الصفحة الرئيسية >
0

تحذير.. حملة الساعة الذكية تستهدف عملاء البنوك بهذه الطريقة

تعرف على تفاصيل حملة الساعة الذكية التي كشفتها CTM360، وكيف تستخدم صفحات مزيفة وOTP لسرقة الحسابات البنكية، مع خطوات عملية لحماية نفسك.
علي ماهر علي ماهر

تحذير.. حملة "الساعة الذكية" تستهدف عملاء البنوك بصفحات يصعب تمييزها عن المواقع الأصلية

إذا وصلك إعلان على فيسبوك أو إنستغرام يعدك بالحصول على ساعة ذكية مجانًا أو فرصة للفوز بجائزة كبيرة، فلا تتعامل معه باعتباره مجرد إعلان تسويقي. فقد كشف باحثون في الأمن السيبراني عن حملة احتيالية متطورة تستهدف عملاء البنوك، وتعتمد على خداع الضحية للحصول على بياناته البنكية ورموز التحقق الخاصة به. 

تحذير.. حملة "الساعة الذكية" تستهدف عملاء البنوك بصفحات يصعب تمييزها عن المواقع الأصلية

الحملة، التي وثقتها شركة CTM360، لا تعتمد على اختراق أنظمة البنوك أو كسر وسائل الحماية، بل تستغل ثقة المستخدم نفسه. وهذا ما يجعلها واحدة من أخطر حملات التصيد الإلكتروني التي ظهرت مؤخرًا في المنطقة.

إجابة سريعة

حملة "الساعة الذكية" هي عملية تصيد إلكتروني تبدأ بإعلان مزيف على مواقع التواصل الاجتماعي، ثم تنقل الضحية إلى صفحة تشبه موقع البنك الحقيقي. وإذا أدخل المستخدم بياناته ورمز التحقق (OTP أو Mobile Token)، فقد يتمكن المحتال من تنفيذ عمليات على الحساب دون الحاجة إلى اختراق البنك نفسه.

ما هي حملة الساعة الذكية؟

بحسب تقرير شركة CTM360، تستهدف الحملة عملاء بنوك ومؤسسات مالية في عدد من دول الشرق الأوسط، من بينها مصر ودول الخليج، عبر عروض مغرية تدعي منح المستخدم ساعة ذكية مجانًا أو إدخاله في سحب على جوائز قيمة.

وبمجرد الضغط على الإعلان، تبدأ سلسلة من الخطوات المصممة بعناية لإقناع الضحية بأنه يتعامل مع جهة رسمية، بينما يكون في الحقيقة داخل عملية احتيال متكاملة.

كيف تبدأ عملية الاحتيال؟

تعتمد الحملة على الهندسة الاجتماعية أكثر من اعتمادها على التقنيات المعقدة. فالهدف هو جعل الضحية يسلم بياناته بنفسه دون أن يشعر بأي شك.

  1. يشاهد المستخدم إعلانًا على Facebook أو Instagram.
  2. يطلب الإعلان التواصل عبر WhatsApp لاستكمال الإجراءات.
  3. يرسل المهاجم رابطًا لموقع يبدو مطابقًا تمامًا لموقع البنك.
  4. يطلب الموقع إدخال اسم المستخدم وكلمة المرور.
  5. بعد ذلك يطلب رمز OTP أو Mobile Token بحجة تأكيد الهوية أو استكمال استلام الجائزة.

في هذه المرحلة يكون المهاجم قد حصل على جميع البيانات التي يحتاجها لمحاولة تنفيذ عمليات على الحساب، بينما يعتقد الضحية أنه ما زال في خطوات استلام الجائزة.

ما الجديد في هذا الهجوم؟

عمليات التصيد الإلكتروني ليست جديدة، لكن ما يميز هذه الحملة هو استخدامها تقنية تعرف باسم Account Validation.

في الهجمات التقليدية، كان المهاجم يجمع أي بيانات يدخلها المستخدم، سواء كانت صحيحة أو خاطئة. أما في هذه الحملة، فيتم التحقق من صحة بيانات تسجيل الدخول فور إدخالها، قبل الانتقال إلى الخطوة التالية.

