الأستاذ/ هشام حمزة- باحث مصرفي
تطورت الخدمات البنكية المصرية خلال آخر 5 سنوات نتيجة استخدامات التكنولوجيا المالية تطورا مذهلا، وظهرت محفظة الهاتف الالكتروني والانترنت البنكي وبرامج إدارة الأرقام السريةToken ، ثم تطورت خدمات الانترنت البنكي أكثر وأكثر من مجرد استعراض عام لأرصدة حسابات وبطاقات العميل المصرفية بأنواعها إلى مجموعة ضخمة من الخدمات تشمل التحويلات بين حسابات العميل وحسابات العملاء الآخرين داخل بنك العميل ومن حسابات العميل إلى حسابات عملاء البنوك الأخرى ، ثم التحويلات خارج مصر بالإضافة الى خدمات الشيكات ، الشهادات ، القروض ، الفواتير والخدمات الحكومية ،وايضا حجز زيارة للفروع ……….., لكن يلاحظ أن التطوير كان أسرع بكثير من تطور ثقافة عدد من العملاء خاصة في الجزء الخاص باستدراك أهمية وخطورة الحفاظ على الأرقام السرية لتلك البرامج وطرق الاحتيال الممكنة ، والهدف من المقال هو استعراض لأشهر أساليب الاحتيال المصرفية نتيجة عدم اتخاذ بعض الاحتياطيات الواجب اتخاذها من العملاء:
الأسلوب الأول: – الاحتيال باستخدام خدمات الانترنت البنكي
هي الأخطر على الإطلاق والسبب يرجع إلى أن المحتال يستطيع الولوج إلى كافة حسابات وبطاقات العميل المصرفية ثم يقوم بتحويل أرصدة العملاء المتاحة وان لم يستطع فقد يقوم بشراء أي منتج او خدمة في محاولة لإخفاء الجريمة لجعل عملية القبض عليه أكثر صعوبة، والسؤال بالتأكيد هو كيف يمكن للمحتال القيام بذلك؟ وهل فعلا أنظمة البنوك مخترقة كما تردد في الآونة الأخيرة؟
تبدأ عملية الاحتيال بتلقي العميل المستهدف مكالمة تليفونية من رقم يظهر على إنه من البنك المركزي او خدمة عملاء أحد البنوك (لاحظ ان المحتال يقوم بتسجيل رقم الهاتف على برامج كشف اسم المتصل باسم أحد البنوك)، ثم يخبر المتصل (المحتال) العميل المستهدف إنه موظف أحد البنوك وانه بصدد إما:
- تحديث بيانات العميل
- تحويل مكافأة مالية للعميل بسبب أو من غير سبب
- تحويل مبلغ العمالة غير المستقرة
- تسجيل العميل في مبادرة حياة كريمة …… وغيرها
يطلب المتصل (المحتال) مجموعة من البيانات من العميل المستهدف وذلك حتي يمكن إنهاء التحويل المالي أو تحديث البيانات ، بالإضافة إلى حاجته إلى الأرقام السرية التي يتم ارسالها من الأنظمة البنكية اثناء المكالمة إلى هاتف العميل المستهدف بالاحتيال، الحقيقة أن تلك الأرقام هي الأهم والأخطر لاستكمال عملية الاحتيال لأن تلك الأرقام عبارة عن الرقم السري الذي يستخدم لمرة واحدة One Time Password وهي تلك الأرقام اللازمة لقيام الأنظمة البنكية بالتأكد من أن محاولة الدخول على خدمات الانترنت البنكي تتم بالفعل من صاحب الحساب دون أحد سواه ، وبمجرد إخطار الضحية لتلك الأرقام بالإضافة الى بيانات العميل الأخرى ، فأن الحسابات المصرفية للعملاء تكون بيد المحتال بالكامل ، وبمجرد إنهاء المكالمة تبدا رسائل التحويلات التي قام بها المحتال في الوصول تباعا إلى هاتف العميل لتعلن نجاح عملية الاحتيال واستنفاذ ارصدة الضحية.
والسؤال الذي يطرح نفسه: – هل تم بالفعل اختراق الأنظمة البنكية كما أشيع من قبل؟ الحقيقة التي لا جدال فيها أن كافة أنظمة البنوك المصرية تتمتع بأقصى درجات الأمان العالمية ويتم اختبار وتحديث تلك الأنظمة باستمرار ولم تسجل حالة اختراق واحدة لأي حساب مصرفي داخل مصر من قبل، كما أن وحدات رصد الاحتيال في البنوك تتمتع بأحدث الأنظمة والتدريب المستمر لكافة العاملين.
