5 طرق يتبعها المخترقون للدخول إلى حسابك المصرفي

مع وجود عددٍ كبيرٍ من المستخدمين الذين يقومون بالولوج يومياً إلى الخدمات المصرفية عبر الإنترنت، فلا عجب أنّ المتسلّلين (المخترقين) يبحثون عن تفاصيل تسجيل الدخول ليتمكنوا من سرقة الحساب المصرفي وهم يجلسون وراء شاشاتهم. لكن ما قد يثير الدهشة هي الطرق التي يلجأ إليها المخترقون للوصول إلى أموالك. لنلقي نظرةً على كيفية قيام المخترقين باستهداف حسابك المصرفي وكيفية المحافظة على سلامته.

Share your love

1. أحصنة طروادة (Trojan Horses) التي تستهدف الخدمات المصرفية عبر الهاتف:

يمكنك إدارة جميع أموالك هذه الأيام من هاتفك الذكي. سيقدّم البنك -عادةً- تطبيقاً رسمياً يمكنك من خلاله تسجيل الدخول والتحقق من حسابك المصرفي، وعلى الرغم من أنّ هذه الطريقة في التعامل مع حسابك المصرفي تبدو آمنةً ومناسبةً، إلاّ أنّها أصبحت مدخلاً رئيسياً للهجوم على حسابك المصرفي، ويستغلّها المخترقون الذين يقومون ببرمجة البرامج الضارة (البرمجيات الخبيثة).

1. 1. البرامج المزيفة أو المخادعة (Fake Apps):

إنّ أبسط وسيلةٍ للهجوم على حسابك المصرفي تتمثّل في إنشاء تطبيقٍ مُخَادعٍ يُحاكي في شكله التطبيق المصرفيّ الموجود لديك. يقوم المخترق صاحب البرمجيات الخبيثة بإنشاء نسخة مماثلة لتطبيق أحد البنوك وتحميله إلى مواقع خارجية مضلّلة، وبمجرد تحميلك وتشغيلك للتطبيق السيء على هاتفك، سيظهر التطبيق بشكلٍ مماثلٍ تماماً للتطبيق الرسمي للمصرف، وعندما تقوم بإدخال اسم المستخدم وكلمة المرور فيه، يتم إرسال هذه المعلومات إلى المخترق.

1. 2. اختطاف التطبيق (App Hijacking):

إنّ الإصدار الأكثر خداعاً من بين “أحصنة طروادة” هو “حصان طروادة المصرفي” عبر الهاتف المحمول. حيث لا يقوم هذا التطبيق بانتحال شكل التطبيق الرسمي للبنك كما هو الحال في “البرامج المزيفة” (Fake Apps) المذكورة في الفقرة السابقة. بل عادةً ما يكون هذا التطبيق تطبيقاً غير مرتبطٍ بالكامل مع تطبيق البنك (كتطبيق آلة حاسبة مثلاً) مع وجود حصان طروادة مثبت بداخله. عندما تقوم بتثبيت هذا التطبيق وتشغيله، يبدأ “حصان طروادة” المثبّت داخله بالبحث داخل هاتفك عن التطبيقات المصرفية.

عندما يكتشف هذا التطبيق تطبيقاً مصرفيّاً قُمْتَ توّاً بتشغيله، تعرض البرامج الضارة هذه بسرعةٍ نافذةً تبدو مشابهةً لتطبيق المصرف الذي قمت بتشغيله للتّو. وإذا تمّ ذلك بسلاسةٍ تامّة، فلن يلاحظ المستخدم العادي التبديل الحاصل وسيُدخل تفاصيله (اسم المستخدم وكلمة المرور) في صفحة تسجيل الدخول المزيفة التي عرضها التطبيق الخبيث. ثمّ يتم إرسال هذه التفاصيل إلى المخترق الذي قام بصنع البرنامج الخبيث.

تحتاج عادةً أحصنة طروادة هذه بالإضافة إلى اسم المستخدم وكلمة المرور، إلى رمز التحقق الواصل إلى هاتفك عن طريق الرسائل القصيرة (SMS) وذلك لإكمال عمليّة الاختراق. وللقيام بذلك، سوف يطلب التطبيق الخبيث الذي يحوي حصان طروادة غالباً امتيازات وصول في هاتفك لقراءة الرسائل القصيرة (SMS) وذلك أثناء تثبيته، حتى يتمكن من سرقة رموز التحقق فور وصولها إلى هاتفك.

