این ایمیلهای نامطمئن
دکتر اویس رضوانیان
عضو دیوان داوری اتاق بازرگانی ایران
در فضای تجارت بینالملل، نکات ساده، اما بسیار خطیری وجود دارد که بیتوجهی به آنها ممکن است مشکلات بزرگی را به همراه بیاورد. برخی از این نکات را در هیچ کتاب و جزوهای نمیتوان یافت و تا صابون آن به تن خود آدم نخورد، حواسی را جمع نخواهد کرد. در این چند ماه اخیر، درگیر وکالت پروندهای در مرکز داوری اتاق سوئیس هستم که در آن، یکی از همین اشتباههای ساده طرفین را دچار مشکلات جدیای کرده است. به اشتراک گذاشتن این اشتباه و درس گرفتن از آن، به گمانم برای تمام کسانی که درگیر کسب و کار و تجارت در فضای بینالمللی هستند، میتواند مفید باشد.
دکتر اویس رضوانیان
عضو دیوان داوری اتاق بازرگانی ایران
در فضای تجارت بینالملل، نکات ساده، اما بسیار خطیری وجود دارد که بیتوجهی به آنها ممکن است مشکلات بزرگی را به همراه بیاورد. برخی از این نکات را در هیچ کتاب و جزوهای نمیتوان یافت و تا صابون آن به تن خود آدم نخورد، حواسی را جمع نخواهد کرد. در این چند ماه اخیر، درگیر وکالت پروندهای در مرکز داوری اتاق سوئیس هستم که در آن، یکی از همین اشتباههای ساده طرفین را دچار مشکلات جدیای کرده است. به اشتراک گذاشتن این اشتباه و درس گرفتن از آن، به گمانم برای تمام کسانی که درگیر کسب و کار و تجارت در فضای بینالمللی هستند، میتواند مفید باشد.
داستان بهطور ساده از این قرار است که شرکت ایرانی (خریدار) و شرکت ایتالیایی (فروشنده) از دیرباز مراودات تجاریای با یکدیگر داشتند و اعتماد نسبیای میانشان حاکم بوده است. در یکی از همین خرید و فروشها، بخشی از موضوع معامله با توافق طرفین منتفی میشود و شرکت ایرانی که تمام وجه کالا را پیشتر پرداخته بود، باید بخشی از مبلغ پرداختی را از شرکت ایتالیایی بازپس گیرد. شرکت ایتالیایی برای بازپرداخت اعلام آمادگی میکند، اما شرکت ایرانی که درگیر مراودات تجاری بینالمللی بود و هست، برای پرهیز از ورود مجدد به مشکلات انتقال وجه به خارج، از شرکت ایتالیایی درخواست میکند که مبلغ را به امانت نزد خود نگه داشته و به حسابی که متعاقبا اعلام میشود، منتقل کند. شرکت ایتالیایی نیز مشکلی با این موضوع نداشت و وجه بهطور امانت نزد این شرکت باقی ماند. در تاریخ ۲۳ دسامبر 2015، شرکت ایرانی طی ایمیلی به شرکت ایتالیایی شماره حسابی را در بانکی در هنگکنگ معرفی و درخواست کرد که وجه به این حساب منتقل شود. دقایقی بعد از ارسال این ایمیل، رخنهگر (هکر) اینترنتی که احتمالا از مدتها پیش در حال رصد مکاتبات ایمیلی این شرکتها بود، ایمیلی به شرکت ایتالیایی ارسال میکند و ضمن پوزش، درخواست میکند شماره حساب اصلاح شده و پول به حساب دیگری -این بار در هند- منتقل شود. آدرس ایمیلی که از سوی رخنهگر ارسال شد، دقیقا همان آدرس ایمیل شرکت ایرانی بوده و جایی برای تردید شرکت ایتالیایی باقی نمیگذاشت. شرکت ایتالیایی وجه را به حساب جدید منتقل کرد و در پاسخی به شرکت ایرانی اعلام کرد که پرداخت به حساب هند انجام گرفته است. اما تنظیمات ایمیل جعلی به گونهای بود که پاسخ شرکت ایتالیایی هرگز به طرف ایرانی واصل نشد. سه روز بعد، یعنی در تاریخ ۲۶ دسامبر، شرکت ایرانی که مطلع شد وجه هنوز به حساب هنگکنگ منتقل نشده است، پیگیر موضوع از شرکت ایتالیایی شد. اما شرکت ایتالیایی به دلیل تعطیلات کریسمس تعطیل بود و هیچ یک از کارکنان آن در محل حضور نداشتند. ایمیلهایی هم که برای شرکت ارسال میشد، پاسخ خودکاری دریافت میکرد که شرکت تا تاریخ ۴ ژانویه در تعطیلات