كيف يسرق مجرمو الإنترنت الأموال من البطاقات المصرفية — وكيفية حماية نفسك من هذه السرقة

نحن نحقق في سبب عدم كون البطاقات الذكية حلًا شاملًا، وفي ماهية الاحتياطات التي يجب اتخاذها خلال إجراء الدفع.

استنساخ البطاقات

عندما كانت البطاقات تُخزّن المعلومات على شريط مغناطيسي فقط، فقد كان من السهل جدًا على المحتالين إنتاج نسخة طبق الأصل من البطاقة واستخدامها للمدفوعات في المتاجر وعمليات السحب في أجهزة الصراف الآلي. في البداية، تمت قراءة البيانات باستخدام جهاز خاص — وهو عبارة عن قطعة معدنية رفيعة تم تركيبها على جهاز صراف آلي أو ماكينة دفع في متجر. يُستكمَل ذلك بوجود كاميرا أو لوحة خاصة على لوحة المفاتيح الطرفية لماكينة الدفع لمعرفة رقم التعريف الشخصي (PIN) الخاص بالبطاقة. بعد الحصول على تفريغ البطاقة ورقم التعريف الشخصي (PIN)، يكتب المحتالون البيانات على بطاقة فارغة ويستخدمونها في جهاز صراف آلي أو في متجر.

لا تزال هذه التكنولوجيا تعمل في بعض أنحاء العالم، ولكن ظهور البطاقات الذكية قد قلل إلى حد كبير من فعاليتها. ليس من السهل استنساخ البطاقة الذكية هذا هو السبب في أن المجرمين بدؤوا في إصابة ماكينات الدفع بشفرة خبيثة تنسخ بعض البيانات من البطاقة أثناء معالجة عملية شراء مشروعة. بعد ذلك، يرسل المحتالون طلبات دفع تم إنشاؤها بذكاء باستخدام هذه المعلومات. في الواقع، فإنهم يرسلون فقط البيانات التي تم تسجيلها سابقًا على الشريط المغناطيسي، ولكنهم يقولون بأنّ العملية تتم بواسطة الشريحة. هذا ممكن عندما لا تقوم البنوك بالإحالة المرجعية إلى معلمات المعاملات المختلفة بتفاصيل كافية وتنفذ بشكل غير صحيح بروتوكولات بطاقة EMV التي يجب أن تلتزم بها جميع إجراءات البطاقة الذكية.

مع البنوك التي لا تعاني من مثل هذا التراخي، يستخدم المهاجمون خدعة أكثر تطورًا. عندما يقوم الضحية بإجراء عملية دفع مشروعة، تطلب ماكينة الدفع المصابة أن تقوم البطاقة المدخلة بإنشاء معاملة احتيالية أخرى. وبالتالي، لا يتم نسخ البطاقة نفسها، ولكن يتم خصم أموال إضافية منها على أي حال.

كيفية حماية نفسك: حاول استخدام خاصية الدفع بنظام البطاقة الذكية غير التلامسي عبر هاتفك، فهي محمية بشكل أفضل. إذا كنت لا تزال بحاجة إلى إدخال البطاقة في ماكينة الدفع، فتحقق بعناية من لوحة رقم التعريف الشخصي (PIN) لاكتشاف التعديلات المشبوهة. قم أيضًا بتغطية اللوحة بيدك أو محفظتك أو أي شيء آخر عند إدخال الرمز. إذا لم تقبل ماكينة الدفع فجأة الدفع بنظام البطاقة الذكية غير التلامسي، أو ظهرت رسائل غير عادية على شاشتها، أو توجب إدخال رقم التعريف الشخصي (PIN) بشكل متكرر، فهذا سبب للشك واتخاذ تدابير وقائية إضافية. يمكنك، على سبيل المثال، التحقق على الفور من كشف حسابك، أو تعيين حد أدنى لإنفاق الأموال على البطاقة.

محافظ “مضادة للرصاص”

هناك محافظ وحقائب محمية بتقنية تحديد الهوية بموجات الراديو (RFID) وهي متاحة للشراء هذه الأيام، وتعمل على حماية البطاقات المادية عبر حفظها من القراءة عن بُعد، على سبيل المثال في وسائل النقل العام. لا توجد مشكلة في مثل هذا النوع من الحماية — إنها فعالة بحق. ومع ذلك، فلا يتم استخدام طريقة الهجوم بها مطلقًا على أرض الواقع. يمكنك قراءة المعلومات الأساسية فقط من البطاقة أثناء هذا الفحص السريع، وهذا عادة لا يكفي لإجراء الدفع. وفي الوقت نفسه، فمن السهل معرفة آخر المواقع ومبالغ الدفع فيما يخص الدفع بنظام البطاقة الذكية غير التلامسي، رغم كل هذا!

