14 ألف عملية احتيال شهريا عبر الأنترنت

حذر مصرفيون متخصصون في أمن المعلومات من الآثار والمخاطر التي قد يتعرض لها الحساب المصرفي للعميل جراء تهاونه في اتخاذ التدابير اللازمة لحماية وتأمين معلوماته الشخصية وأرقامه السرية خلال تنفيذه معاملاته المالية عبر الخدمات المصرفية الإلكترونية.
وأجمع خبراء في أمن المعلومات المصرفية على أن استخدام هذه التقنية يصاحبها مخاطر حقيقية في احتمالية فقدان المعلومات أو تعديلها من دون إذن أو استخدامها بطريقة غير شرعية. إن هذه الوسيلة التي يسرت الكثير من الأمور وكانت عوناً في توفير الوقت والجهد، يمكن أن يكون لها آثار ومخاطر عالية يجب العمل على تجنبها أو تقليلها كي تتم الاستفادة الكاملة من هذا التطور الهائل دون حدوث أضرار سلبية. ولإلقاء المزيد من الضوء حول هذا الجانب عقدت "الاقتصادية" ندوة حضرها مديرو أمن المعلومات في كل من مؤسسة النقد العربي السعودي، مجموعة سامبا المالية، مصرف الراجحي، البنك العربي الوطني, وشركة الحلول المتميزة، والتفاصيل في السياق التالي:

ما مدى اعتماد البنوك العاملة في المملكة على التقنية في الوقت الحاضر؟
أوضح صقر الحارثي، مدير أمن المعلومات في مؤسسة النقد العربي السعودي، أن المصارف العاملة في المملكة العربية السعودية خطت خطوات رائدة ومهمة في سعيها نحو الاستغلال الأمثل للتقنية، فأصبحت جميع تلك المصارف تقوم حالياً بتقديم خدماتها المصرفية عبر الإنترنت، وذلك مقارنةً ببنكين فقط عام 2000. وقد واكب هذه التطورات تنوع وتميز في تلك المنتجات والخدمات التي تقدم عبر الشبكة العالمية، حتى أضحت كمثيلاتها في أكثر الدول تقدماً، حيث تشير الدراسات إلى أن نسبة عملاء هذه المصارف المستفيدين من الخدمات المصرفية عبر الإنترنت قارب 15 في المائة عام 2004، من إجمالي العملاء، وما نسبته 18 في المائة في عام 2005، ويتوقع أن تبلغ النسبة 22 في المائة بنهاية عام 2006.
كما أن الخدمات المصرفية الإلكترونية عن طريق الإنترنت أكثر أهمية هذه الأيام في ظل الاندفاع الواضح من قبل المواطنين للمتاجرة في سوق الأسهم، وظهور نمط جديد من أنماط التجارة وزيادة الدخل، التي تعتمد كثيرا على تقنية الإنترنت في المضاربة وبيع الأسهم وشرائها باستخدام خدمة تداول الأسهم التي تقدمها البنوك لعملائها.
كما منحت خدمة تداول الأسهم عن طريق الإنترنت عملاء البنوك قدرا كبيرا من الثقة في الخدمات التقنية الإلكترونية عامة، حيث إنها فتحت المجال للعملاء لتجربة الخدمات التقنية والاعتماد عليها والاستغناء عن العمليات البنكية التقليدية بعد ثبات فعاليتها، وموثوقيتها، إلى جانب سهولتها وتوفيرها عنصر الراحة لهؤلاء العملاء.