به سر میبرد و پس از آن پاسخگو خواهد بود. روز ۴ ژانویه، شرکت ایتالیایی که از تعطیلات به محل کار بازگشت، با سیلی از ایمیلهای شرکت ایرانی مواجه شد که پیگیر وضعیت پول بود. شرکت ایتالیایی بلافاصله موضوع را از بانک پیگیری کرد و تایید بانک را برای شرکت ایرانی ارسال کرد که حکایت از انتقال پول در همان تاریخ ۲۳ دسامبر به حسابی در هند میکرد. وقتی شرکت ایرانی صحت این حساب را انکار کرد، شرکت ایتالیایی تصویری از ایمیل شرکت ایرانی را فرستاد که در آن شرکت ایرانی، با پوزش، شماره حساب را اصلاح و به هند تغییر داده بود. آدرس ایمیل فرستنده و گیرنده، همگی درست بود. شرکت ایرانی اعلام کرد که هرگز چنین ایمیلی را ارسال نکرده است و اینکه این یک تقلب اینترنتی است و شرکت ایتالیایی باید وجه را به حساب اولیه منتقل میکرد. شرکت ایتالیایی نیز اعلام کرد که دقیقا برابر دستورالعمل شرکت ایرانی عمل کرده و هیچ مسوولیتی متوجه وی نیست و هیچ راهی هم وجود نداشت که متوجه شود ایمیل جعلی است. پیگیریهای شرکت ایتالیایی از بانک نیز به نتیجهای نرسید و بانک اعلام کرد که نهایتا تا روز بعد از دستور پرداخت امکان توقف عملیات را داشته و اکنون با گذشت دو هفته، چنین امکانی وجود ندارد. مذاکرات متعدد طرفین نیز برای حل مشکل به نتیجهای نرسید و نهایتا به درخواست شرکت ایرانی، دعوایی در مرکز داوری اتاق سوئیس به جریان افتاد.از هر طرف که به این ماجرا بنگریم، میتوانیم حق را به یکی از طرفین بدهیم. از یک سو شرکت ایرانی درست میگوید که هرگز چنین ایمیلی را ارسال نکرده است و از سوی دیگر، شرکت ایتالیایی حق میگوید که برابر ایمیل دریافتی عمل کرده است. قضاوت درخصوص این پرونده نیاز به بررسیهای فنی و کارشناسی دارد تا مشخص شود قصور و ضعف امنیتی از سوی کدام یک از طرفین بوده و کدامیک باید مسوولیت این اشتباه را پذیرا شود. اما نگارنده شخصا، تا پیش از این پرونده، هرگز نمیدانست که برخی وبسایتهای -عموما- غیر معتبر این امکان را برای کاربران خود فراهم میآورند تا ایمیلی را با شکل و شمایل جعلی و دقیقا با آدرس ایمیل مشابه اصلی ارسال کنند.
به این معنا که ممکن است هیچ چیزی در ظاهر ایمیل شک و شبههای را برنیانگیزد و همه چیز، حتی نشانی ایمیل دقیقا درست باشد، اما ایمیل از سوی یک رخنهگر یا هکر طراحی و ارسال شده باشد. در جریان همین پرونده متوجه شدم که راهکار فنی حل این مشکل، افزایش ایمنی ایمیلها از طریق افزونهای به نام SPF است که اجازه نمیدهد ایمیلی خارج از IP مجاز از پیش تعریف شده ارسال و دریافت شود. اما ابعاد فنی ماجرا موضوع این یادداشت نیست.
آنچه از منظر نگارنده میتواند در این پرونده درسآموز باشد و تمام کسانی هم که درگیر فضای تجاری بینالمللی -و حتی داخلی- هستند باید بیاموزند، این است که در موضوعات مهم، نظیر انتقال وجه و اطلاعات راجع به حساب یا اتخاذ تصمیمات کلیدی، ایمیل را به تنهایی مبنای کار خود قرار ندهند، بلکه حتما صحت اطلاعات مبادله شده را از طرق دیگری نیز احراز کنند. این طرق دیگر میتواند تماس تلفنی یا تماس با هر ابزار دیگری مانند تلگرام باشد. مهم این است که اطلاعات در دو یا چند مسیر مختلف بازگو شده و همخوانی آن با یکدیگر بررسی شود. برای مثال، در همین پرونده، اگر قرار طرفین این میبود که پیش از هر انتقال وجهی، در یک تماس ساده تلفنی، جزئیات انتقال بررسی و تایید شود، امروز کار به جایی نمیکشید که هر دو طرف خود را در معرض آسیب جدی مالی بیابند و ناگزیر به صرف هزینههای قابل توجهی برای اثبات حق خود شوند.
ارسال نظر