سرقة بيانات البطاقة عبر الإنترنت

في هذه الحالة، يسعى المحتالون خلف تفاصيل البطاقة المصرفية حتى يتمكنوا من إجراء المدفوعات عبر الإنترنت. تتضمن تلك التفاصيل عادةً رقم البطاقة وتاريخ انتهاء الصلاحية وكذلك رمز التحقق (CVV / CVC)؛ اعتمادًا على البلد، ويمكن أيضًا البحث عن اسم حامل البطاقة أو الرمز البريدي أو رقم جواز السفر. هناك ثلاث طرق فعالة على الأقل يقوم عبرها المحتالون بجمع هذه البيانات:

  1. استدراجها من الضحية من خلال تنظيم متجر وهمي على الإنترنت، نسخة من متجر حقيقي على الإنترنت، أو تحت ستار جمع الأموال للجمعيات الخيرية.
  2. اعتراض المعلومات عن طريق إصابة صفحة الويب الخاصة بالمتجر الفعلي عبر الإنترنت (آليات استنساخ البيانات عبر الويب) أو جهاز الكمبيوتر/ الهاتف الذكي للضحية (عبر حصان طروادة المصرفي).
  3. اختراق متجر حقيقي عبر الإنترنت وسرقة معلومات بطاقة الدفع الخاصة بالعميل المخزنة. لاحظ أنه ليس من المفترض أن تحتفظ المتاجر بمعلومات البطاقة الكاملة، ولكن للأسف يتم انتهاك هذه القاعدة في بعض الأحيان.

بشكل عام، فإن طريقة السرقة هذه، على الرغم من أنها قديمة، فإنها تبقى فعالة؛ على سبيل المثال، وفقًا لتحليلنا، فقد تضاعفت هجمات سرقة البيانات المصرفية تقريبًا في عام 2022.

كيف تحمي نفسك: أولًا، احصل على بطاقة افتراضية للمدفوعات عبر الإنترنت. وإذا لم يكن الأمر صعبًا أو مكلفًا للغاية، فاحصل على بطاقة افتراضية جديدة وقم بحظر البطاقة القديمة مرة واحدة على الأقل في السنة. ثانيًا، ضع حدًا منخفضًا لمدفوعات البطاقة عبر الإنترنت، أو احتفظ بمبلغ صغير جدًا من المال عليها. ثالثًا، تأكد من أن البنك يطلب منك دائمًا تأكيد المدفوعات عبر الإنترنت برمز التحقق لمرة واحدة (باستخدام 3-D Secure أو آليات مماثلة). ورابعًا، تحقق بعناية من نماذج الدفع وعناوين المواقع التي تُدخل فيها المعلومات المالية. لتحجيم القلق بشأن هذه المشكلة، استخدم من أدوات الأمن السيبراني التي تحمي المدفوعات عبر الإنترنت بأمان.

البطاقة القديمة وسرقة الهاتف

هذه، بالطبع، هي الطريقة الأكثر وضوحًا وسهولة للسرقة، لكنها لا تزال شائعة. يمكن للمجرمين الأذكياء استخدام البطاقات للمدفوعات عبر الإنترنت من خلال إيجاد متجر على الإنترنت لا يتطلب إدخال رموز تحقق إضافية. هناك طريقة أبسط ولكنها ليست أقل فعالية؛ وهي استخدام بطاقة مسروقة للدفع بنظام البطاقة الذكية غير التلامسي الذي لا يتطلب إدخال رقم تعريف شخصي (PIN). عادة ما يكون هناك حد للمدفوعات بهذه الطريقة، وفي بعض البلدان بعد ثلاث إلى خمس عمليات دفع يتم حظر البطاقة، ولكن في المملكة المتحدة على سبيل المثال، يمكن أن تصل خسائر الضحية من هذه الطريقة البدائية للسرقة بسهولة إلى 500 جنيه إسترليني (5 × 100 جنيه إسترليني). يعد الهاتف دائمًا ذا قيمة للصوص، وإذا تم تفعيل Google Pay به؛ فمن الممكن الدفع حتى من هاتف محظور ضمن حد الدفع المسموح به، مما يتسبب في خسارة إضافية للضحية.

أظهر باحثو الأمن أنه حتى إذا تم حظر البطاقة بعد إدخال رقم التعريف الشخصي (PIN) بشكل خاطئ لثلاث مرات، فلا يزال من الممكن أحيانًا إجراء الدفع بنظام البطاقة الذكية غير التلامسي. يمكن للمهاجم أيضًا تبادل بعض البيانات باستخدام هاتف محجوب ثم استخدام سجلات معدلة لهذا التبادل لإجراء مدفوعات احتيالية لمرة واحدة. لحسن الحظ، تم اكتشاف كلا النوعين من الهجمات من قبل الباحثين الأخلاقيين، لذلك هناك أمل في ألا يتمكن المحتالون من استخدام هذه الأساليب في الوقت الراهن.

كيف تحمي نفسك: من الأفضل وضع حدود إنفاق صغيرة نسبيًا على البطاقات للاستخدام اليومي. إذا سمح البنك الذي تتعامل معه بذلك، فيمكنك تعيين حد أدنى بشكل منفصل للدفع بنظام البطاقة الذكية غير التلامسي. بالطبع، يجب عليك التأكد من أنه يمكنك زيادة الحد بسرعة إذا دعت الحاجة لذلك بدلًا من ذلك، يمكنك الحصول على بطاقة افتراضية صادرة بحد أدنى للإنفاق، وربط Google/Apple/Samsung Pay بها. إذا كان يمكن إعداد تطبيق الدفع للسماح فقط بالدفع من هاتف غير مقفل، فقم بذلك.

وفي الختام، نترك ملاحظة تفيد بأن القواعد آخذة في الظهور في العديد من البلدان، حيث يتم تعويض الضحايا جزئياً أو كلياً عن الاحتيال. للاستفادة من ذلك؛ نوصيك بالحذر من أي مدفوعات بالبطاقات، وإعداد أسرع طريقة لإعلامك بها (عبر إشعار أو رسالة نصية قصيرة)، والاتصال بالبنك الذي تتعامل معه في أقرب وقت ممكن إذا رأيت أي معاملات مشبوهة.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!