«ساعة مجانية» كلفته 750 مليون جنيه.. تبخر ثروة رجل أعمال مصري بضغطة
خسر رجل أعمال مصري مؤخراً وديعة مالية تقدر بملايين الجنيهات.
رجل الأعمال وقع ضحية لعملية احتيال إلكتروني بدأت بعرض وهمي على الإنترنت للحصول على ساعة ذكية مجانية، بحسب صحف محلية.
الواقعة لم تكن نتيجة اختراق مباشر للحساب البنكي، وإنما جاءت بعد مشاركة صاحب الحساب رمز التحقق لمرة واحدة (OTP) مع المحتالين، بعدما تم إقناعه بأنه يحتاج إلى الرمز للحصول على الساعة الذكية ضمن عرض ترويجي مزيف.
وبمجرد أن أدخل الضحية رمز التحقق لمرة واحدة (OTP) في الموقع المزيف، معتقداً أنه يؤكد تسلم الساعة، منح المحتالين صلاحية فورية للوصول إلى حسابه، ليتم سحب الوديعة وتحويل نحو 750 مليون جنيه خارج الحساب خلال لحظات.
أسلوب خداع الأشخاص
هذا النوع من الجرائم يعتمد على خداع العملاء واستدراجهم للإفصاح عن بياناتهم السرية، ما يمنح المحتالين القدرة على تنفيذ المعاملات المالية دون الحاجة إلى اختراق الأنظمة المصرفية، بحسب خبير تكنولوجيا المعلومات، محمود فرج، مؤكداً ضرورة عدم مشاركة أي رموز سرية أو بيانات مصرفية مع أي جهة مهما كانت الأسباب.
وفي تطور جديد لأساليب الاحتيال الإلكتروني، كشفت شركة كاسبرسكي للأمن السيبراني، عن حملة تصيد إلكتروني واسعة ومنظمة استهدفت عملاء المؤسسات المالية في منطقة الشرق الأوسط وشمال أفريقيا ودول الخليج العربي، باستخدام إعلانات جذابة تروج للحصول على ساعة ذكية مجانية كوسيلة لاستدراج الضحايا.
وأوضح فرج لـ"العين الإخبارية"، أن خطورة هذه الحملة لا تكمن في فكرة الاستدراج نفسها، وإنما في مستوى التطور التقني المستخدم، مشيراً إلى أن المحتالين لم يعودوا يعتمدون على صفحات مزيفة بسيطة، بل أصبحوا ينشئون مواقع تحاكي المواقع الرسمية للبنوك بشكل دقيق من حيث الألوان والشعارات وتصميم الصفحات.
كيف تتم عملية الاحتيال الإلكتروني؟
وأشار إلى أن الهجوم يبدأ غالباً عبر إعلان ممول على منصات التواصل الاجتماعي يعد المستخدم بجائزة أو ساعة ذكية مجانية بالتعاون مع أحد البنوك، وبمجرد الضغط على الإعلان يتم تحويل الضحية إلى محادثة عبر تطبيقات التواصل أو إلى صفحة إلكترونية تقوده إلى موقع بنكي مزيف.
وأوضح أن الموقع الاحتيالي يطلب من المستخدم إدخال بيانات الدخول الخاصة بحسابه البنكي، ثم يستخدم تقنية تعرف باسم التحقق الفوري من بيانات الاعتماد في الزمن الحقيقي، حيث يتم اختبار البيانات المدخلة على الأنظمة الحقيقية للبنك.
وأضاف أن الموقع المزيف قد يعرض للمستخدم معلومات حقيقية عنه، مثل اسمه أو رسالة ترحيبية مخصصة، بهدف زيادة الثقة وتقليل الشكوك، ثم ينتقل الهجوم إلى المرحلة الأخطر عند طلب رمز التحقق لمرة واحدة.
وأكد خبير تكنولوجيا المعلومات أن المحتالين يكونون في تلك اللحظة قد بدأوا بالفعل محاولة الدخول إلى الحساب الحقيقي، وينتظرون حصولهم على رمز التحقق من الضحية لإتمام العملية قبل انتهاء صلاحية الرمز.
عدم الانسياق وراء العروض والإعلانات
وأشار إلى أن هذا الأسلوب يعرف باسم "التصيد اللحظي"، حيث يعتمد على التواصل المباشر مع الضحية في الوقت الحقيقي، لافتاً إلى أن المهاجمين يستفيدون بشكل متزايد من أدوات الذكاء الاصطناعي في إنشاء محتوى الإعلانات وتصميم المواقع المزيفة، ما يجعل الحملات الاحتيالية أكثر احترافية وانتشاراً.
وحذر من الانسياق وراء العروض المغرية أو إعلانات الجوائز المرتبطة بالبنوك على وسائل التواصل الاجتماعي، ونصح باستخدام التطبيقات الرسمية فقط للدخول إلى الحسابات البنكية، وكتابة عناوين المواقع المصرفية يدوياً بدلاً من الدخول عبر الروابط المرسلة.