ما مدى حاجة القطاع المصرفي تحديداً إلى نظام الأمن المعلوماتي؟
أكد صقر الحارثي أن الإقبال الكبير على التقنية الحديثة وخدمات الإنترنت قد يصاحبه بعض المخاطر الحقيقية، لذا فأمن المعلومات يشكل حجر الزاوية لإنجاح هذه التقنية، لأن إحساس المستخدم بالأمان تجاه هذه التقنية يشكل دافعاً لإعادة استخدامها والاعتماد عليها مستقبلاً في العديد من المجالات. وبلا شك يعتبر القطاع المصرفي من أهم القطاعات التي تتطلب وجود نظام أمن معلوماتي شامل وقوي كفيل بحماية الشبكة الإلكترونية من الأخطار التي تواجهها، إضافة إلى حماية حقوق الأفراد والشركات التي تتعامل مع التقنية الحديثة وحماية الاقتصاد بشكل عام، وبدون أمن المعلومات سيزداد خطر ضياع الحقوق وتنعدم الثقة بهذه التقنية.
وليس هناك أدنى شك في أن من أهم المعلومات التي يجب أن يحرص عليها كل مستخدم هي المعلومات المصرفية الإلكترونية الخاصة به والشخصية، فهذه المعلومات لها أهمية وحساسية عالية، مما يجعل حمايتها من التخريب أو الاختراق سواء من مصادر داخلية أو خارجية مسؤولية كبيرة، لذلك تنصب مهمة المسؤولين عن أمن المعلومات على حماية وحفظ هذه المعلومات وتقديمها للمصرح إليهم فقط للاطلاع عليها سليمة وكاملة ومفهومة.

أين تكمن مصادر الخطورة التي تواجهها الأنظمة المصرفية الإلكترونية؟
قال الحارثي إن الدراسات والإحصائيات العالمية أثبتت أن نحو 50 إلى 70 في المائة من المخاطر والثغرات الأمنية التي يتعرض لها أي نظام تقني ناتجة عن مصادر خارجية، وتتم من خلال استخدام شبكة الإنترنت، التي دائماً ما تكون إما بخطأ تقني أو بخطأ بشري يعزى سببه الرئيسي لعدم المعرفة وقلة الوعي من قبل المستخدمين (العملاء) بأنواع المخاطر التي يمكن أن يتعرض لها العميل عند استخدام شبكة الإنترنت لإجراء أي عملية مالية.

في ظل التقدم التقني الحاصل، واعتماد المستخدمين على الخدمات الإلكترونية في تعاملاتهم البنكية، كيف تقيمون جهود البنوك في حماية أنظمتها الإلكترونية؟
أكد الحارثي أن القائمين على القطاع المصرفي في المملكة اهتموا منذ البداية بالتركيز على بناء نُظُم أمن معلومات قوية وشاملة تتوافق مع ما تم إنجازه تقنياً في الأنظمة الأخرى، حيث وضعت السياسات والإجراءات الأمنية المناسبة والشاملة، وركزت على الهدف الاستراتيجي لأمن المعلومات ألا وهو: تقليص المخاطر في بيئة الأنظمة المصرفية الحديثة ليتسنى للعملاء أن يمارسوا أعمالهم بحرية وثقة متناهية. كما ركز القائمون على القطاع المصرفي على عدة أهداف تنظيمية مهمة للاستفادة وتسهيل إجراءات إستخدام هذه التقنية، ومنها: وضع الخطط والإجراءات الأمنية والاحترازية للتعاملات المصرفية وتعميمها على جميع المصارف العاملة في المملكة، وتشكيل لجان رسمية دائمة تختص بأمن المعلومات تشمل جميع المصارف العاملة في المملكة، لتبادل الخبرات والمعلومات حول المخاطر المشتركة كالفيروسات والثغرات الأمنية، والالتزام بمعايير صارمة لأمن المعلومات وإنشاء البنية التحتية الفعالة، ويأتي في مقدمتها مشروع مركز الثقة في التجارة الإلكترونية الذي نفذته مؤسسة النقد العربي السعودي (ساما) بالتعاون مع المصارف، حيث يطرح هذا المشروع حلولاً للكثير من المخاطر الأمنية التي تعوق التوسع في الخدمات المصرفية عبر الإنترنت برصد ومكافحة تلك الأخطار والتهديدات. ويعتمد هذا المشروع بشكل أساسي على نظام المفاتيح العمومية PKI، كما يتم من خلاله إصدار تواقيع إلكترونية مع المحافظة على موثوقية البيانات.

