NFC
يتحسن أمان بطاقات الدفع باستمرار، لكن المهاجمين لا يكفون عن ابتكار أساليب جديدة لسرقة الأموال. في الماضي، بعد خداع الضحية لحمله على تسليم بيانات البطاقة على متجر إلكتروني مزيف أو من خلال عملية احتيال أخرى، كان مجرمو الإنترنت يصنعون نسخة مادية مكررة للبطاقة عن طريق كتابة البيانات المسروقة على شريط مغناطيسي. وكانت هذه البطاقات تُستخدم بعد ذلك في المتاجر وحتى في أجهزة الصراف الآلي دون أي مشكلة. وجعل ظهور البطاقات ذات الشرائح وكلمات المرور لمرة واحدة (OTP) الحياة أكثر صعوبة بكثير بالنسبة للمحتالين، لكنهم تكيفوا مع الأمر. وزاد التحول إلى المدفوعات عبر الهاتف المحمول باستخدام الهواتف الذكية من القدرة على التصدي لأنواع معينة من الاحتيال – لكنه فتح أيضًا طرقًا جديدة لها. الآن، بعد الحصول على رقم البطاقة بالتصيد الاحتيالي، يسعى المحتالون إلى ربطه بحساباتهم على Apple Pay أو Google Wallet. وبعد ذلك، يستخدمون هذا الحساب من هاتف ذكي للدفع مقابل السلع باستخدام بطاقة الضحية – إما في متجر عادي أو في منفذ بيع وهمي مزود بجهاز دفع يدعم تقنية NFC.
كيفية الحصول على بيانات البطاقات عن طريق التصيد الاحتيالي
تتطلب الهجمات الإلكترونية من هذا النوع تحضيرًا على نطاق صناعي. وينشئ المهاجمون شبكات من مواقع الويب المزيفة المصممة للحصول على بيانات الدفع عن طريق التصيد الاحتيالي. وقد تحاكي خدمات التوصيل والمتاجر الكبيرة عبر الإنترنت، وحتى بوابات دفع فواتير الخدمات أو مخالفات المرور. ويشتري مجرمو الإنترنت أيضًا عشرات الهواتف الذكية، وينشؤون حسابات على Apple أو Google عليها، ويقومون بتثبيت تطبيقات الدفع بدون تلامس.
بعد ذلك يأتي الجزء المثير. عندما يقع الضحية في فخ موقع زائف، يُطلب منه ربط بطاقته أو إجراء دفعة صغيرة إلزامية. ويتطلب هذا إدخال تفاصيل البطاقة وتأكيد ملكية البطاقة عن طريق إدخال كلمة مرور لمرة واحدة (OTP). وفي الواقع، لا يتم خصم أي مبلغ من البطاقة في هذه اللحظة.
ماذا يحدث فعليًا؟ يتم نقل بيانات الضحية على الفور تقريبًا إلى مجرمي الإنترنت، الذين يحاولون ربط البطاقة بمحفظة هاتف محمول على هواتفهم الذكية. ويجب إدخال رمز كلمة المرور لمرة واحدة (OTP) للمصادقة على هذه العملية. ولتسريع العملية وتبسيطها، يستخدم المهاجمون برامج خاصة تأخذ البيانات التي يقدمها الضحية وتنشئ صورة طبق الأصل من البطاقة. وبعد ذلك، يكفي فقط التقاط صورة لهذه الصورة من Apple Pay أو Google Wallet. وتعتمد العملية الدقيقة لربط البطاقة بمحفظة الهاتف المحمول على البلد والبنك المحددين، لكن عادةً، لا يلزم إدخال بيانات أخرى غير الرقم وتاريخ انتهاء الصلاحية واسم صاحب البطاقة ورمز CVV/CVC وكلمة المرور لمرة واحدة. ويمكن الحصول على كل هذه البيانات في جلسة واحدة من التصيد الاحتيالي واستغلالها على الفور.
لجعل الهجمات أكثر فعالية، يستخدم مجرمو الإنترنت حيلاً إضافية. أولاً، حتى لو استدرك الضحية الأمر قبل الضغط على زر الإرسال، فإن أي بيانات سبق إدخالها بالفعل في النماذج لا تزال تُرسل إلى المجرمين – حتى لو كانت بضعة أحرف فقط أو إدخالًا غير مكتمل. ثانيًا، قد يُبلغ الموقع المزيف عن فشل الدفع ويطلب من الضحية تجربة بطاقة أخرى. وبهذه الطريقة، قد يتمكن المجرمون من الحصول على تفاصيل بطاقتين أو ثلاث بطاقات في وقت واحد.
لا يتم خصم الأموال من البطاقات على الفور، وينسى العديد من الأشخاص، الذين لا يرون أي شيء مشبوه في كشوف حساباتهم البنكية، الحادثة تمامًا.
