماره رسید آن را در وب‌سایت وارد کند. سپس، سایت به طور خودکار واریز به کارت را شناسایی و حساب کاربر را شارژ می‌کند. این روش نیز همانند روش «مهندسی معکوس برنامه‌های کارت به کارت» در بین سایت‌های شرط‌بندی محبوب است و چند درگاه پرداخت جعلی مبتنی بر این روش ساخته شده است. نمونه‌هایی از این درگاه‌های جعلی بانکی در ادامه ارائه شده است.

۱-۲-۱- درگاه پرداخت جعلی Digitain

این درگاه پرداخت که مبتنی بر ASP.Net توسعه داده است، اکثرا توسط سایت‌های دارای اسکریپت Digitain و Bettington مورد استفاده قرار می‌گیرد. هر وب‌سایتی که از این روش استفاده می‌کند، دامنه اختصاصی مخصوص به خودش را برای این درگاه پرداخت دارد. در این روش کاربر مبلغ مورد نظر را به شماره کارت نمایش داده شده واریز کرده و سپس شماره کارت خود را جهت تایید در سایت وارد می‌کند. نمایی از درگاه کارت به کارت خودکار Digitain را در شکل زیر می‌بینید:

 

 

۱-۲-۲- درگاه پرداخت جعلی Bettington

در این روش که در سایت‌های اسکریپت Bettington مورد استفاده قرار می‌گیرد، کاربر مبلغ مورد نظر برای شارژ را در سایت شرط‌بندی وارد می‌کند. پس از آن شماره کارتی که کاربر باید مبلغ مورد نظر را به آن واریز کند نمایش داده می‌شود. در انتها در صورت تایید شماره کارت و تطابق مبلغ گفته شده در ابتدای فرآیند، شارژ انجام می‌شود. نمایی از درگاه کارت به کارت خودکار ‌Bettington را در زیر می‌بینید:

 

 

۱-۲-۳- راه‌های جلوگیری از روش کارت به کارت خودکار

برای جلوگیری از روش «کارت به کارت خودکار» بهترین روش جلوگیری از اجاره دادن کارت‌های بانکی است. باید این کارت‌ها به سرعت شناسایی شده و با کسانی که کارت‌هایشان را در اختیار این سایت‌ها قرار می‌دهند، برخورد شود و در نتیجه هزینه انجام این کار را بالا برد. در این مورد پلیس فتا اقداماتی انجام داده است اما به نظر کافی نیست، چرا که در حال حاضر این روش در سایت های شرط بندی کاملا متداول و مورد استفاده است. یکی از روش‌هایی که می‌تواند برای تسریع شناسایی کارت‌های اجاره‌ای کمک کند، طراحی اسکریپت‌هایی است که به طور خودکار این کارت‌ها را از درگاه‌های پرداخت سایت‌های شرط‌بندی استخراج می‌کنند.

۱-۳-روش کارت به کارت دستی (Manual Card 2 Card)

در این روش روال کارت به کارت (یا واریز به حساب) جهت جلوگیری از شناسایی کارت‌های اجاره‌ای به صورت دستی انجام می‌شود. یعنی عموما کاربر باید از پشتیبان سایت شرط‌بندی، یک شماره کارت گرفته و پولی را به آن واریز کند. سپس اطلاعات واریز را در سایت وارد کرده تا پشتیبان حساب کاربر را شارژ کند.

البته این روش دردسر بیشتری برای مدیر سایت شرط‌بندی دارد، چرا که پشتیبان وبسایت باید روال پرداخت را به صورت دستی چک کند و از طرفی برخی کاربران علاقه چندانی به ارتباط با پشتیبان ندارند و ترجیح می‌دهند روال پرداخت‌شان به طور خودکار انجام گیرد. در شکل زیر می‌توانید نمایی از این روش را ببینید:

 

 

۲ـ سایر روش‌های پرداخت سایت های شرط بندی

در بالا نگاهی به روش‌های ریالی سایت های شرط بندی انداختیم. با اینکه پرداخت ریالی محبوب‌ترین روش پرداخت در این وبسایت‌ها است، اما روش‌های مرسوم دیگری نیز وجود دارد که در این بخش با برخی از آنها آشنا می‌شویم.