لا يخفى أن التقنية الإلكترونية تواجه مخاطر عديدة في شتى بلدان العالم، ولأهمية معرفة هذه المخاطر، نود تقديم شرح لهذه المخاطر، وطرق مواجهتها والوقاية منه؟
بين الحارثي أن من أهم المخاطر التي تواجه التقنية الإلكترونية التي تعاني منها معظم الشبكات الإلكترونية في العالم هي: الاستدراج، والفيروسات وبرامج التجسس، والهندسة الاجتماعية Social Engineering، والمحافظة على كلمة السر وخطر إفشائها، إضافة إلى سرقة الهوية.

الخطر الأول: الاستدراج PHISHING

أوضح أمين نجم، مساعد مدير عام العمليات والتقنية في مجموعة سامبا المالية، أن الاستدراج هو في غالب الأحيان عبارة عن طريقة احتيال تتم عن طريق البريد الإلكتروني، حيث يقوم المحتال بالادعاء أنه من طرف مصرف مالي أو شركة بطاقات ائتمانية أو مقدم خدمة إلكترونية أو متجر كبير .. إلخ، وحيث إن شخصية المحتال يمكن إخفاؤها بالبريد الإلكتروني يقوم المحتال بإرسال رسائل عن طريق البريد الإلكتروني تبدو كأنها مرسلة من جهة رسمية (بدعوى أن هنالك مشكلة في حساب العميل أو في النظام المستخدم بغرض تحديث المعلومات)، محاولا خداع العميل لكي يكشف له عن رقمه السري أو رقم بطاقة الأحوال/ الإقامة أو بعض المعلومات الخاصة الأخرى.
وأشار نجم إلى أن الاستدراج يعتبر من أسرع طرق الاحتيال عن طريق الإنترنت نمواً في العالم. وحسب إحصائيات مجموعة العمل للحماية من الاستدراج APWA أوضحت أن هذه العمليات زادت بمعدل 178 في المائة ما بين شهري آذار (مارس) ونيسان (أبريل) عام 2004، وبمتوسط 14 ألف عملية شهرياً في جميع أنحاء العالم.
وفي إطار الجهود المبذولة للحد من هذا الخطر، أكد نجم اهتمام القائمين على القطاع المصرفي في المملكة بالتنسيق مع الجهات المختصة لإغلاق أي موقع مشبوه يتم اكتشافه، وملاحقة منشئ الموقع قضائياً. مشيرا إلى أنه عادة ما يتبع العاملون في القطاع المصرفي أساليب التوعية والإرشاد وتثقيف العملاء عن عمليات الاحتيال ومستجداتها، لقطع الطريق أمام المحتالين، وذلك عن طريق النشرات الدورية والمواقع الإلكترونية والرسائل البريدية، والرسائل التحذيرية عن طريق أجهزة الصرف الآلي.. وغيرها. مضيفاً "لكن للأسف الشديد فإن معظم العملاء لا يأخذون هذه التحذيرات مأخذ الجد، مما يعرضهم للوقوع ضحايا لعمليات الاختراقات والاختلاسات التي يمارسها هؤلاء المحتالون".
ويرى نجم أنه كي يتمكن العميل من كشف وتفادي مخاطر الاستدراج، يجب عليه اتباع الإجراءات التالية، وهي:
1- يجب التعامل مع مراسلات البنك عن طريق البريد الإلكتروني بحذر شديد خصوصاً الرسائل غير الموقعة. وعدم الرد على هذه الرسائل أو الضغط على أي رابط بداخل الرسالة.
2- الاتصال بالبنك للتأكد من صحة المعلومات الواردة على بريد العميل أو زيارة الموقع الإلكتروني الرسمي للبنك لمعرفة حقيقتها.
3- يجب الانتباه إلى أن السياسات والأنظمة الأمنية الإلكترونية للقطاع المصرفي تنص على عدم إرسال أو استقبال أي معلومات خاصة بالعميل عن طريق البريد الإلكتروني، إلا في حالات الضرورة وبعد التنسيق مع العميل مسبقاً.
4- عند إدخال معلومات خاصة على الموقع الإلكتروني، يجب التأكد من وجود قفل في أسفل المتصفح بالجهة اليمنى وأن تتصدر كلمة https بداية عنوان الموقع.
5- يجب إرسال أي رسالة بريدية إلكترونية مشبوهة تصل العميل من خلال العنوان البريدي الإلكتروني إلى البنك.