1. 3. كيفية تجنّب اختطاف التطبيق (App Hijacking):

عند تنزيل التطبيقات (تطبيق البنك، أو تطبيق الآلة الحاسبة) من متجر التطبيقات، عليك ملاحظة عدد التنزيلات لهذا التطبيق. إذا كان عدد التنزيلات منخفضاً جداً والتقييمات أيضاً قليلة جدّاً أو معدومة، فمن السابق لأوانه أن تحكم عليه فيما إذا كان يحتوي على برامج ضارة أم لا.

بالإضافة إلى ما سبق، يتضاعف احتمال أن يكون التطبيق خبيثاً، إذا رأيت “تطبيقاً رسمياً” لبنكٍ شهيرٍ للغاية ولديه عددٌ صغيرٌ من التنزيلات، عندها من المحتمل أن يكون تطبيقاً مخادعاً!

وبالمثل، كُن حذراً مع الأذونات التي تمنحها للتطبيقات المثبتة على هاتفك. إذا طَلَبَتْ مِنْكَ لعبة تريد تثبيتها على هاتفك الحصول على أذونات قراءة الرسائل القصيرة دون أيّ تفسيرٍ لسبب رغبتها في ذلك، فابقِ في أمانٍ ولا تسمح لتطبيق اللعبة بالتثبيت على هاتفك وقم بإلغاء تثبيته على الفور. لا تقم مطلقاً بتثبيت التطبيقات من مواقع خارجية (مواقع غير Google Play وApp Store)، حيث من المحتمل أن تحتوي على برامج ضارة.

2. التصيّد الاحتيالي (Phishing):

عندما يصبح الجمهور أذكياء تجاه أساليب التصيّد الاحتيالي، يُصَعّد المخترقون من جهودهم لخداع الناس من خلال حثّهم على النقر على روابط خبيثة يقومون بمشاركتها معهم. تتمثّل واحدةٌ من أكثر الحيل لديهم في اختراق حسابات البريد الإلكتروني للمحامين والجهات الرسمية الموثوقة، ومن ثمّ إرسال رسائل البريد الإلكتروني الخاصة بالخداع من هذه العناوين الموثوقة.

ما يجعل هذا الاختراق خطيراً للغاية هو مدى صعوبة اكتشاف عمليّة الاحتيال. سيكون عنوان البريد الإلكتروني لمرسل الرسالة الواصلة إليك عنواناً موثوقاً، ويمكن للمخترق التحدّث إليك عبر البريد الإلكتروني (الموثوق) على أساس أنّه هو صاحب البريد الإلكتروني. هذا بالضبط ما حصل مع أحد الأشخاص الذي أراد شراء منزلٍ، حيث خسر ما يقارب 67000 جنيه إسترليني، على الرغم من أنّه قام بالرد على عنوان بريد إلكتروني موثوق عائد لمحامي نقل الملكية.

2. 1. كيفية تجنّب التصيّد الاحتيالي (Phishing):

إذا كان عنوان البريد الإلكتروني يبدو مشبوهاً، تعامل مع محتوياته بحذرٍ شديد. وإذا كان العنوان يبدو موثوقاً ولكنّ محتوياته مثيرةٌ للريبة وتُعْلِمُكَ أنّ خطأً ما قد حدث، فراجع ما إذا كان بإمكانك التحقق من صحّة هذا البريد الإلكتروني شخصياً مع الشخص الذي قام بإرساله – ويفضل أن تقوم بذلك عبر الهاتف وليس عبر البريد الإلكتروني، سيساعدك ذلك في حالة تعرّض البريد الإلكتروني الموثوق للاختراق من قبل المخترقين!

يمكن أيضاً للمخترقين استخدام التصيد الاحتيالي (Phishing)، كأحد الطرق لسرقة حساباتك على مواقع التواصل الاجتماعي.

3. راصد لوحة المفاتيح (Keyloggers):

طريقة الهجوم هذه هي إحدى الطرق الأكثر هدوءاً التي يستطيع بها المخترق الوصول إلى حسابك المصرفي. يعتبر راصد لوحة المفاتيح (Keylogger) نوعاً من البرامج الضارة التي تُسَجّل ما تكتبه على لوحة المفاتيح وترسل جميع المعلومات التي قام بتسجيلها إلى المخترق.

قد يبدو هذا غير واضحٍ في البداية، ولكن تخيّل ما سيحدث إذا قمت بفتح موقع البنك الخاص بك من متصفح الإنترنت أو حتى تطبيق البنك الرسمي، ثمّ قمت بكتابة اسم المستخدم وكلمة المرور الخاصين بك. سيقوم عندها “راصد لوحة المفاتيح” (Keylogger) بتسجيل وإرسال اسم المستخدم وكلمة المرور إلى المخترق، وهذا تماماً ما يحتاجه المخترق لاقتحام حسابك!

