تخيل أنك تتصفح فيسبوك أو إنستغرام بشكل عادي، فتظهر أمامك رسالة تقول: "مبروك... تم اختيارك للحصول على ساعة ذكية مجانًا". تضغط بدافع الفضول، ثم تنتقل إلى واتساب، وبعدها إلى صفحة تبدو مطابقة تمامًا لموقع البنك الذي تتعامل معه.
في هذه اللحظة، قد تظن أنك توثق هويتك لاستلام الجائزة، بينما الحقيقة أنك قد تكون على بعد خطوات قليلة من تسليم بيانات حسابك البنكي بنفسك إلى محتال ينتظرها.
حملة "الساعة الذكية" هي عملية تصيد إلكتروني متطورة تستغل إعلانات مزيفة وصفحات تشبه مواقع البنوك لخداع الضحية وإقناعها بإدخال بيانات الدخول ورمز OTP، ما قد يسمح للمهاجم بمحاولة تنفيذ عمليات على الحساب دون اختراق أنظمة البنك.
كيف تبدأ عملية الاحتيال؟
وفقًا لتقرير نشرته شركة الأمن السيبراني CTM360، تبدأ القصة بإعلان يبدو طبيعيًا على منصات التواصل الاجتماعي. قد يعدك الإعلان بساعة ذكية مجانية، أو خصم كبير، أو دخول سحب على جائزة.
بعد الضغط على الإعلان، يتم توجيهك غالبًا إلى محادثة على WhatsApp، وهناك يصلك رابط لموقع يبدو مطابقًا تقريبًا للموقع الرسمي للبنك.
الخطأ الذي يقع فيه كثير من الضحايا
عندما يرى المستخدم شعار البنك وتصميم الموقع، يشعر بالاطمئنان ويبدأ في إدخال اسم المستخدم وكلمة المرور، معتقدًا أن كل شيء طبيعي.
لكن المفاجأة أن الصفحة ليست تابعة للبنك، بل صُممت خصيصًا لسرقة هذه البيانات وإرسالها مباشرة إلى المهاجم.
لماذا تبدو الصفحة حقيقية؟
المهاجمون لم يعودوا يعتمدون على صفحات بدائية كما كان يحدث قبل سنوات. اليوم أصبحت الصفحات المزيفة أكثر احترافية، وبعضها يستخدم أدوات ذكاء اصطناعي لتقليد المواقع الأصلية بدرجة تجعل اكتشافها صعبًا على المستخدم العادي.
المفاجأة الأخطر... الموقع يعرف إذا كانت بياناتك صحيحة!
الجديد في هذه الحملة أنها لا تكتفي بجمع أي بيانات، بل تستخدم تقنية تعرف باسم Account Validation.
ببساطة، إذا أدخلت بيانات خاطئة، يطلب منك الموقع إعادة المحاولة. أما إذا كانت صحيحة، فينتقل بك إلى الخطوة التالية، وهي طلب رمز OTP أو Mobile Token، لتشعر أن كل شيء يسير بشكل طبيعي.
ماذا يحدث بعد إدخال رمز OTP؟
هنا تبدأ أخطر مرحلة في عملية الاحتيال. فبعد أن يحصل المهاجم على اسم المستخدم وكلمة المرور، يحتاج غالبًا إلى رمز التحقق المؤقت OTP أو رمز Mobile Token لإكمال تسجيل الدخول أو تنفيذ معاملة بنكية.
الموقع المزيف يقنع الضحية بأن إدخال هذا الرمز مجرد خطوة لتأكيد الهوية أو استلام الجائزة، بينما يكون المهاجم في الخلفية يستخدم الرمز لإتمام العملية على الحساب الحقيقي.
بمعنى آخر، أنت لا تمنح المحتال كلمة المرور فقط، بل تمنحه أيضًا المفتاح الأخير الذي يحتاجه للدخول إلى حسابك.
هل تذكرك هذه الطريقة بحادثة عميل CIB؟
خلال الأيام الماضية، أثارت واقعة أحد عملاء البنك التجاري الدولي (CIB) جدلًا واسعًا بعد إعلانه فقدان نحو 57 مليون جنيه من حساباته، مطالبًا بالتحقيق في ما حدث.
وفي المقابل، أوضح أحمد عز العرب، رئيس مجلس إدارة البنك، أن العميل قام بإدخال رمز OTP بنفسه بعد تعرضه لعملية احتيال مرتبطة بعرض للفوز بساعة ذكية، مؤكدًا أن رمز التحقق لا يمكن الحصول عليه من البنك أو توليده من طرف آخر.