الخطر الثاني: الفيروسات وبرامج التجسس

يقول عبد الرحمن الشتوي مدير أمن المعلومات في شركة الحلول المتميزة "تعرف الفيروسات على أنها برامج حاسوبية خبيثة، وتنتشر إما تلقائياَ وهو ما يسمى الدودة Worm، أو عن طريق مستخدم متعمد. وقد تطورت الفيروسات سواء من حيث تأثيرها، ومستوى الخسائر التي تلحقها، ومن حيث طريقة انتشارها، حيث كانت في السابق تنتشر عن طريق الأقراص المرنة Floppy Disks، والأقراص المدمجة CD ROMs، أما الآن فقد أصبحت تنتشر عن طريق البريد الإلكتروني، إضافة إلى مواقع الإنترنت الخبيثة والمشبوهة".
وأشار الشتوي إلى انتشار عدة فيروسات في الفترة الماضية مثل: بلاستر، سلامر، لوف بوق، وغيرها من الفيروسات التي كان لها تأثير سلبي كبير على الشركات والمستخدمين وسببت خسائر مالية غير مسبوقة.
أما بالنسبة إلى برامج التجسس، التي تعتبر أحدث من برامج الفيروسات نسبياَ، ذكر الشتوي أن هذه البرامج تكون موجودة في أجهزة المستخدمين (العملاء)، وتقوم بالتصنت عليهم لمعرفة عاداتهم في استخدام الإنترنت أو التصفح. وتعد هذه العملية إحدى الوسائل التسويقية الإلكترونية، أو في أسوأ الحالات أداة للحصول على الأرقام السرية الخاصة بالمستخدم وإرسالها إلى صناع هذه البرامج. ويمكن أن نضيف لهذه البرامج برامج ما يسمى حصان طروادة Trojan Horses أو برامج .Key Loggers

ما حجم المشاكل التي خلفتها الفيروسات وعمليات التجسس سواء على المستوى المحلي أو العالمي؟
يقول الشتوي "للأسف أصبحت الفيروسات جزءا من حياتنا اليومية في المنزل أو المكتب، وبات بالتالي التأكد من وضع حلول ناجعة لتقليل الخسائر والحماية منها أمر لا مفر منه".
وأشار إلى أن الإحصائيات الدولية أكدت أن حجم الخسائر الناتجة عن الفيروسات أصبح عاليا جداَ ومؤثرا بشكل كبير، حيث أكدت إحدى الدراسات التي قامت بها صحيفة US TODAY، أن حجم الخسائر من جراء انتشار فيروس أو (دودة بلاستر) فاقت ملياري دولار، وأثرت على نحو 500 ألف جهاز حاسب آلي، في حين أن فيروس I Love Bug كبد خسائر تصل إلى عشرة مليارات دولار.

ما الإجراءات الاحترازية التي يقوم بها القطاع المصرفي لتفادي هذا الخطر؟ وما دور العميل في مواجهة ذلك؟
أشار صقر الحارثي إلى أن القطاع المصرفي يقوم حالياً بعدة خطوات في هذا المجال منها: تطبيق أنظمة حماية متقدمة مضادة للفيروسات على جميع شبكات البنوك، والمتابعة والتأكد من خلو البريد الإلكتروني المرسل من البنك إلى عملائه من الفيروسات، وأخذ نسخ احتياطية لبرامج ومعلومات العملاء بشكل دوري، وحفظها في مكان آمن، وتوعية عملاء البنوك من الفيروسات وتوجيههم باستخدام برامج أصلية للحماية منها.
كما تجدر الإشارة إلى أنه للوقاية من خطر الفيروسات وعمليات التجسس يجب على العميل القيام بما يلي:
1- شراء برامج أصلية لأنظمة التشغيل والحماية من الفيروسات والتجسس.
2- التأكد من تحديث أنظمة التشغيل وبرامج الحماية من الفيروسات والحماية من التجسس بشكل دوري وآلي.
3- تشغيل هذه البرامج بشكل دوري للتأكد من خلو الأجهزة من الفيروسات وبرامج التجسس.
4- عدم فتح رسائل البريد الإلكتروني أو الملفات أو إنزال برامج من مصادر أو مواقع مشبوهة أو غير معروفة في الإنترنت.
5- عدم تخزين الأرقام السرية في برامج تصفح الإنترنت آلياَ.
6- القيام بأخذ نسخ احتياطية للملفات المهمة للمستخدم.