۲-۱- پرداخت مبتنی بر Perfect Money و WebMoney

پرفکت مانی (به انگلیسی Perfect Money) یک سیستم پرداخت الکترونیکی برای پرداخت‌های غیر نقدی در اینترنت است که در سال ۲۰۰۷ ایجاد شده ‌است. این سیستم از نظر حقوقی متعلق به Perfect Money Finance Corp ثبت شده در کشور پاناما است که دفتر مرکزی و خدمات عملیاتی آن در زوریخ است.

در واقع پرفکت‌مانی یک نوع کیف پول الکترونیکی است که می‌توان از آن برای واریز و برداشت از حساب کاربری، در سایت‌های شرط‌بندی استفاده کرد. این کیف پول در بین بیشتر کاربران از محبوبیت بسیار بالایی برخوردار است زیرا می‌توانند با استفاده از آن، ارز‌های مختلفی را مانند دلار، بیت کوین، یورو و یا حتی طلا خریداری کنند. کاربر برای شارژ کردن حساب کاربری به این روش در ابتدا باید در سایت پرفکت‌مانی برای خود، اقدام به ایجاد یک حساب کاربری فعال نماید. سپس با شارژ کردن آن در ارز‌های دلخواه، به راحتی می‌تواند در سایت شرط‌بندی مورد نظر اقدام به شارژ حساب کاربری خود کند.

در سایت‌های شرط‌بندی بعد از درگاه‌های پرداخت ریالی، پرداخت مبتنی بر Perfect Money محبوب‌ترین روش پرداخت است. بیش از 95% وبسایت‌های شرط‌بندی موجود پرداخت مبتنی بر Perfect Money یا Perfect Money Voucher را پشتیبانی می‌کنند.

هر حساب پرفکت‌مانی دارای آدرس منحصربه‌فردی است، بنابراین یکی بودن آدرس حساب می‌تواند نشانه‌ای بر یکی بودن صاحب چند وبسایت شرط‌بندی باشد.

نکته جالب اینجاست که با اینکه WebMoney و Perfect Money هر دو جزء کیف پول‌های قانونی هستند و در کشورهای مختلف (مخصوصا کشورهایی تحت تحریم که دسترسی به PayPal ندارند) مورد استفاده قرار می‌گیرد. با این حال WebMoney چندان در سایت‌های کلاهبرداری و شرط‌بندی مورد استفاده قرار نمی‌گیرد و کمتر از 1% وبسایت‌های شرط‌بندی از WebMoney به عنوان روش پرداخت استفاده می‌کنند. یکی از دلایل این موضوع سختگیری‌هایی است که وبمانی برای احراز هویت می‌کند.

استفاده از  Perfect Money Voucher نیز در سایت‌های شرط‌بندی بسیار مورد استفاده قرار می‌گیرد. ووچر پرفکت‌مانی یکی از انواع کارت‌های ارزی است که به عنوان کارت شارژ پرفکت‌مانی در نظر گرفته شده و برای انجام امور مختلف مالی از طریق شبکه پرداخت پرفکت مانی مورد استفاده قرار می‌گیرد.

۲-۲- پرداخت مبتنی بر Voucherهای نامعتبر

همانطور که گفتیم Perfect Money Voucher همانند یک کارت شارژ است که با استفاده از آن می‌توان اقدام به خرید آنلاین از انواع سایت‌های خارجی که Perfect Money را پشتیبانی می‌کنند، نمود. برخی سایت های شرط بندی با الهام از  Perfect Money Voucher چندین Voucher نامعتبر و شخصی برای خودشان ساخته‌اند. این Voucherها هیچ کاربردی مگر استفاده در سایت‌های شرط‌بندی ندارند. نمونه‌ای از این Voucherهای نامعتبر در ادامه ارائه شده است.

