ستان كامينسكي

أصبحت خدمات الدفع، خلال السنوات الأخيرة، أكثر ملاءمة وأمانًا، لكن مجرمي الإنترنت لا يزالون قادرين على سرقة الأموال من البطاقات في جميع أنحاء العالم. لذا، يثار التساؤل عن أكثر الطرق المستخدمة شيوعًا في مثل هذه السرقة، وكيف يمكنك مواجهتها.

استنساخ البطاقة

عندما كانت البطاقات تخزن المعلومات فقط على شريط مغناطيسي، كان من السهل جدًا على المحتالين إنتاج نسخة طبق الأصل من البطاقة واستخدامها للمدفوعات في المتاجر وعمليات السحب في أجهزة الصرف الآلي. وفي البداية، كانت قراءة البيانات تتم باستخدام جهاز خاص يتم تركيبه على ماكينة صرف آلي أو محطة فرعية في متجر. ثم يتم استكمال ذلك بكاميرا أو لوحة خاصة على لوحة المفاتيح الطرفية لمعرفة رمز الـ”بين” PIN الخاص بالبطاقة، وبعد الحصول على تفريغ البطاقة ورقم التعريف الشخصي، يقوم المحتالون بكتابة البيانات على بطاقة فارغة واستخدامها في ماكينة صرف آلي أو في متجر.

وفي حين لا تزال هذه التقنية تعمل في بعض أنحاء العالم، إلا أن ظهور البطاقات الذكية قلل من فعاليتها بشكل كبير. ثم إنه ليس من السهل نسخ بطاقة بها شريحة. ولهذا السبب بدأ المجرمون في استهداف محطات الدفع بشفرات ضارة تنسخ بعض البيانات من البطاقة أثناء معالجة عملية شراء مشروعة. وبعد ذلك، يقوم المحتالون بإرسال طلبات دفع تم إنشاؤها بذكاء عن طريق هذه المعلومات. غير أنهم في الحقيقة يرسلون فقط البيانات التي تم تسجيلها مسبقًا على الشريط المغناطيسي، لكنهم يقومون بتعيين المعاملة باعتبار أنها تم إجراؤها بواسطة الشريحة. ويكون ذلك ممكنًا عندما لا تقوم البنوك بالإحالة المرجعية إلى معاملات المعاملات المختلفة بتفاصيل كافية ويتم تنفيذها بالشكل الذي يجب أن يلتزم به جميع إجراءات بطاقة الشريحة.

أمَّا مع البنوك التي لا تعاني من مثل هذا التراخي، فإن المهاجمين يتبعون حيلة أكثر تعقيدًا. فعندما يقوم الضحية بدفع مبلغ ما، تطلب ماكينة الدفع أن تقوم البطاقة المدرجة بإحداث معاملة احتيالية أخرى. وبالتالي، لا يتم نسخ البطاقة نفسها، لكن يتم حسم أموال إضافية منها على أي حال.

كيف تحمي نفسك؟ يمكنك أن تحاول استخدام وظيفة الدفع بدون أي تلامس على هاتفك، لأنه محمي بشكل أفضل. فإذا كنت لا تزال بحاجة لإدخال بطاقة في الجهاز، فعليك أن تتحقق بعناية من لوحة رمز الـPIN بحثًا عن أية تعديلات مشبوهة قد حدثت. ويتعين عليك أن تغطي اللوحة بيدك أو محفظتك أو أي شيء آخر عند إدخال الرمز. فإذا لم يقبل الجهاز الدفع بدون تلامس، أو إذا ظهرت رسائل غير عادية على الشاشة، أو استلزم الأمر إدخال رقم التعريف الشخصي بشكل متكرر، فإن ذلك يدعو للشك واتخاذ إجراءات وقائية إضافية. لذا، يمكنك التحقق فورًا من كشف حسابك، أو تعيين حدٍ منخفض لإنفاق الأموال على البطاقة.

سرقة بيانات البطاقة عبر الإنترنت

في هذه الحالة يقوم المحتالون بملاحقة تفاصيل البطاقة المصرفية حتى يتمكنوا من إجراء المدفوعات عبر الإنترنت. وعادة ما تتضمن رقم البطاقة وتاريخ انتهاء الصلاحية ورمز التحقق (CVV /CVC). ويمكن البحث عن اسم حامل البطاقة، أو الرمز البريدي، أو رقم جواز السفر. فهناك ثلاث طرق فعالة على الأقل يجمع المحتالون هذه البيانات، وهي:

1. استدراج الضحية عن طريق تنظيم متجر إلكتروني وهمي، أو استخدام نسخة تصيد احتيالية من متجر حقيقي على الإنترنت، أو تحت ستار جمع الأموال للأعمال الخيرية.
2. اعتراضالمعلوماتعنطريقاستهدافصفحةالويبالخاصةبالمتجرالفعليعبرالإنترنت،أوجهازالكمبيوتر،أوالهاتفالذكيللضحية.
3. القرصنة على متجر حقيقي عبر الإنترنت وسرقة معلومات بطاقة الدفع الخاصة بالعميل المخزنة. وهنا يلاحظ أنه ليس من المفترض أن تحتفظ المتاجر بمعلومات البطاقة كاملة، ولكن للأسف يتم انتهاك هذه القاعدة في بعض الأحيان.