في حال تعرض العميل لخطر برامج التجسس والفيروسات، ما التوصيات والنصائح التي يجب العمل بها؟
نصح عبد الرحمن الشتوي العملاء في حال تعرضهم لهذا الخطر القيام باستخدام برامج أصلية لتنظيف أجهزتهم من الفيروسات وبرامج التجسس، وتغيير الأرقام السرية الخاصة بالتعاملات المالية والبنكية فوراَ، وخاصة عند اكتشاف وجود برامج تجسس في الجهاز، ومتابعة الحسابات البنكية التقليدية أو عن طريق الإنترنت حتى لا يتم استخدامها بطريقة غير مشروعة، إضافة إلى متابعة النشرات الإخبارية الخاصة بمستجدات المخاطر الإلكترونية التي يتم نشرها عن طريق الموقع الرسمي للبنك أو النشرات الإخبارية في وسائل الإعلام المرئية والمسموعة وصفحات الإنترنت للتحذير من أية مخاطر حديثة، مع ضرورة فصل جهاز الحاسب الآلي الخاص بالعميل عن الإنترنت أو أي شبكة موصول بها.

الخطر الثالث: عدم المحافظة على كلمة السر وخطر إفشائها!

يشير عبد الكريم الشيحة مدير أمن المعلومات في مصرف الراجحي، إلى أن كلمة السر هي أداة أساسية للتوثيق (أو التصديق) للتأكد من شخصية العميل في الوسائل الإلكترونية، لذلك فإنها مع اسم المستخدم يعتبران الهوية الإلكترونية. وتستخدم كلمات السر في مجالات عدة منها التعاملات المصرفية الإلكترونية (كالإنترنت والصراف الآلي والهاتف المصرفي)، والدخول إلى أنظمة الحاسب الآلي والشبكات.
ولفت إلى أنه من الملاحظ عدم التعامل بجدية في التعامل مع كلمات السر من قبل العديد من المستخدمين، وذلك بسبب شيوع استخدامها، فغالباً ما يفشي العميل لأشخاص آخرين كلمات السر الخاصة به، أو يجعلها مكتوبة في ورقة بالقرب من الحاسب الآلي، غير مدرك للمخاطر التي تترتب على ذلك. ويجب إيمان العميل بأن كلمة السر مع اسم المستخدم يعتبران الهوية الإلكترونية له.
ويرى الشيحة أن من أهم الطرق التي يمكن من خلالها اكتشاف تلك الهوية:
1- مشاركة وإفشاء العميل كلمة السر الخاصة به للآخرين.
2- كتابة كلمة السر في مكان يُمَكّن الآخرين من الاطلاع عليها.
3- تخمين كلمة السر، فكلمة السر السهلة يمكن تخمينها، كأن تكون كلمة السر مطابقة لرقم الجوال أو أن تعبر عن تاريخ ميلاده أو اسم طفله.
4- سرقة كلمة السر الخاصة بالعميل في حال استجابته لمطالب المواقع المشبوهة وغير المشفرة (عدم وجود القفل). وتعبئة البيانات الشخصية في تلك المواقع.