۲-۲-۱- کد Voucher نامعتبر PS-Voucher

پی اس ووچر، پرمیوم ووچر یا کد فوچرز کدی چند رقمی است که ترکیبی اتفاقی از اعداد و حروف است. این کد به صورت قراردادی بین تعداد محدودی از سایت های شرط بندی ایرانی و سایت روسی شرط‌بندی 1xbet قابل استفاده است. در گذشته بسیاری از صرافی‌های داخلی اقدام به خرید و فروش این کد نامعتبر می‌کردند، اما خوشبختانه با پیگیری‌های مختلف در حال حاضر امکان خرید این کد نامعتبر کمتر شده است. همچنین با توجه به اینکه کد PS-Voucher تنها در سایت‌های شرط‌بندی مورد استفاده قرار می‌گیرد، خرید و فروش این کد توسط پلیس فتا به عنوان مدرکی برای انجام شرط‌بندی تلقی شود. با وجود تمامی این موارد در حال حاضر چیزی حدود 15% وبسایت‌های شرط‌‌بندی از این کد نامعتبر پشتیبانی می‌کنند.

۲-۳- پرداخت‌های مبتنی بر رمزارز مورد استفاده سایت های شرط بندی

رمزارزها با توجه به خصوصیت حفظ حریم خصوصی در سایت های شرط بندی نیز بسیار مورد استفاده قرار می‌گیرند. همچنین بسیاری از مدیران سایت‌های شرط‌بندی برای خارج کردن پول از ایران از رمزارزها استفاده می‌کنند. این سایت‌ها برای افزایش موجودی کاربران با رمزارزها درگاه‌هایی اختصاصی مبتنی بر رمزارز طراحی کرده‌اند، که برخی از آن‌ها در ادامه معرفی شده است.

۲-۳-۱- درگاه پرداخت مبتنی بر رمزارز  Novin Pay

یکی از روش‌های شارژ حساب‌ با رمزارزها در سایت‌های شرط‌بندی استفاده از درگاه نوین‌پی یا Novin Pay است. در این درگاه که مبتنی بر PHP طراحی شده است، مقدار مبلغ واریزی و آدرس والت مقصد به کاربر جهت واریز نمایش داده می‌شود و پس از انجام تراکنش توسط کاربر، حساب او شارژ می‌شود. این روش بیشتر در سایت‌های با اسکریپت Parsiga استفاده می‌شود. نمایی از این درگاه در شکل زیر نشان داده شده است:

 

 

۲-۳-۲- درگاه پرداخت مبتنی بر رمزارز  Parsigram

در این درگاه که برای شارژ حساب مبتنی بر رمزارز طراحی شده است، ابتدا واحد پول، شبکه و مبلغ توسط کاربر تعیین می‌شود. پس از آن آدرس والت مورد نظر برای کاربر نمایش داده می‌شود تا مبلغ درخواستی را به آن واریز کند. پس از آن حساب شارژ می‌شود. این روش بیشتر در سایت‌های با اسکریپت Parsiga استفاده می‌شود. نمایی از این درگاه و مراحل شارژ در شکل زیر نمایش داده شده است:

 

 

۲-۳-۳- درگاه پرداخت مبتنی بر رمزارز  CryptoPay

یکی از روش‌های شارژ حساب‌ با رمزارزها در سایت های شرط بندی استفاده از درگاه‌های پرداخت رمزارز با دامنه‌هایی همانند plockchain، coinsgate، cryptopal، paycryptolive، cryptozone و... است. در این درگاه‌ها مقدار مبلغ واریزی و آدرس والت مقصد به کاربر جهت واریز نمایش داده می‌شود و پس از انجام تراکنش توسط کاربر، حساب او شارژ می‌شود. نمایی از این درگاه در شکل زیر نشان داده شده است:

 

 

۲-۳-۴- درگاه پرداخت مبتنی بر رمزارز  IranGate (Crypto)

درگاه پرداخت جعلی IranGate که در قسمت پرداخت از طریق مهندسی معکوس برنامه‌های کارت به کارت نیز مورد بررسی قرار گرفت، درگاهی برای رمزارزهای مختلف طراحی کرده است. در این روش پس از انتخاب رمزارز مورد نظر، آدرس والت به کاربر نمایش داده می‌شود، و کاربر در مدت زمان مشخص باید این پرداخت را انجام داده و کد TXID تراکنش را در سایت واردکند. پس از تایید این تراکنش، شارژ انجام می‌شود.