بمعنى آخر، إذا كتب المستخدم اسم مستخدم أو كلمة مرور غير صحيحة، يكتشف الموقع ذلك مباشرة ويطلب إعادة المحاولة. أما إذا كانت البيانات صحيحة، فينتقل إلى صفحة طلب رمز OTP أو Mobile Token، مما يجعل عملية الاحتيال أكثر احترافية ويزيد من ثقة الضحية.

كيف تعمل تقنية Account Validation ولماذا تُعد أخطر من التصيد التقليدي؟

في الماضي، كانت معظم صفحات التصيد الاحتيالي تحفظ أي بيانات يكتبها المستخدم، سواء كانت صحيحة أو خاطئة. لذلك كان المهاجم يكتشف لاحقًا أن كثيرًا من البيانات التي حصل عليها غير صالحة للاستخدام.

أما في حملة "الساعة الذكية"، فالوضع مختلف. فبحسب تقرير CTM360، تعتمد بعض الصفحات المزيفة على آلية Account Validation، أي التحقق من صحة بيانات تسجيل الدخول أثناء إدخالها. فإذا كانت البيانات غير صحيحة، يطلب الموقع إعادة المحاولة، أما إذا كانت صحيحة فينتقل مباشرة إلى خطوة طلب رمز التحقق، وهو ما يمنح الضحية شعورًا زائفًا بأنه يتعامل مع الموقع الرسمي للبنك.

لماذا تبدو المواقع المزيفة مقنعة إلى هذا الحد؟

لم يعد إنشاء صفحات مزيفة يقتصر على نسخ تصميم موقع البنك فقط، بل أصبح المهاجمون يستخدمون أدوات حديثة تساعدهم على بناء صفحات احترافية تحاكي المواقع الأصلية بدرجة كبيرة، مع نماذج تسجيل دخول ورسائل وخطوط وألوان مشابهة لما يراه العميل يوميًا.

كما استفاد بعض المهاجمين من أدوات الذكاء الاصطناعي لتسريع تصميم هذه الصفحات وتحسين جودة النصوص والصور، وهو ما يجعل اكتشافها أكثر صعوبة، خاصة بالنسبة للمستخدم غير المتخصص.

كيف يستغل المهاجم رمز OTP أو Mobile Token؟

يعتقد كثير من المستخدمين أن كلمة المرور وحدها هي الهدف، لكن في الواقع لا يستطيع المهاجم في كثير من الحالات تنفيذ عملية بنكية بدون رمز التحقق المؤقت OTP أو رمز Mobile Token.

لهذا السبب تحاول الصفحة المزيفة إقناع الضحية بإدخال هذا الرمز بحجة تأكيد الهوية أو استكمال استلام الجائزة. وبمجرد إدخاله، قد يتمكن المهاجم من إتمام العملية إذا كانت بقية بيانات الدخول صحيحة.

تذكر دائمًا

OTP وMobile Token ليسا رمزين لتأكيد استلام جائزة أو تحديث بيانات. وظيفتهما الوحيدة هي تأكيد العمليات البنكية أو تسجيل الدخول. إذا طلب منك أي شخص أو أي موقع هذين الرمزين خارج القنوات الرسمية للبنك، فتوقف فورًا.

هل تذكرك هذه الطريقة بحادثة عميل CIB؟

أثار الجدل الذي صاحب واقعة أحد عملاء CIB، والذي أعلن فقدان نحو 57 مليون جنيه من حساباته، اهتمامًا واسعًا داخل مصر. وخلال النقاش حول الواقعة، أوضح أحمد عز العرب، رئيس مجلس إدارة البنك، أن العميل أدخل رمز OTP بنفسه استجابة لعملية احتيالية مرتبطة بعرض للفوز بساعة ذكية.

ولا يعني ذلك بالضرورة أن الواقعة هي نفسها الحملة التي وثقتها CTM360، لكن التشابه في أسلوب الخداع يوضح كيف أصبحت الهجمات الحديثة تعتمد على الهندسة الاجتماعية أكثر من اعتمادها على اختراق الأنظمة التقنية.

كيف تحمي نفسك من هذا النوع من الهجمات؟

  1. لا تثق في أي إعلان يعدك بجائزة مقابل تسجيل الدخول بحسابك البنكي.
  2. لا تدخل بيانات البنك إلا من خلال التطبيق الرسمي أو الموقع الذي تكتبه بنفسك في المتصفح.
  3. لا تشارك رمز OTP أو Mobile Token مع أي شخص مهما كان السبب.
  4. تحقق دائمًا من عنوان الموقع قبل كتابة أي بيانات.
  5. إذا ساورك أي شك، تواصل مع البنك مباشرة عبر أرقام خدمة العملاء الرسمية.
  6. فعّل جميع وسائل الحماية التي يوفرها البنك، مثل الإشعارات الفورية وتأكيد العمليات.