وأكد الشيحة أنه للحد من هذا الخطر وعدم وقوع العملاء فيه، فقد قام القطاع المصرفي بوضع معايير محددة لجودة كلمة السر حتى لا يسهل تخمينها، ويتم عادة استخدام كلمة سر خاصة بالدخول على الموقع الإلكتروني، وكلمة سر أخرى للتعميد. كما يتم إرسال كلمة السر بصورة مشفرة بحيث لا يمكن معرفتها عن طريق الإنترنت. والاعتماد على سياسة أهمية تغيير كلمة السر بشكل دوري.
وأضاف: يمكن للعميل اكتشاف أن كلمة السر الخاصة به قد كُشفت من قبل أناس آخرين إذا لاحظ وجود عمليات بنكية لم يقم بها، أو إذا لاحظ أن آخر محاولة دخول لم تكن صادرة منه. وننصح العميل بحماية نفسه من هذه الأخطار، باتباع الآتي:
1- يجب حفظ كلمة السر الخاصة به وعدم إفشائها قولاً أو كتابة.
2- استخدام كلمة سر صعبة نسبياً بحيث تحتوي على حروف وأرقام، ويفضل تغييرها دورياً.
3- عدم إفشاء أو مشاركة كلمة السر، حتى ولو كان لأحد موظفي القطاع المصرفي (حيث توجد تعليمات صارمة من قبل القطاع المصرفي بعدم طلب كلمة السر من العميل).
4- يجب على العميل أخذ الحيطة والحذر عند استخدام كلمة السر في مكان عام.
5- التأكد من تاريخ ووقت آخر محاولة دخول لموقع البنك للحيطة.

الخطر الرابع: سرقة الهوية
بين عبد الرحمن الشتوي أن سرقة الهوية هي عملية يقوم بها محتال بالحصول على معلومات العميل الشخصية ومن ثم يستخدمها بدون علم صاحب الحساب (العميل) للقيام باختلاس مالي أو أي جريمة أخرى للحصول على فائدة، والتي غالباَ ما تكون مالية. وهي جريمة يعاقب عليها القانون.
وقد زاد هذا النوع من الجرائم أخيرا نظرا لقلة الوعي لدى العملاء في ظل انتشار تقنية الإنترنت واستخدامها على نطاق واسع. مثل هذه الجريمة تتم غالباً في أبسط أحوالها عند حصول أحد المحتالين على معلومات العميل البنكية كرقم البطاقة الائتمانية وتاريخ صلاحيتها أو اسم المستخدم وكلمة السر، ومن ثم يقوم المحتال بتقمص هوية العميل والقيام بعمليات بنكية عن طريق الإنترنت أو الهاتف، والتي لا تتطلب الحضور الشخصي.

ما مدى خطورة هذا النوع من الجرائم؟
أشار الشتوي إلى أن سرقة الهوية تعتبر أحدث الجرائم الإلكترونية وأسرعها نمواَ في العالم، حيث قدرت منظمة التجارة الفيدرالية في الولايات المتحدة الأمريكية FTC أنه في عام 2003، تعرض ما يقارب عشرة ملايين أمريكي (نحو 3 في المائة من الأمريكيين) لجريمة سرقة الهوية، وبخسائر إجمالية للشركات والمستهلكين تصل إلى 50 مليار دولار.
وأضاف الشتوي "للأسف، تشح في منطقتنا العربية مثل هذه الإحصائيات، التي تعتبر مهمة، ولكن في رأيي الشخصي أنه ربما نرى مثل هذه النسبة في منطقتنا خلال السنوات المقبلة، وذلك لانتشار الإنترنت والخدمات الإلكترونية المالية والتجارية، وكذلك للطبيعة الديمغرافية للمنطقة، ناهيك عن قلة الوعي لدى العميل".
وأشار إلى أن القطاع المصرفي كثف الإجراءات الإحترازية للتأكد من هوية العميل، وخاصة عند استخدام القنوات البديلة مثل الهاتف والإنترنت في التعاملات البنكية، ويمكن تعريف هوية المستخدم بمثل هذه الإجراءات كطلب معلومات إضافية شخصية مثل تاريخ الميلاد، رقم الهوية الشخصية أو الإقامة، العنوان البريدي، فرع البنك الذي تم فتح الحساب فيه وغيرها من الضوابط للتأكد من هوية المتصل.
كما حرص المسؤولون في القطاع المصرفي على استخدام حلول تقنية لمنع الاختلاس المالي واكتشافه Fraud Detectionفي عمليات الشراء التي تتم عن طريق البطاقة الائتمانية، خاصة أنها أصبحت عادة يستخدمها المشتري خلال تسوقه الشهري.
وإضافة إلى ذلك، فقد تم وضع حدود مالية لعمليات استخدام الصراف الآلي وعمليات التحويل وذلك بهدف تقليل الخسائر، وكذلك القيام بتوعية العميل بهذه الجرائم وغيرها.
وفي هذا الإطار يؤكد الشتوي أنه لا يمكن الاستغناء عن دور المستخدمين ومسؤوليتهم، إلى جانب الجهود التي يبذلها المسؤولون في القطاع المصرفي تجاه مكافحة هذا الخطر، وحفظ معلوماتهم البنكية وتعاملاتهم المصرفية، فيجب على العميل أن يكون أكثر حرصاً حيال الأمور المتعلقة بحساباته البنكية.

