سرايا - خسر مواطن مصري مؤخراً الاف الجنيهات بسبب رغبته في الحصول على ساعة ذكية مجانية عبر عرض احتيالي على الإنترنت.
وتبين أن الأموال لم تسرق باختراق الحساب، وإنما بسبب مشاركة صاحبها بنفسه رمز التحقق لمرة واحدة (OTP)، من أجل كسب ساعة ذكية، كما تبين أن البنك يتبع أعلى معايير الأمان والتأمين، لكن السرقة حدثت بسبب مشاركة العميل بيانات حسابه بنفسه
وأضاف أن هذا النوع من عمليات الاحتيال يعتمد على خداع الضحية وإقناعه بالإفصاح عن رمز التحقق، وهو ما يمنح المحتالين إمكانية تنفيذ المعاملات دون اختراق الأنظمة البنكية، مجدداً التحذير من مشاركة أي رمز سري أو بيانات مصرفية مع أي جهة مهما كانت المبررات.
فكيف تحدث هذه الكارثة الرقمية؟ وما مدى خطورتها؟ وكيف تحمي أموالك؟
السطور التالية تكشف التفاصيل..
وفي أحدث تجليات هذا التحول النوعي، كشفت شركة الأمن السيبراني العالمية عن حملة تصيد إلكتروني واسعة النطاق ومنظمة استهدفت المؤسسات المالية وعملائها في منطقة الشرق الأوسط، شمال أفريقيا، ودول الخليج العربي، مستخدمة إعلانات جاذبة لساعة ذكية مجانية كطُعم لعملية احتيال رقمي شديدة التعقيد.
وفي تصريحات خاصة، يوضح الدكتور محمد عسكر، استشاري نظم المعلومات والذكاء الاصطناعي، الأبعاد التقنية لهذه الحملة قائلاً إن "حملات التصيد ليست بالحدث الجديد، إلا أن التميز في هذه الحملة لا يكمن في وسيلة الاستدراج، بل في مستوى الاحتراف التقني المبهر. فبدلاً من الصفحات البدائية الركيكة لغوياً، وجد الضحايا أنفسهم أمام مواقع إلكترونية تطابق المواقع الرسمية للبنوك بتفاصيلها كافة من ألوان، وخطوط، وشعارات، وحتى هندسة الصفحات الداخلية، مما يجعل تمييزها مستحيلاً على المستخدم العادي وحتى الخبير".
الأنظمة الحديثة لمكافحة الاحتيال باتت ترتكز على تحليل عشرات المؤشرات المتزامنة؛ مثل نمط استخدام العميل المعتاد، وموقعه الجغرافي، ونوع الجهاز، وسجل العمليات
الدكتور محمد فتحي الشريف، رئيس مركز العرب للأبحاث والدراسات العربية.نت والحدث.نت ويشرح الدكتور عسكر سيناريو الهجوم بالتفصيل مشيراً إلى أن "العملية تبدأ بإعلان ممول فائق الجودة على منصات التواصل الاجتماعي، يعد المستخدم بجائزة ترويجية أو ساعة ذكية بالتعاون مع بنكه وبمجرد الضغط على الإعلان، يتم نقل الضحية إما إلى محادثة تفاعلية عبر تطبيق واتساب أو إلى صفحة وسيطة تقوده سريعاً إلى موقع البنك المزيف".
وتابع أنه "في هذه المرحلة يطلب الموقع من العميل إدخال بيانات تسجيل الدخول لحسابه البنكي، وهنا يكمن الفارق الجوهري؛ فالموقع لا يخزن البيانات فحسب، بل يتصل فوراً بالأنظمة الحقيقية للبنك عبر تقنية تُعرف أمنياً باسم التحقق الفوري من بيانات الاعتماد في الزمن الحقيقي".
وقال إنه إذا أدخل الضحية بيانات خاطئة، يطلب منه الموقع المزيف إعادة إدخالها تماماً كالموقع الأصلي، أما إذا كانت صحيحة، فينتقل الهجوم إلى مرحلته الأخطر في الوقت الفعلي دون أن يشعر المستخدم بأي ريبة.