إذا كيف تمت السرقة؟ كيف تم الاحتيال؟ والإجابة هي لنفرض أن أحد العملاء أعطي بطاقته المصرفية والرقم السري لتلك البطاقة لأحد الأشخاص وذلك برضاه التام، ثم قام هذا الشخص (الطرف الثاني) باستغلال واستخدام تلك البطاقة في سحب كافة أرصدة العميل (المحتال عليه) مستخدما في ذلك الرقم السري الخاص بالبطاقة، فهل يمكن إيقاف تلك الحركة من البنوك أو مراجعتها، الإجابة ببساطة شديدة (لا) وذلك لان الحركة صحيحة وتمت طبقا للشروط العالمية المتفق عليها لاستخدام البطاقة.
المثال السابق هو توضيح بسيط لكيفية الاحتيال التي تتم عن طريق استخدام المحتال لخدمة الانترنت البنكي في تحويل ارصدة العميل إلى اخرين لأنه وببساطة شديدة البيانات التي أعطاها العميل (المحتال عليه) تليفونيا للمحتال بالإضافة الى الأرقام السرية للخدمة، مكنت ذلك المحتال من الولوج إلى كافة ارصدة العميل تمهيدا لسرقتها.
معلومات شديدة الأهمية: –
- البنوك لا تسأل أبدا عن بيانات العملاء تليفونيا
- البنوك لم ولن تُحدث بيانات العملاء تليفونيا
- البنوك لا تقوم بالتواصل مع العملاء لتحويل ايه مبالغ من وإلى حساباته
الأسلوب الثاني: – الاحتيال باستخدام البطاقات المصرفية
هو الأسلوب الأشهر والاقدم، يشبه السيناريو السابق في قيام المحتال بالاتصال بضحاياه من عملاء البنوك تليفونيا ليخبرهم بمكسب أو الانضمام إلى أحد المبادرات أو لتحديث البيانات، لكن الاختلاف ان تركيز العميل هنا بعيدا عن بياناته الثابتة، هدف المحتال هو 3 او 4 معلومات فقط لا غير وهم كالتالي:
- رقم بطاقة العميل المصرفية باختلاف نوعها (خصم فوري & ائتمانية & مدفوعة مسبقا)
- تاريخ صلاحية البطاقة المصرفية Expire Date
- رمز الأمان المسجل خلف البطاقة CVV
- الرقم السري المرسل لهاتف العميل اثناء المكالمة OTP (اختياري)
مع توافر تلك البيانات يقوم المحتال بإجراء حركات مشتريات عن طريق الانترنت ليكتشف بعدها العميل (المحتال عليه) بأن أرصدته البنكية أصبحت عبارة عن مشتريات بالإضافة إلى مجموعة أخري من الطرق سوف نؤجلها لمقال آخر.
والسؤال ما الذي على عملاء البنوك القيام به في حالة تواصل أحد المحتالين تليفونيا معهم؟
- اغلاق الخط فورا وعدم تزويد المحتالين باي نوع من البيانات مهما كانت تبدو بسيطة.
- التواصل مع بنك العميل فورا وتزويد البنك برقم هاتف محمول المحتال.
- في حالة شك العميل إنه قد قام بتزويد المحتال عليه بأي بيانات، يجب قيام العميل بالتواصل مع مركز اتصال البنك فورا وإيقاف خدمة الانترنت البنكي او إيقاف بطاقة العميل (حسب طبيعة الاحتيال).
السؤال الثاني: – هل تقف البنوك موقف المتفرج من كل أنواع تلك الهجمات الاحتيالية؟ وهل تلك الجهود كافية لحماية العميل؟
لا تدخر البنوك جهدا في حماية عملائها مهما كلفها ذلك من أموال ومن موارد بشرية وأنظمة حماية وتوعية اعلامية للتعريف بالأساليب الاحتيالية وذلك بالتعاون مع كافة الأطراف المعنية مثل البنك المركزي والجهات الأمنية، وقد أسفرت تلك الجهود على القبض بالفعل على معظم تلك التشكيلات الاحتيالية في مصر على الرغم من استخدام تلك التشكيلات لطرق أساليب مختلفة إلا إن المحصلة النهائية هي السجن لكل محتال، لكن وهذا هو الأهم، أن خط الدفاع الأول عن حسابات وأرصدة بطاقات العميل هو العميل نفسه وتأتي البنوك كخط دفاع ثاني خاصة وأن تلك الهجمات الاحتيالية تحدث بعيدا عن البنك (مجرد مكالمات تليفونية بين محتال وعميل أحد البنوك) ، لذا فأن على العملاء عدم تزويد المحتالين باي معلومات مهما بدت بسيطة واتخاذ كافة الإجراءات الاحترازية المعلنة من البنوك.