3. 1. كيفية تجنّب راصد لوحة المفاتيح (Keylogger):

قم بتثبيت برنامج مكافحة فيروسات ممتاز وتأكّد من قيامه بفحص النظام الخاص بك بشكل دوري. سيكتشف برنامج مكافحة الفيروسات الجيّد برامج رصد لوحة المفاتيح ويمحوها قبل أن تتسبب في أيّ ضرر.

إذا كان تطبيق المصرف الذي تتعامل معه يدعم المصادقة الثنائية (التحقق بخطوتين)، فتأكّد من تمكين هذا الخيار. يجعل هذا الخيار راصد لوحة المفاتيح أقلّ فعاليّة بكثير، لأنّ المخترق لن يكون قادراً على الحصول على رمز المصادقة حتى وإن حصل على تفاصيل تسجيل الدخول الخاصة بك، وذلك لسببين، أولاً أنّ رمز المصادقة يصل إلى هاتفك عبر الرسائل النصيّة، وثانياً أنّ الرمز صالحٌ للاستخدام مرّةً واحدة، وبالتالي حتى لو قام راصد لوحة المفاتيح بإرسال الرمز للمخترق، سيفقد الرمز قيمته عند استخدامك له أوّل مرّة، وسيتطلّب من المخترق الحصول على رمزٍ جديد.

4. هجوم الوسيط أو هجوم الرجل في الوسط (Man-in-the-Middle):

يستهدف أحد المخترقين في بعض الأحيان اتصالات البيانات بينك وبين موقع البنك الذي تتعامل معه من أجل الحصول على تفاصيل تسجيل الدخول الخاصة بك. وتسمّى هذه الهجمات “بهجوم الوسيط” أو “هجوم الرجل في الوسط” ويرمز لهذا الهجوم اختصاراً (MITM)، واسم هذا الاختراق يعرّف عن مضمونه؛ إذ يَحْدُثُ هذا الاختراق عندما يقوم المخترق باعتراض الاتصالات بينك وبين خدمةٍ شرعيّةٍ تستخدمها كالخدمات المصرفيّة.

عادةً ما ينطوي هجوم الوسيط على مراقبة خادم ويب غير آمن تتعامل معه وتحليل البيانات التي تمرّ عبره. عندما ترسل تفاصيل تسجيل الدخول الخاصة بك عبر هذه الشبكة، يقوم المخترقون باعتراض البيانات الخاصة بك المرسلة بينك وبين الخادم وسرقتها.

ومع ذلك، في بعض الأحيان، يستخدم المخترق طريقة هجومٍ تُعْرَفُ باسم “تسميم ذاكرة التخزين المؤقت لنظام أسماء النطاقات” (DNS Cache Poisoning) لتغيير الموقع الذي تزوره عند إدخال عنوان الموقع (URL) في شريط عناوين متصفح الإنترنت لديك. إنّ تسميم “ذاكرة التخزين المؤقت لنظام أسماء النطاقات” يعني أن زيارتك لموقع البنك خاصتك www.yourbankswebsite.com (على سبيل المثال) سينتقل بدلاً من ذلك إلى موقعٍ آخر مشابهٍ له في الشكل يملكه القراصنة. سيبدو هذا الموقع المستنسخ متطابقاً تماماً مع الموقع الحقيقي (موقع البنك)؛ فإذا لم تكن حذراً، فسوف ينتهي بك الأمر إلى إعطاء الموقع المزيف تفاصيل تسجيل الدخول الخاصة بك.

4. 1. كيفية تجنّب هجوم الوسيط (MITM):

لا تقم بأيّ أنشطةٍ حساسةٍ وأنت متصلٌ بشبكةٍ عامةٍ أو غير مؤمّنة. ابقَ على الجانب الحَذِر دوماً واستخدم شيئاً أكثر أماناً، مثل شبكة “واي فاي” (Wi-Fi) المنزليّة. وأيضاً، عند تسجيل الدخول إلى موقعٍ مهمٍّ وحساسٍ (موقع البنك مثلاً)، تحقّق دائماً من وجود كلمة “HTTPS” وليس “HTTP” في شريط العناوين في المتصفّح. إذا لم تكن هذه الكلمة موجودةً، فهناك احتمالٌ كبيرٌ أنّ الموقع الذي تقوم بالدخول إليه هو موقعٌ مزيّف!