در زیر می‌توانید تصویری از درگاه پرداخت مبتنی بر رمزارز  IranGate (Crypto)(بالا) و نسخه‌ای دیگر از درگاه (پایین) را ببینید:

 

 

۲-۳-۵- پرداخت از طریق رمزارز با اتصال به Wallet رمزارز

یکی از روش‌های شارژ حساب در سایت های شرط بندی، استفاده از کیف پول رمز ارز کاربر است که سایت شرط‌بندی مورد نظر مستقیما به آن متصل شده و واریزها از همان طریق صورت می‌گیرد. این روش در اکثریت سایت‌های دارای اسکریپت BetConstruct مورد استفاده قرار می‌گیرد. نمایی از آن در شکل زیر نمایش داده شده است:

 

 

۲-۳-۶- درگاه پرداخت مبتنی بر رمزارز  FulgurPay

یکی از روش‌های شارژ حساب‌ با رمزارزها در سایت های شرط بندی استفاده از درگاه FulgurPay است. در این درگاه پس از تعیین رمزارز مورد نظر و مقدار مبلغ واریزی، آدرس والت مقصد به کاربر جهت واریز نمایش داده می‌شود و پس از انجام تراکنش توسط کاربر، حساب او شارژ می‌شود. این روش در برخی از سایت‌های دارای اسکریپت BetConstruct استفاده می‌شود. نمایی از این درگاه در شکل زیر نشان داده شده است:

 

 

۲-۳-۷- درگاه پرداخت مبتنی بر رمزارز  BankApi

یکی از روش‌های شارژ حساب‌ با رمزارزها در سایت های شرط بندی استفاده از درگاه BankApi است که در مهندسی معکوس برنامه‌های کارت به کارت نیز مورد بررسی قرار گرفت. در این درگاه پس از تعیین رمزارز مورد نظر آدرس والت مقصد به کاربر جهت واریز نمایش داده می‌شود و پس از انجام تراکنش توسط کاربر، حساب او شارژ می‌شود. نمایی از این درگاه در شکل زیر نشان داده شده است:

 

 

۲-۴- پرداخت از طریق کارت‌های اعتباری و درگاه‌های بین‌المللی

یکی دیگر از روش‌های پرداخت در سایت های شرط بندی ایرانی که کمتر مورد استفاده قرار می‌گیرد، پرداخت از طریق کارت‌های اعتباری بین‌المللی همانند Visa Card یا Mastercard است. با توجه به تحریم‌های بین‌المللی و همچنین نیاز به احراز هویت صاحب کارت‌های اعتباری استفاده از آن‌ها در سایت‌های شرط‌بندی غیرقانونی ایرانی بسیار کم است.

همچنین درگاه PayPal نیز در تعداد محدودی سایت شرط‌بندی مورد استفاده قرار می‌گیرد. در این روش کاربران مقدار پول مد نظر خود را تعیین کرده و درخواست آن‌ها جهت بررسی ثبت می‌شود. نمایی از پرداخت از این طریق در شکل زیر نشان داده شده است:

 

 

جمع‌بندی

در این گزارش سعی کرده‌ایم تا حد ممکن تحلیل کامل و دقیقی روی سایت‌های قمار و شرط‌بندی و روش‌های پرداخت مورد استفاده در آن‌ها داشته باشیم. همچنین به ارائه راهکارهایی جهت جلوگیری از عملکرد سایت‌های شرط‌بندی مخصوصا روش‌های پرداخت آن‌ها و در نتیجه کاهش استفاده از این سایت‌ها پرداختیم.

در حوزه مبارزه با سایت های شرط بندی کارهای زیادی توسط پلیس فتا، بانک مرکزی، شاپرک، معاونت پیگیری امور ویژه فضای مجازی دادگستری، دادستانی کل کشور، مرکز ماهر و... انجام شده است.  با این حال، مطابق بررسی‌های ما، سایت های شرط بندی همچنان با قدرت به کار خود ادامه می‌دهند. بنابراین، لزوم افزایش مبارزه با این وبسایت‌ها، مخصوصا جهت مسدودسازی راه‌های کسب درآمد و کلاهبرداری آن‌ها از کاربران ایرانی، بیش از پیش احساس می‌شود.