الخطر الخامس: الهندسة الاجتماعية Social Engineering

قال الربدي فهد الربدي مدير أمن المعلومات في البنك العربي الوطني "تعرف الهندسة الاجتماعية Social Engineering بأنها عملية الحصول بشكل غير مشروع على معلومات تتسم بالحساسية والسرية، مثل كلمات السر أو اسم المستخدم عن طريق التلاعب أو التهديد، بهدف الوصول إلى البيانات ذاتها، أو لسرقة الهوية".

وهل يمكن إعطاء بعض الأمثلة التي يستخدمها المحتالون في الهندسة الاجتماعية، وكذلك توضيح طرق الحماية منها؟
أوضح الربدي أن القراصنة أو المحتالين في الهندسة الاجتماعية يستخدمون عدة طرق وتقنيات لمحاولة الحصول على معلومات تتسم بالحساسية والسرية من العميل، مستغلين بذلك أسلوب التفاعل في الاتصال مع العميل، ومن أهم هذه الطرق المتبعة ما يلي:
1- محاولة الحصول على المعلومات السرية عن طريق الهاتف، حيث يدعي المحتال أنه يمثل أحد البنوك، أو بمقابلة العميل وجهاً لوجه، وعادة في مقر عمل العميل، مدعياً (المحتال) أنه يمثل أحد البنوك، ومحاولة الحصول على المعلومات السرية عن طريق البريد الإلكتروني أو عن طريق المواقع المزيفة على الإنترنت التي تبدو مطابقة لموقع البنك الرسمي بشكل كبير. علما بأن من الأمور السهلة للغاية تزييف رسائل البريد الإلكتروني ومواقع الإنترنت حتى تبدو كأنها حقيقية ومن مصدر موثوق به.
ويشير إلى أنه في جميع هذه الأمثلة الخاصة بالهندسة الاجتماعية، يمكن للمحتال الحصول بسهولة على المعلومات التي يحتاج إليها، ويعزى السبب إلى تهاون العملاء في معلوماتهم السرية بدون قصد. كمثال على ذلك، عندما يتلقى عميل مكالمة من أحد القراصنة أو المحتالين. ويدعي هذا المحتال أنه يمثل (بنك ..) ويريد أن يتحقق من بعض المعلومات البنكية، فيقوم بطلب رقم بطاقة الأحوال أو الصراف مع الرقم السري أو اسم المستخدم. علماً بأن سياسات القطاع المصرفي الأمنية تمنع أي موظف بنكي من معرفة الرقم السري لأي عميل وفي أي حال من الأحوال. فتكون النتيجة أن العميل يدرك أنه وقع في خدعة وأن هذا الشخص مجرد محتال، لأنه طلب كلمة السر التي تمكنه من الوصول إلى المعلومات البنكية للعميل.
وأكد الربدي أن القطاع المصرفي لم يتأخر في التحرك للحد من مخاطر الهندسة الاجتماعية، فقد اهتمت البنوك بتوعية العملاء والموظفين عن هذه المخاطر بشكل مستمر، وقامت بحظر كلمة السر على جميع الموظفين في كافة البنوك، إضافة إلى الطريقة التي تنتهجها البنوك بتسجيل وتوثيق جميع الاتصالات مع عملائها ليتم الرجوع إليها وقت الحاجة، وتطبيق سياسات صارمة تختص بأمن المعلومات في القطاع المصرفي ككل.
وأشار إلى أن أفضل طرق الحماية من هذا الخطر تتمثل في قدرة العميل على إدراكه عمليات الهجوم المحتملة التي قد يتعرض لها من قبل المحتالين، ومعرفة كيفية التعامل معها في حال حدوثها. ومن أهم طرق الحماية أن يحرص العميل على الالتزام بالحذر وعدم إعطاء معلومات تتسم بالسرية والحساسية مثل كلمة السر أو اسم المستخدم أو رقم الحساب أو رقم السجل المدني أو الإقامة لأي شخص. ويجب على العميل أيضا أن يكون حذرا عند الرد على المكالمات الهاتفية التي يطلب فيها المتصل تزويده ببعض المعلومات، وعليه تجنب الرد على رسائل البريد الإلكترونية المريبة التي تطلب من العميل تحديث أو تأكيد معلوماته البنكية أو الشخصية، وفي حال تعرض العميل لأي من طرق الاحتيال فعليه سرعة إبلاغ البنك الذي يتعامل معه ليتم اتخاذ الإجراء اللازم.

