عندما كانت البطاقات الائتمانية تُخزّن المعلومات على شريط مغناطيسي فقط، كان المحتالون يستهدفون إنتاج نسخة طبق الأصل من البطاقة من خلال تركيب قطعة معدنية رفيعة على جهاز صراف آلي مع وجود كاميرا أو لوحة خاصة على لوحة المفاتيح الطرفية لماكينة الدفع لمعرفة رقم التعريف الشخصي «PIN» الخاص بالبطاقة، وبعد تفريغ البطاقة، يكتب المحتالون البيانات على بطاقة فارغة ويستخدمونها في جهاز صراف آلي أو في متجر، لكن مع التطور التقني بوسائل الدفع الإلكتروني بدأ المهاجمون يستخدمون خدعة أكثر تطوراً، تمكنهم من السيطرة على البطاقات المصرفية وإدارتها لصالحهم بسحوبات تقارب 500 دينار في المرة الواحدة.

عمليات دفع

منذ 49 دقيقة

منذ 49 دقيقة

ففي الفترة الماضية رصدت البنوك المحلية شكاوى متعددة من عملاء تعرضوا لنوعية غير تقليدية من القرصنة على بطاقاتهم للدفع المصرفي، حيث كشفوا أنه بعد تنفيذهم عمليات شراء على مواقع محلية تفاجأوا بعد أيام بتنفيذ سحوبات متتالية من أرصدتهم تتم من الخارج ترتكز في إيطاليا، رغم وجودهم في الكويت.

وتظهر التفاصيل أنه عندما قام الضحايا بإجراء عمليات دفع مشروعة على إحدى المواقع الكويتية، أظهرت المواقع المصابة بأنه بإمكان العملاء عملية الدفع الذكية غير التلامسي، لكن خلال المحاولة تم الطلب منهم كتابة الـ«OTP» ليتم إفادتهم لاحقاً بفشل العملية وطلب المحاولة مرة ثانية باستخدام رقم البطاقة لتنفيذ عملية الشراء وهو ما تم بالفعل، وبعد أيام استلم الضحايا مشترياتهم المسجلة على الموقع قبل أن يتلقوا رسائل تفيد بسحوبات متتالية من أرصدتهم لا يعرفون عنها شيئاً ومنفذة لإغراض شرائية في الخارج.

قرصنة جديدة

فباختصار، ما سبق طريقة قرصنة جديدة تستخدم في الكويت مستغلين مواقع الشراء المشهورة محلياً، وإنشاء معاملات احتيالية عليها تتفاعل مع طلبات عملاء هذه المواقع للدفع غير التلامسي، حيث يتم نسخ بيانات بطاقاتهم المسجلة على الهواتف من قبل «الهاكرز»، لتستخدم لاحقاً في خصم الأموال من حسابات العملاء، وبشكل متتالٍ حتى بلوغ الحد الأعلى المسموح به في جميع البطاقات المسيطر عليها، قبل أن يكتشف العميل أن هناك قراصنة سيطروا على بياناته للدفع الإلكتروني وبات لديهم إمكانية دخول مشابهة للسحب من رصيده من الخارج، ليضطر مع ذلك الطلب من البنوك وقف بطاقاته المخترقة، مع حصوله على وعد غير مدعوم من البنوك باسترداد المبالغ المسروقة من حسابه، وهو ما لا ينجح في النهاية، لكن كيف يتم ذلك بسهولة وبشكل متكرر حسب شكاوى العملاء.

مصادر مصرفية قالت لـ«الراي»، إن العملاء المخترقين مسؤولون عن قرصنة بطاقاتهم باعتبارهم فرطوا في الـ«OTP» وأنه لا يحق لهم توجيه الاتهام إلى البنك أو بنك الكويت المركزي باعتباره جهة رقابية، وبالتالي البنوك غير ملزمة بتعويض العملاء أو ضمان استرداد مدفوعاتهم التي أفادت البنوك المراسلة بعدم قدرتهم على رد مبالغهم باعتبار أن عملياتهم تمت بطريقة صحيحة وأنهم أدخلوا الـ«OTP» ما يجعلهم يتحملون مسؤولية سرقة أرصدتهم مباشرة والبنك لا يتحمل مسؤولية رد هذه المبالغ بل فقط المحاولة.

لكن المحتال عليهم يرون أنهم غير مسؤولين عن هذه الاختلاسات، دافعين بأن «الهاكرز» أصابوا مواقع معروفة بالكويت بشفرة خبيثة، ونجحوا في نسخ بيانات بطاقاتهم أثناء معالجة عملية شراء مشروعة، وأنهم نفذوا بشكل صحيح بروتوكولات استخدام البطاقة الذكية غير التلامسية، ما يعفيهم من مسؤولية التراخي في الحفاظ على سرية بياناتهم، فيما أفادوا أنهم اكتشفوا من الجهات أصحاب المواقع التي نفذوا عليها عمليات مشترياتهم أن قنواتهم الالكترونية لا تتضمن الدفع عبر «آبل باي» أو غوغل باي «أو سامسونغ باي» رغم توافر الخدمة أمام المترددين على هذه المواقع.

مواقع عملية

وعملياً، يعني هذا السلوك أن القراصنة لا يستخدمون مواقع مزيفة أو شبيهة لمواقع محلية حقيقية، بل يسيطرون على مواقع حقيقية كنافذة للسيطرة على بطاقات العملاء الذكية، فيما تظهر التفاصيل أن هذه النوعية من القرصنة متصلة ولم تتوقف في الكويت منذ فترة، دون أن توافر الجهات المعنية أي حلول للمعالجة، رغم محاولات أصحاب المواقع سد الثغرات عن طريق جهات متخصصة لم تتوصل إلى نقاط الضعف الموجودة لإنجاح عملية الاحتيال.

وبين الرأيين المصرفي والضحايا يستمر «الهاكرز» في المحاولة لإجراء مدفوعات احتيالية بهجمات حديثة تستغل التقنية المتطورة.

كيف تحمي نفسك ؟

من الأفضل وضع حدود إنفاق صغيرة نسبياً على البطاقات للاستخدام اليومي، وإذا سمح بذلك، فيمكن تعيين حد أدنى بشكل منفصل للدفع بنظام البطاقة الذكية غير التلامسي، وبالطبع يمكن زيادة الحد بسرعة إذا دعت الحاجة لذلك، ويمكن الحصول على بطاقة افتراضية صادرة بحد أدنى للإنفاق، وربطها بـ «Google/Apple/Samsung Pay» بها.

إضافة إلى ذلك، العملاء مطالبون بالحذر الإضافي من طلب البيانات غير المبرر، خصوصاً في حالات الدفع عبر «Google/Apple/Samsung Pay»، حيث يتم السحب عبر هذه الخدمات دون طلب الـ«OTP» ومجرد طلبه من الجهة يثير القلق ويجب الاتصال بالبنك الذي يتعامل معه العميل في أقرب وقت ممكن، إذا رأى أي معاملات مشبوهة.