وأشار إلى أن "الحبكة الإجرامية تزداد إقناعاً عندما ينجح النظام الاحتيالي في سحب معلومات العميل الحقيقية من بنكه وعرضها أمامه، مثل اسمه الأول أو رسالة ترحيبية مخصصة له، مما يبدد أي شكوك لديه"، موضحاً أن المعركة تصل ذروتها عند مرحلة طلب رمز التحقق لمرة واحدة أو رمز تطبيق التوثيق البنكي ففي تلك الثواني المعدودة، يكون المخترق قد بدأ بالفعل عملية الولوج للحساب الحقيقي من جهازه، وينتظر من الضحية تزويده بالمفتاح الأخير ليتسلل ويتم العملية قبل انتهاء صلاحية الرمز.
ويضيف عسكر أن "هذا الأسلوب يسمى بالتصيد اللحظي، لأنه يقوم على التفاعل الحي والمباشر مع الضحية، واللافت هنا هو الاعتماد الكلي للمهاجمين على أدوات الذكاء الاصطناعي لتوليد محتوى الحملة وتصميم الصور والنصوص الدعائية، مما خفّض كلفة إنتاج حملات احتيالية مخصصة وعالية الجودة، وأتاح للعصابات تطوير عملياتها بسرعة فائقة تفوق قدرة الدفاعات التقليدية على رصد المظاهر المزيفة".
ويقدم الدكتور محمد عسكر دليلاً استرشادياً صارماً للعملاء لتجنب الوقوع في هذه الشباك، حيث ينصح فيه بتجنب الإعلانات المغرية وعدم الضغط مطلقاً على إعلانات الجوائز أو الهدايا المرتبطة بالبنوك على وسائل التواصل، واستخدام القنوات الرسمية بالدخول إلى الحساب البنكي فقط عبر التطبيق الرسمي المعتمد أو بكتابة رابط الموقع يدوياً في المتصفح.
من جانبه، يرى الدكتور محمد فتحي الشريف، رئيس مركز العرب للأبحاث والدراسات، أن هذه التطورات المتسارعة تفرض تساؤلات ملحة حول مدى جاهزية المنظومات المصرفية لمواجهة جيل جديد من الهجمات يستهدف ثقة العميل لا البنية التحتية.
العملية تبدأ بإعلان ممول فائق الجودة على منصات التواصل الاجتماعي، يعد المستخدم بجائزة ترويجية أو ساعة ذكية بالتعاون مع بنكه وبمجرد الضغط على الإعلان، يتم نقل الضحية إما إلى محادثة تفاعلية عبر تطبيق واتساب أو إلى صفحة وسيطة تقوده سريعاً إلى موقع البنك المزيف
الدكتور محمد عسكر، استشاري نظم المعلومات والذكاء الاصطناعي العربية.نت والحدث.نت ويؤكد الشريف في تصريحات خاصة أن الاعتماد التقليدي على اسم المستخدم وكلمة المرور، حتى مع وجود رمز التحقق المؤقت، لم يعد خط دفاع كافياً ضد الاحتيال في الزمن الحقيقي. ولذلك، تتجه المؤسسات المالية العالمية اليوم لتبني آليات أكثر تعقيداً مثل مفاتيح المرور، وربط المصادقة بطبيعة وطاقة المعاملة نفسها، فضلاً عن تفعيل تقنيات تحليل السلوك الرقمي وبصمة الأجهزة.
ويوضح الشريف أن "الأنظمة الحديثة لمكافحة الاحتيال باتت ترتكز على تحليل عشرات المؤشرات المتزامنة؛ مثل نمط استخدام العميل المعتاد، وموقعه الجغرافي، ونوع الجهاز، وسجل العمليات"، قائلاً إنه إذا رصد النظام محاولة دخول من جهاز غريب وغير معتاد يتبعها طلب تحويل مالي فوري، يتدخل النظام لتعليق المعاملة مؤقتاً للتحقق، حتى وإن كانت بيانات الدخول المدخلة صحيحة تماماً.
ويشير الدكتور محمد الشريف إلى أن الأمن السيبراني الحديث يتطلب الدفاع متعدد الطبقات، حيث تتكامل التكنولوجيا المتطورة مع الوعي البشري، فلا يمكن إعفاء البنوك من المسؤولية، ولا يصح في الوقت ذاته تحميل العميل وحده تبعات هذه الاختراقات.
وقال إن ما تكشفه حملة الساعة الذكية يتجاوز مجرد سرقة بيانات، إنه يمثل تحولاً فلسفياً في الجريمة الرقمية، حيث لم يعد اللص يحاول كسر أبواب البنك المقفلة، بل بات يقنع العميل بلطف وذكاء، مستعيناً بالذكاء الاصطناعي والهندسة الاجتماعية، بأن يفتح له الباب بنفسه لسرقته.