نصائح وإرشادات للمستخدمين

يتضح من مجمل الحديث حول هذا الموضوع مسؤولية العملاء الكبيرة تجاه هذه المخاطر ونجاح المحتالين في الوصول إلى أهدافهم، فما نصائحكم للعملاء لتوعيتهم بالدور المطلوب منهم للحد من الأخطار التي تواجههم تحديداً وتواجه القطاع المصرفي والتقني بشكل عام؟
من أجل تكامل الأنظمة الأمنية ما بين القطاع المصرفي وعملائه، يؤكد الحارثي أهمية دور عملاء البنوك في المشاركة في مسؤولياتهم في حماية أجهزتهم ومعلوماتهم البنكية بالشكل الكافي والآمن، وينبغي عليهم اتباع الإرشادات الأمنية التالية:
1ـ ضرورة وضع برنامج الجدار الناري في أجهزتهم والتأكد من عمله بالشكل الملائم.
2ـ يجب وضع نظام مضاد للفيروسات والتأكد من تحديثه بشكل دوري وآلي، وننصح بأن تكون هذه البرامج أصلية.
3ـ يجب تحديث الثغرات الأمنية لأنظمة التشغيل وبشكل دوري وآلي.
4ـ الأخذ في الاعتبار أن جميع السياسات المتبعة في أمن المعلومات في القطاع المصرفي تمنع موظفي هذا القطاع من معرفة كلمة السر الخاصة بالعميل.
5ـ على العميل أن يسارع بالتأكد من عملياته البنكية عند الشك في أنه قد تم اكتشاف كلمة السر الخاصة به ويجب عليه تغييرها فوراً.
6ـ تغيير كلمة السر للعميل كل فترة وبشكل دوري.
7ـ في حال تعرض العميل لأي من طرق الاحتيال فعليه سرعة إبلاغ البنك الذي يتعامل معه ليتم اتخاذ الإجراء اللازم.
8ـ التنبه إلى أن المحتالين عالمياً يعمدون إلى استخدام الهندسة الاجتماعية كوسيلة للحصول على معلومات العملاء.
9ـ على العميل أخذ الحيطة والحذر من وجود أشخاص على مقربة منه عند استخدام الصراف الآلي أو نقاط البيع أو عند استخدام شبكة الإنترنت في الأماكن العامة.
10ـ كقاعدة عامة، يجب تجنب الدخول إلى المواقع المشبوهة التي تكون عرضة للاختراق والاحتيال.