إذا كنت تريد القيام بأنشطةٍ حساسةٍ عبر شبكة Wi-Fi عامة، فلماذا لا تتحكم أنت في خصوصيتك؟ تقوم خدمة VPN بتشفير بياناتك قبل أن يرسلها الكمبيوتر عبر الشبكة إلى الوجهة النهائيّة. إذا كان أيّ مخترقٍ يراقب اتصالك، فلن يشاهد سوى حزم البيانات المشفرة غير القابلة للقراءة. قد يكون اختيار VPN أمراً صعباً، لذا تأكد من الاطلاع على مقالنا بعنوان: “أفضل 10 برامج VPN مجانية تعمل للهواتف ومتصفح جوجل كروم”.

5. مبادلة SIM (الاحتيال عن طريق البطاقة SIM Swap):

تعدّ رموز التحقق عبر رسائل SMS من أكبر المشكلات التي يواجهها المخترقون. لسوء الحظ، لديهم طريقةٌ لتفادي طريقة التحقق هذه، وحتى أنّهم لا يحتاجون إلى هاتفك للقيام بذلك!

لإجراء “مبادلة SIM”، يقوم أحد المخترقين بالاتصال بمزود شبكة الهاتف الخليوي لديك، مدّعياً أنّه أنت. ويذكر أنّه فقد هاتفه، وأنه يرغب في نقل رقمه القديم (والذي هو رقمك الحالي) إلى بطاقة SIM الخاصة به.

إذا نجح المخترق في هذا، فإن مزودي الشبكة يجردون رقم هاتفك من بطاقة SIM الخاصة بك ويقومون بتثبيت رقم هاتفك على شريحة SIM الخاصة بالمخترق. قد يتمكّن المخترق من تحقيق ذلك من خلال معلوماتك الشخصيّة الكاملة التي يحصل عليها المخترق، وبالتالي حتى رموز التحقق بخطوتين باستخدام الرسائل النصيّة القصيرة لا يعتبر آمناً 100%.

وبمجرد أن يصبح رقم هاتفك على بطاقة SIM الخاصة بالمخترق، يمكنه التحايل على رموز الرسائل القصيرة بسهولة. عندما يقوم بتسجيل الدخول إلى حسابك المصرفي، يرسل البنك رمز التحقق عبر الرسائل القصيرة إلى هاتف المخترق بدلاً من هاتفك. ويمكنه بعد ذلك تسجيل الدخول إلى حسابك دون عوائق واستنزاف نقودك كيفما يشاء.

5. 1. كيفية تجنّب مبادلة SIM:

بطبيعة الحال، عادةً ما تطرح شبكات الجوّال أسئلةً للتحقق مما إذا كان الشخص الذي يطلب نقل رقم هاتفه إلى SIM أخرى هو في الحقيقة أنت. على هذا النحو، لإجراء اختراق “مبادلة SIM” ناجح، يقوم المحتالون عادةً بجمع معلوماتك الشخصية من أجل اجتياز هذه الأسئلة. وحتى مع ذلك، فإنّ بعض مزودي الشبكات لديهم أسئلة اختبار سهلة لعمليات نقل بطاقة SIM، مما يسمح للمخترقين بأداء هذه الخدعة بسهولة.

احتفظ دائماً بتفاصيلك الشخصية لتجنّب أيّ شخصٍ يحاول انتحال شخصيتك. كما يجدر بك التحقّق أيضاً مما إذا كان مزود خدمة الجوال يقوم بدوره من أجل حمايتك من هجوم “مبادلة SIM”. إذا احتفظت بتفاصيلك آمنةً وكان مزوّد الشبكة الخلويّة لديك حريصاً، فسوف يفشل أحد المتطفلين في التحقق من الهوية وانتحال شخصيتك عند محاولة “مبادلة SIM”.

الحفاظ على أموالك آمنة عند استخدام الخدمات المصرفية عبر الإنترنت:

الخدمات المصرفيّة عبر الإنترنت مريحةٌ للغاية لكلٍّ من العملاء والقراصنة على حدٍّ سواء. والحمد لله، يمكنك القيام بدورك للتأكّد من أنّك لست هدفاً لهذه الهجمات. عن طريق الحفاظ على أمان بياناتك، لن يكون أمام المخترقين الكثير من المعلومات عنك عندما يقررون استهداف مدخراتك الماليّة.

إذا كنت ترغب في معرفة المزيد عن طرق الحفاظ على أموالك آمنةً على شبكة الإنترنت، قمّ بقراءة مقالنا “6 نصائح هامة لتسوّق آمن على الإنترنت”. كما لا يقتصر الأمر على حسابك المصرفي فقط، إذ يستطيع القراصنة اليوم استهداف حتى السيارات المتصلة بالإنترنت أيضاً.

 

المصدر.

Source: Annajah.net
شارك

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

Stay informed and not overwhelmed, subscribe now!