وتبين أن الأموال لم تسرق باختراق الحساب، وإنما بسبب مشاركة صاحبها بنفسه رمز التحقق لمرة واحدة (OTP)، من أجل كسب ساعة ذكية، كما تبين أن البنك يتبع أعلى معايير الأمان والتأمين، لكن السرقة حدثت بسبب مشاركة العميل بيانات حسابه بنفسه
وأضاف أن هذا النوع من عمليات الاحتيال يعتمد على خداع الضحية وإقناعه بالإفصاح عن رمز التحقق، وهو ما يمنح المحتالين إمكانية تنفيذ المعاملات دون اختراق الأنظمة البنكية، مجدداً التحذير من مشاركة أي رمز سري أو بيانات مصرفية مع أي جهة مهما كانت المبررات.
فكيف تحدث هذه الكارثة الرقمية؟ وما مدى خطورتها؟ وكيف تحمي أموالك؟
السطور التالية تكشف التفاصيل..
وفي أحدث تجليات هذا التحول النوعي، كشفت شركة الأمن السيبراني العالمية عن حملة تصيد إلكتروني واسعة النطاق ومنظمة استهدفت المؤسسات المالية وعملائها في منطقة الشرق الأوسط، شمال أفريقيا، ودول الخليج العربي، مستخدمة إعلانات جاذبة لساعة ذكية مجانية كطُعم لعملية احتيال رقمي شديدة التعقيد.
وفي تصريحات خاصة، يوضح الدكتور محمد عسكر، استشاري نظم المعلومات والذكاء الاصطناعي، الأبعاد التقنية لهذه الحملة قائلاً إن "حملات التصيد ليست بالحدث الجديد، إلا أن التميز في هذه الحملة لا يكمن في وسيلة الاستدراج، بل في مستوى الاحتراف التقني المبهر. فبدلاً من الصفحات البدائية الركيكة لغوياً، وجد الضحايا أنفسهم أمام مواقع إلكترونية تطابق المواقع الرسمية للبنوك بتفاصيلها كافة من ألوان، وخطوط، وشعارات، وحتى هندسة الصفحات الداخلية، مما يجعل تمييزها مستحيلاً على المستخدم العادي وحتى الخبير".
الأنظمة الحديثة لمكافحة الاحتيال باتت ترتكز على تحليل عشرات المؤشرات المتزامنة؛ مثل نمط استخدام العميل المعتاد، وموقعه الجغرافي، ونوع الجهاز، وسجل العمليات
الدكتور محمد فتحي الشريف، رئيس مركز العرب للأبحاث والدراسات العربية.نت والحدث.نت ويشرح الدكتور عسكر سيناريو الهجوم بالتفصيل مشيراً إلى أن "العملية تبدأ بإعلان ممول فائق الجودة على منصات التواصل الاجتماعي، يعد المستخدم بجائزة ترويجية أو ساعة ذكية بالتعاون مع بنكه وبمجرد الضغط على الإعلان، يتم نقل الضحية إما إلى محادثة تفاعلية عبر تطبيق واتساب أو إلى صفحة وسيطة تقوده سريعاً إلى موقع البنك المزيف".
وتابع أنه "في هذه المرحلة يطلب الموقع من العميل إدخال بيانات تسجيل الدخول لحسابه البنكي، وهنا يكمن الفارق الجوهري؛ فالموقع لا يخزن البيانات فحسب، بل يتصل فوراً بالأنظمة الحقيقية للبنك عبر تقنية تُعرف أمنياً باسم التحقق الفوري من بيانات الاعتماد في الزمن الحقيقي".
وقال إنه إذا أدخل الضحية بيانات خاطئة، يطلب منه الموقع المزيف إعادة إدخالها تماماً كالموقع الأصلي، أما إذا كانت صحيحة، فينتقل الهجوم إلى مرحلته الأخطر في الوقت الفعلي دون أن يشعر المستخدم بأي ريبة.
وأشار إلى أن "الحبكة الإجرامية تزداد إقناعاً عندما ينجح النظام الاحتيالي في سحب معلومات العميل الحقيقية من بنكه وعرضها أمامه، مثل اسمه الأول أو رسالة ترحيبية مخصصة له، مما يبدد أي شكوك لديه"، موضحاً أن المعركة تصل ذروتها عند مرحلة طلب رمز التحقق لمرة واحدة أو رمز تطبيق التوثيق البنكي ففي تلك الثواني المعدودة، يكون المخترق قد بدأ بالفعل عملية الولوج للحساب الحقيقي من جهازه، وينتظر من الضحية تزويده بالمفتاح الأخير ليتسلل ويتم العملية قبل انتهاء صلاحية الرمز.
