في ظل التطور التكنولوجي السريع، وتزايد الاعتماد على المعاملات المالية الرقمية وتطبيقات الدفع الإلكتروني، يبتكر المحتالون وخبراء الهندسة الاجتماعية أساليب متجددة تخدع حتى الأشخاص الحذرين. مؤخراً، انتشرت موجة جديدة من الاحتيال الإلكتروني تستهدف عملاء البنوك في مصر، وتحديداً عملاء البنك التجاري الدولي (CIB)، مستغلةً رغبة الكثيرين في الحصول على هدايا ومكافآت مجانية.
في هذا المقال الشامل، سنكشف لكم بالتفصيل والخطوات والتحليل التقني كيف تبدأ هذه النصبة، وكيف يتورط الضحية بإرادته، والسيناريو الكارثي الذي تسبب في خسارة أحد العملاء لمبلغ ضخم تخطى النصف مليون جنيه!
1. البداية: الإعلان الممول واللوجو الخادع
تبدأ الرحلة بإعلان ممول يظهر للمستخدمين أثناء تصفح منصات التواصل الاجتماعي (مثل فيسبوك). يستغل النصابون التصميم الهوياتي للبنك بدقة عالية، حيث يتم وضع شعار البنك التجاري الدولي (CIB) بشكل بارز لإضفاء طابع الرسمية والمصداقية على المنشور.
يحمل الإعلان عبارات براقة وجاذبة مثل: "اطلب الساعة الذكية مجاناً لعملاء البنك التجاري.. عرض حصري لفترة محدودة".
الثغرة الأمنية الأولى (وعي المستخدم):
إذا نظر المستخدم بدقة إلى اسم الصفحة التي تبث الإعلان، سيجد أنها صفحة وهمية تماماً تحمل اسماً عشوائياً غير مفهوم (مثل حسابات وهمية بأسماء عشوائية لا علاقة لها بالبنك)، كما أنها تفتقر إلى شارة التوثيق الزرقاء. لكن بريق كلمة "مجاناً" يُعمي الكثيرين عن ملاحظة هذه التفاصيل الفاصلة.
2. الانتقال إلى تطبيق "واتساب" والدردشة المنظمة
بمجرد الضغط على زر الإعلان، لا يتم توجيه المستخدم إلى الموقع الرسمي للبنك، بل يتم تحويله مباشرة إلى محادثة عبر تطبيق واتساب (WhatsApp) مع رقم مجهول يحمل صورة البنك.
هنا يبدأ النصاب بالتعامل باحترافية شديدة مستخدماً أسلوب "خدمة العملاء":
يرسل رسالة ترحيبية آلية: "أهلاً وسهلاً بحضرتك.. هل حضرتك من عملائنا في بنك CIB؟"
يطلب الاسم والبيانات الأساسية لإيهام الضحية بأنه يقوم بتسجيله في كشوف "الفائزين بالهدية".
3. هندسة الاختراق: السقوط في فخ الـ OTP
بعد كسب ثقة الضحية، يرسل المحتال رابطاً خارجياً يزعم أنه صفحة الشحن أو صفحة تأكيد استلام الساعة الذكية، ويطلب من المستخدم إدخال بيانات بطاقته البنكية (رقم الكارت، تاريخ الانتهاء، والرقم السري الخلفي CVV).
في هذه الأثناء، يقوم النصاب في الخلفية بفتح تطبيق البنك أو محاولة إجراء عملية شراء دولية أو تحويل مالي مستخدماً البيانات التي أدخلها الضحية للتو. هنا تتدخل منظومة الأمان في البنك وترسل للمستخدم رمز OTP (One-Time Password) وهو رمز الأمان لمرة واحدة لتأكيد العملية.
لحظة الكارثة:
يطلب النصاب من الضحية إدخال رمز الـ OTP في الرابط أو إرساله له عبر المحادثة بذريعة "تأكيد شحن الساعة المجانية". بمجرد أن يقوم المستخدم بكتابة الرمز، يُعطي النصاب الضوء الأخضر لإتمام عملية السحب، لتتحول "السمارت واتش" المجانية إلى بوابة لسرقة كل رأس المال!
4. الحصيلة الصادمة وموقف البنك القانوني
رصدت منصات التواصل الاجتماعي مؤخراً شكوى حية لعميل تم سحب مبلغ 570 ألف جنيه مصري من حسابه البنكي بالكامل عبر هذه الحيلة. وعند تقدمه بشكوى لإدارة البنك، جاء الرد القانوني الصادم والمباشر:
"لقد دخلت على رابط احتيالي، وقمت بإدخال رمز الـ OTP بكامل إرادتك، وهو ما يعد تفويضاً رسمياً منك لإتمام المعاملة، وبالتالي لا يمكن للبنك قانونياً استرداد الأموال أو إلغاء العملية."
البنوك توفر أقصى درجات التشفير والحماية، لكن عندما يقوم العميل بتسليم "مفتاح الخزنة الإلكتروني" (الـ OTP) للمحتال بنفسه، تسقط المسؤولية القانونية عن البنك، وتصبح استعادة الأموال أمراً شبه مستحيل.
كيف تحمي نفسك وأموالك؟ (نصائح ذهبية)
- لا توجد هدايا مجانية: تذكر دائماً القاعدة الذهبية في عالم الإنترنت: "إذا كانت السلعة مجانية، فأنت السلعة". البنوك لا توزع ساعات ذكية ولا هواتف بالمجان عبر إعلانات ممولة.
- سرية الـ OTP: رمز الأمان لمرة واحدة (OTP) هو بمثابة توقيعك الشخصي على الشيك. لا تشاركه مع أي شخص، ولا تمليه لموظف خدمة العملاء، ولا تضعه في أي رابط خارجي مهما كانت الأسباب.
- التحقق من الحسابات الرسمية: العروض الحقيقية للبنوك تُنشر فقط وحصرياً على الموقع الإلكتروني الرسمي للبنك أو صفحاته الموثقة بالعلامة الزرقاء على منصات التواصل.
- تجنب روابط الواتساب: البنوك لا تدير عمليات تفعيل الحسابات أو تسليم الجوائز عبر محادثات الواتساب العشوائية.
شارك هذا المقال مع عائلتك وأصدقائك لرفع مستوى الوعي المالي وتجنب الوقوع في شباك هذه العصابات الإلكترونية.
تابعونا على موقع Dragon4Tech لمزيد من الشروحات التقنية وتحذيرات الأمن السيبراني أولاً بأول.
فديو لمزيد من الشرح