ما الذي يمكن أن تفعله البنوك لتقليل هذه الهجمات؟

رغم أن هذا النوع من الهجمات يعتمد بشكل أساسي على خداع المستخدم، فإن المؤسسات المالية تستطيع تقليل المخاطر عبر تطوير وسائل اكتشاف السلوك غير الطبيعي أثناء تسجيل الدخول أو تنفيذ العمليات.

  • رصد محاولات تسجيل الدخول المتكررة من مصادر غير معتادة.
  • تحليل سلوك المستخدم قبل الموافقة على العمليات الحساسة.
  • تفعيل وسائل تحقق إضافية عند اكتشاف نشاط غير معتاد.
  • زيادة حملات التوعية للعملاء حول أساليب التصيد الحديثة.

كيف تفرق بين الموقع الحقيقي والموقع المزيف؟

الموقع الرسمي الموقع المزيف
تدخل إليه بكتابة العنوان بنفسك أو من التطبيق الرسمي. يصل إليه المستخدم عبر إعلان أو رسالة أو رابط مختصر.
لا يطلب بياناتك مقابل جائزة. يربط تسجيل الدخول بالحصول على هدية أو مكافأة.
قنوات التواصل معروفة ورسميّة. غالبًا يبدأ عبر WhatsApp أو رسائل مجهولة.
إجراءاته متوافقة مع سياسات البنك. يستعجل المستخدم لإدخال البيانات بسرعة.

الأسئلة الشائعة

هل يمكن اختراق حسابي البنكي بمجرد معرفة اسم المستخدم وكلمة المرور؟

في كثير من البنوك توجد طبقات حماية إضافية مثل OTP أو Mobile Token، لكن إذا خدع المهاجم المستخدم للحصول على هذه الرموز أيضًا، فقد تزداد خطورة الموقف.

هل البنوك ترسل عروضًا للحصول على ساعات ذكية مقابل تسجيل الدخول؟

العروض الرسمية تُعلن عبر القنوات المعروفة للبنك، ولا يُطلب خلالها إدخال بيانات تسجيل الدخول أو رموز التحقق لاستلام هدية.

ماذا أفعل إذا أدخلت بياناتي في موقع مشبوه؟

غيّر كلمة المرور فورًا إذا أمكن، وأوقف أي وسائل تحقق قد تكون تعرضت للخطر، ثم تواصل مباشرة مع البنك لإبلاغه بالواقعة ومراجعة حسابك.

الخلاصة

تكشف حملة "الساعة الذكية" أن مجرمي الإنترنت لم يعودوا بحاجة إلى اختراق أنظمة البنوك كما كان يُعتقد، بل أصبحوا يركزون على استغلال ثقة المستخدم ودفعه إلى تسليم بياناته بنفسه. وكلما أصبحت صفحات التصيد أكثر احترافية، زادت أهمية وعي العميل بخطورة مشاركة بياناته أو رموز التحقق.

تذكر دائمًا أن أي عرض يبدو مغريًا بشكل مبالغ فيه يستحق التوقف والتفكير قبل الضغط عليه. فدقائق قليلة تقضيها في التحقق من الرابط قد تحمي مدخراتك وحساباتك من خسائر كبيرة.

خلاصة عرباوي

لا يوجد بنك يمنحك ساعة ذكية أو جائزة مقابل إدخال اسم المستخدم وكلمة المرور ورمز OTP. إذا طلب منك أي موقع هذه البيانات بحجة الفوز أو تحديث الحساب، فاعتبر ذلك إشارة خطر، وأغلق الصفحة فورًا. في عالم الأمن السيبراني، وعي المستخدم هو خط الدفاع الأول، وأحيانًا الأقوى.

علي ماهر
علي ماهر
خبرة 11 عامًا في كتابة المقالات في مجالات متنوعة مثل التقنية، السيارات، الساتلايت. يمكن متابعة مقالاتي والتواصل معي عبر وسائل التواصل الاجتماعي. فيسبوك - X (تويتر سابقًا) - لينكدإن

مقالات قد تهمك

تعليقات