وبشكل عام، فإن طريقة السرقة هذه، رغم كونها قديمة فإنها موجودة. فعلى سبيل المثال، ووفقًا لتحليلنا، فقد تضاعفت هجمات سرقة البيانات المصرفية تقريبًا في عام 2022.

كيف تحمي نفسك؟ عليك أولاً أن تحصل على بطاقة افتراضية للمدفوعات عبر الإنترنت. فإذا لم يكن الأمر صعبًا أو مكلفًا، يتعين عليك إصدار بطاقة افتراضية جديدة وحظر البطاقة القديمة مرة واحدة على الأقل في السنة. وثانيًا، يمكنك وضع حدٍ منخفضٍ لبطاقة الدفع عبر الإنترنت، أو الاحتفاظ بمبلغ صغير جدًا من المال عليها. وثالثًا، عليك أن تتيقن من أن البنك يطلب منك دائمًا تأكيد المدفوعات عبر الإنترنت برمز لمرة واحدة، أو آليات مماثلة. ورابعًا، تحقق بعناية من نماذج الدفع وعناوين المواقع التي تُدخل فيها المعلومات المالية. ولتقليل القلق بشأن هذه المشكلة، يمكنك استخدام أدوات الأمن السيبراني التي تحمي المدفوعات عبر الإنترنت بأمان.

البطاقة القديمة وسرقة الهاتف

بالطبع يعد ذلك أكثر طرق السرقة وضوحًا وشهرة، لكنها لا تزال شائعة. إذ يمكن للمجرمين الأذكياء استخدام البطاقات للمدفوعات عبر الإنترنت من خلال إيجاد متجر على الإنترنت لا يتطلب إدخال رموز تحقق إضافية. ثم إن هناك طريقة أبسط، لكنها ليست أقل فاعلية، وهي استخدام بطاقة مسروقة للدفع بدون تلامس ولا يتطلب إدخال رقم تعريف شخصي. وعادة ما يكون هناك حد للمدفوعات التي تتم بهذه الطريقة. وفي بعض البلدان تجد أنه بعد ثلاث إلى خمس مدفوعات من هذا القبيل، يتم حظر البطاقة. ولكن في المملكة المتحدة على سبيل المثال، يمكن أن تصل خسائر الضحية من هذه الطريقة البدائية للسرقة بسهولة إلى خمسمئة جنيه إسترليني “(5 × 5) 100 جنيه إسترليني”. إن الهاتف دائمًا ما يكون مفيدًا بالنسبة للصوص، فإذا تم تمكين “جوجل بلاي” Google Pay منه، فمن الممكن الدفع حتى من هاتف محظور ضمن حد الدفع المسموح به، وهو ما يتسبب في خسارة إضافية للضحية.

لقد أظهر باحثو الأمن أنه حتى إذا تم حظر البطاقة بعد إدخال رقم التعريف الشخصي الخطأ ثلاث مرات، فإنه لا يزال من الممكن في بعض الأحيان إجراء مدفوعات. ويمكن للمحتالين تبادل بعض البيانات مع هاتف محظور ثم استخدام السجلات المعدلة لهذا التبادل لإجراء مدفوعات احتيالية لمرة واحدة. ولحسن الحظ، فقد تم اكتشاف كلا النوعين من الهجمات من قبل الباحثين الأخلاقيين، لذلك هناك أمل في ألا يستخدم المحتالون هذه الأساليب حتى الآن.

كيف تحمي نفسك: من الأفضل وضع حدود إنفاق صغيرة نسبيًا على البطاقات للاستخدام اليومي. فإذا سمح البنك الذي تتعامل معه بذلك، يمكنك تعيين حدٍ منخفض لعمليات الدفع بشكل منفصل. وبالطبع، يجب أن تتحقق من أنه يمكنك زيادة الحد بسرعة إذا دعت الحاجة. وبدلاً من ذلك، يمكنك الحصول على بطاقة افتراضية تم إصدارها بحدود منخفضة وربط “جوجل” Google و”آبل” Apple و”سامسونج بلاي” Samsung Pay بها. أمَّا إذا كان بالإمكان إعداد تطبيق الدفع للسماح فقط بالمدفوعات من هاتف غير مؤمن، فافعل ذلك.

وفي المحصلة، نلاحظ أن ثمة قواعد تبدو آخذة في الظهور في العديد من البلدان ويتم تعويض الضحايا جزئيًا أو كليًا عن الاحتيال. وللاستفادة من ذلك، ينبغي للمرء توخي الحذر بشأن أي مدفوعات بالبطاقة، وإعداد أسرع طريقة لإعلامه بها (دفع أو رسالة نصية قصيرة)، والاتصال بالمصرف الذي يتعامل معه في أقرب وقت ممكن إذا تم رصد أية معاملات مشبوهة.

إعداد: وحدة الترجمات بمركز سمت للدراسات

المصدر: Kaspersky