ويضيف عسكر أن "هذا الأسلوب يسمى بالتصيد اللحظي، لأنه يقوم على التفاعل الحي والمباشر مع الضحية، واللافت هنا هو الاعتماد الكلي للمهاجمين على أدوات الذكاء الاصطناعي لتوليد محتوى الحملة وتصميم الصور والنصوص الدعائية، مما خفّض كلفة إنتاج حملات احتيالية مخصصة وعالية الجودة، وأتاح للعصابات تطوير عملياتها بسرعة فائقة تفوق قدرة الدفاعات التقليدية على رصد المظاهر المزيفة".
ويقدم الدكتور محمد عسكر دليلاً استرشادياً صارماً للعملاء لتجنب الوقوع في هذه الشباك، حيث ينصح فيه بتجنب الإعلانات المغرية وعدم الضغط مطلقاً على إعلانات الجوائز أو الهدايا المرتبطة بالبنوك على وسائل التواصل، واستخدام القنوات الرسمية بالدخول إلى الحساب البنكي فقط عبر التطبيق الرسمي المعتمد أو بكتابة رابط الموقع يدوياً في المتصفح.
من جانبه، يرى الدكتور محمد فتحي الشريف، رئيس مركز العرب للأبحاث والدراسات، أن هذه التطورات المتسارعة تفرض تساؤلات ملحة حول مدى جاهزية المنظومات المصرفية لمواجهة جيل جديد من الهجمات يستهدف ثقة العميل لا البنية التحتية.
العملية تبدأ بإعلان ممول فائق الجودة على منصات التواصل الاجتماعي، يعد المستخدم بجائزة ترويجية أو ساعة ذكية بالتعاون مع بنكه وبمجرد الضغط على الإعلان، يتم نقل الضحية إما إلى محادثة تفاعلية عبر تطبيق واتساب أو إلى صفحة وسيطة تقوده سريعاً إلى موقع البنك المزيف
الدكتور محمد عسكر، استشاري نظم المعلومات والذكاء الاصطناعي العربية.نت والحدث.نت ويؤكد الشريف في تصريحات خاصة أن الاعتماد التقليدي على اسم المستخدم وكلمة المرور، حتى مع وجود رمز التحقق المؤقت، لم يعد خط دفاع كافياً ضد الاحتيال في الزمن الحقيقي. ولذلك، تتجه المؤسسات المالية العالمية اليوم لتبني آليات أكثر تعقيداً مثل مفاتيح المرور، وربط المصادقة بطبيعة وطاقة المعاملة نفسها، فضلاً عن تفعيل تقنيات تحليل السلوك الرقمي وبصمة الأجهزة.
ويوضح الشريف أن "الأنظمة الحديثة لمكافحة الاحتيال باتت ترتكز على تحليل عشرات المؤشرات المتزامنة؛ مثل نمط استخدام العميل المعتاد، وموقعه الجغرافي، ونوع الجهاز، وسجل العمليات"، قائلاً إنه إذا رصد النظام محاولة دخول من جهاز غريب وغير معتاد يتبعها طلب تحويل مالي فوري، يتدخل النظام لتعليق المعاملة مؤقتاً للتحقق، حتى وإن كانت بيانات الدخول المدخلة صحيحة تماماً.
ويشير الدكتور محمد الشريف إلى أن الأمن السيبراني الحديث يتطلب الدفاع متعدد الطبقات، حيث تتكامل التكنولوجيا المتطورة مع الوعي البشري، فلا يمكن إعفاء البنوك من المسؤولية، ولا يصح في الوقت ذاته تحميل العميل وحده تبعات هذه الاختراقات.
وقال إن ما تكشفه حملة الساعة الذكية يتجاوز مجرد سرقة بيانات، إنه يمثل تحولاً فلسفياً في الجريمة الرقمية، حيث لم يعد اللص يحاول كسر أبواب البنك المقفلة، بل بات يقنع العميل بلطف وذكاء، مستعيناً بالذكاء الاصطناعي والهندسة الاجتماعية، بأن يفتح له الباب بنفسه لسرقته.
شارك المقال:
الرجاء الانتظار ...
التعليقات