كيف تجري سرقة الأموال من البطاقات
قد يربط مجرمو الإنترنت عشرات البطاقات بهاتف ذكي واحد دون محاولة إنفاق الأموال منها على الفور. ثم يُعاد بيع هذا الهاتف الذكي، الذي يحوي كمية كبيرة من أرقام البطاقات، على الويب المظلم. وفي كثير من الأحيان، تمر أسابيع أو حتى أشهر بين التصيد الاحتيالي والإنفاق. لكن عندما يحين ذلك اليوم غير السار في النهاية، قد يقرر المجرمون الإنفاق ببذخ على سلع فاخرة في متجر فعلي ببساطة عن طريق إجراء عملية دفع بدون تلامس من هاتف مليء بأرقام البطاقات التي تم الحصول عليها عن طريق التصيد الاحتيالي. وبدلاً من ذلك، قد ينشئون متجرًا زائفًا خاصًا بهم على منصة تجارة إلكترونية مشروعة ويتقاضون أموالًا مقابل سلع غير موجودة. وتسمح بعض البلدان أيضًا بسحب الأموال من أجهزة الصراف الآلي باستخدام الهواتف الذكية المزودة بتقنية NFC. وفي جميع الحالات المذكورة أعلاه، لا يلزم تأكيد المعاملة عبر رقم التعريف الشخصي (PIN) أو كلمة المرور لمرة واحدة (OTP)، وبالتالي يمكن سحب الأموال حتى يحظر الضحية البطاقة.
لتسريع نقل محافظ الهاتف المحمول إلى المشترين السريين، وكذلك لتقليل احتمالية انكشاف أمر من يقومون بالدفع في المتاجر، بدأ المهاجمون في استخدام تقنية ترحيل بيانات NFC تعرف باسم Ghost Tap. ويبدأون بتثبيت تطبيق شرعي مثل NFCGate على هاتفين ذكيين – يحتوي أحدهما على محفظة الهاتف المحمول والبطاقات المسروقة، ويُستخدم الآخر مباشرة للدفع. وينقل هذا التطبيق بيانات NFC الخاصة بالمحفظة من الهاتف الأول إلى هوائي NFC الخاص بالهاتف الثاني، في الوقت الحقيقي عبر الإنترنت، حيث يقوم شريك مجرمي الإنترنت (المعروف باسم “البغل”) بتمريره على جهاز الدفع.
لا تستطيع معظم الأجهزة الطرفية في المتاجر غير المتصلة بالإنترنت والعديد من أجهزة الصراف الآلي التمييز بين الإشارة المُرحّلة والإشارة الأصلية، مما يسمح للبغل بدفع ثمن السلع بسهولة (أو بطاقات الهدايا، مما يُسهل غسل الأموال المسروقة). وفي حالة احتجاز البغل في المتجر، لا يوجد شيء يدينه على الهاتف الذكي، فقط تطبيق NFCGate الشرعي. ولا توجد أرقام بطاقات مسروقة، لأنها مخبأة على الهاتف الذكي للعقل المدبر وراء العملية، والذي يمكن أن يكون في أي مكان، حتى في بلد آخر. وتتيح هذه الطريقة للمحتالين صرف مبالغ كبيرة بسرعة وأمان لأنه قد يكون هناك عدة أشخاص يدفعون في الوقت نفسه تقريبًا باستخدام البطاقة المسروقة ذاتها.
كيفية خسارة الأموال عن طريق ملامسة بطاقتك بهاتفك
في أواخر عام 2024، ابتكر المحتالون مخططًا آخر لترحيل NFC واختبروه بنجاح على مستخدمين من روسيا، ولا يوجد ما يمنع توسيع نطاق العملية على مستوى العالم. وفي هذا المخطط، لا يُطلب من الضحايا حتى بيانات بطاقاتهم. وبدلاً من ذلك، يلجأ المهاجمون إلى أساليب الهندسة الاجتماعية لخداعهم وحملهم على تثبيت تطبيق يبدو مفيدًا على هواتفهم الذكية، تحت ستار خدمة حكومية أو بنكية أو غيرها. ونظرًا لأن العديد من تطبيقات الخدمات البنكية والحكومية في روسيا من هذا النوع قد أُزيلت من المتاجر الرسمية بسبب العقوبات، فإن المستخدمين الذين لا يشكون في شيء يوافقون على تثبيتها دون تردد. ثم يُطلب من الضحية تقريب البطاقة من هاتفه الذكي وإدخال رقم التعريف الشخصي (PIN) الخاص به لأغراض “التفويض” أو “التحقق”.