ولا توجد حتى الآن جهة رسمية أعلنت أن هذه الواقعة هي نفسها الحملة التي وثقتها شركة CTM360، لكن التشابه في أسلوب الخداع يوضح كيف أصبحت الهجمات الحديثة تعتمد على إقناع الضحية بإتمام العملية بنفسها، بدلًا من محاولة اختراق أنظمة البنوك.
لا يستطيع أي موظف بنك، ولا أي شركة، ولا أي جهة رسمية أن تطلب منك رمز OTP أو Mobile Token عبر الهاتف أو الرسائل أو مواقع الجوائز. هذا الرمز مخصص لك وحدك، وأي شخص يطلبه منك يحاول في الغالب تنفيذ عملية على حسابك.
7 قواعد تحمي حسابك البنكي من هذا النوع من الاحتيال
- لا تضغط على إعلانات الجوائز التي تطلب بياناتك البنكية.
- اكتب عنوان موقع البنك بنفسك ولا تعتمد على الروابط المرسلة في الرسائل أو الإعلانات.
- لا تشارك رمز OTP أو Mobile Token مع أي شخص مهما كانت صفته.
- إذا وصلك رابط عبر WhatsApp، تعامل معه بحذر شديد حتى لو بدا مقنعًا.
- فعّل إشعارات العمليات البنكية حتى تعرف أي حركة تتم على حسابك فورًا.
- إذا ساورك الشك، أغلق الصفحة واتصل بخدمة العملاء من الرقم الرسمي للبنك.
- تذكر دائمًا أن الهدية الحقيقية لا تحتاج إلى تسجيل الدخول إلى حسابك البنكي.
افعل ولا تفعل
| افعل | لا تفعل |
|---|---|
| ادخل إلى البنك من التطبيق الرسمي. | لا تدخل من رابط وصلك عبر إعلان. |
| تحقق من عنوان الموقع قبل تسجيل الدخول. | لا تعتمد على شكل الصفحة فقط. |
| احتفظ برمز OTP لنفسك. | لا تشاركه مع أي شخص. |
| اتصل بالبنك إذا شككت في أي رسالة. | لا تتسرع خوفًا من ضياع الجائزة. |
| تابع حملات التوعية الأمنية الخاصة بالبنك. | لا تثق في أي عرض يبدو أفضل من اللازم. |
الأسئلة الشائعة
هل يمكن سرقة حسابي البنكي إذا عرف المحتال كلمة المرور فقط؟
في كثير من الحالات يحتاج المهاجم أيضًا إلى رمز تحقق مثل OTP أو Mobile Token، لذلك لا تشارك هذه الرموز مع أي جهة مهما كان السبب.
كيف أعرف أن الموقع مزيف؟
تحقق من عنوان الموقع، ولا تعتمد على التصميم فقط. فالمحتالون أصبحوا قادرين على إنشاء صفحات تشبه المواقع الأصلية بدرجة كبيرة.
ماذا أفعل إذا أدخلت بياناتي في صفحة مشبوهة؟
غيّر كلمة المرور فورًا إذا أمكن، ثم تواصل مع البنك مباشرة لإيقاف أي عمليات مشبوهة ومراجعة تأمين حسابك.
الخلاصة
أصبحت عمليات الاحتيال الإلكتروني أكثر ذكاءً من أي وقت مضى، ولم تعد تعتمد على رسائل مليئة بالأخطاء أو مواقع رديئة التصميم. اليوم قد تواجه صفحة تبدو مطابقة تمامًا لموقع البنك، ورسائل مكتوبة باحتراف، وإعلانات تظهر على منصات تستخدمها يوميًا.
لهذا السبب لم يعد السؤال: "هل الموقع يبدو حقيقيًا؟" بل أصبح: "هل وصلت إليه بالطريقة الصحيحة؟". هذه التفاصيل البسيطة قد تكون الفارق بين إغلاق الصفحة في الوقت المناسب أو خسارة بياناتك البنكية.
إذا رأيت إعلانًا يعدك بساعة ذكية، أو هاتف مجاني، أو جائزة كبيرة مقابل تسجيل الدخول بحسابك البنكي، فتذكر قاعدة بسيطة: البنوك لا توزع الجوائز بهذه الطريقة، ولا تطلب منك أبدًا إدخال كلمة المرور أو رمز OTP لاستلام هدية. دقيقة واحدة من التحقق قد توفر عليك سنوات من الندم.