كما قد خمنت على الأرجح، فإن التطبيق المثبت لا يمت بصلة إلى وصفه. وفي الموجة الأولى من هذه الهجمات، كان ما تلقاه الضحايا هو نفس أسلوب ترحيل NFC، لكن بعد إعادة تجميعه في صورة “تطبيق مفيد”. وكان التطبيق يقرأ البطاقة عند تقريبها من الهاتف الذكي، وينقل بياناتها مع رقم التعريف الشخصي إلى المهاجمين، الذين استخدموها لإجراء عمليات شراء أو سحب نقود من أجهزة الصراف الآلي التي تدعم تقنية NFC. وسرعان ما تعلمت أنظمة مكافحة الاحتيال في البنوك الروسية الكبرى التعرف على مثل هذه المدفوعات بسبب عدم تطابق الموقع الجغرافي للضحية والدافع، ولهذا السبب شهد عام 2025 تغييرًا في المخطط – لكن ليس في جوهر العملية.
في الوقت الحالي، يتلقى الضحية تطبيقًا لإنشاء نسخة طبق الأصل من البطاقة، ويتم تثبيت نظام الترحيل على جانب المهاجمين. بعد ذلك، وتحت ذريعة زائفة لخطر السرقة، يتم إقناع الضحية بإيداع الأموال في “حساب آمن” من خلال جهاز صراف آلي، باستخدام هاتفه الذكي للمصادقة على الدفع. وعندما يُقرب الضحية هاتفه من جهاز الصراف الآلي، يقوم المحتال بترحيل بيانات بطاقته إلى الجهاز، وينتهي الأمر بالمال في حساب المحتال. ويصعب تتبع مثل هذه العمليات بواسطة أنظمة مكافحة الاحتيال الآلية لأن المعاملة تبدو مشروعة تمامًا – توجه شخص إلى جهاز صراف آلي وأودع نقودًا في بطاقة. ولا يعرف نظام مكافحة الاحتيال أن البطاقة تخص شخصًا آخر.
كيفية حماية بطاقاتك من المحتالين
أولاً وقبل كل شيء، يجب على Google وApple نفسهما، جنبًا إلى جنب مع أنظمة الدفع، تنفيذ تدابير حماية إضافية في البنية التحتية للدفع. ومع ذلك، يمكن للمستخدمين أيضًا اتخاذ خطوات لحماية أنفسهم:
- استخدم البطاقات الافتراضية للدفع عبر الإنترنت. ولا تحتفظ بمبالغ كبيرة من المال عليها، ولا تقم بإعادة شحنها إلا قبل إجراء عملية شراء عبر الإنترنت. وإذا سمحت لك جهة إصدار بطاقتك، فقم بتعطيل المدفوعات غير المتصلة بالإنترنت وسحب النقود من هذه البطاقات.
- احصل على بطاقة افتراضية جديدة واحظر البطاقة القديمة مرة واحدة على الأقل سنويًا.
- لإجراء عمليات الدفع التقليدية، اربط بطاقة مختلفة بخدمة Apple Pay أو Google Wallet أو خدمة مماثلة. ولا تستخدم هذه البطاقة أبدًا عبر الإنترنت، وإذا أمكن، استخدم محفظة الهاتف المحمول على هاتفك الذكي عند الدفع في المتاجر.
- كن حذرًا جدًا من التطبيقات التي تطلب منك تقريب بطاقة الدفع الخاصة بك من هاتفك الذكي، ناهيك عن إدخال رقم التعريف الشخصي الخاص بك. وإذا كان تطبيقًا للخدمات البنكية موثوقًا به منذ فترة طويلة، فلا بأس بذلك؛ لكن إذا كان تطبيقًا مشبوهًا قمت بتثبيته للتو من رابط غامض خارج متجر التطبيقات الرسمي، فابتعد عنه.
- استخدم البطاقات البلاستيكية في أجهزة الصراف الآلي، وليس الهواتف الذكية التي تدعم تقنية NFC.
- قم بتثبيت حل أمان شامل على جميع أجهزة الكمبيوتر والهواتف الذكية لتقليل خطر الدخول إلى مواقع التصيد الاحتيالي وتثبيت التطبيقات الضارة.
- قم بتمكين مكون الخدمات النقدية الآمنة، المتوفر في جميع حلول الأمان الخاصة بنا لحماية المعاملات المالية والمشتريات عبر الإنترنت.
- قم بتفعيل أسرع إشعارات ممكنة للمعاملات (الرسائل النصية والإشعارات الفورية) لجميع بطاقات الدفع، واتصل بالبنك أو جهة الإصدار فورًا إذا لاحظت أي شيء مريب.
هل ترغب في معرفة المزيد عن الطرق يستطيع المحتالون من خلالها سرقة الأموال من بطاقاتك؟ اقرأ منشوراتنا:
النصائح