Aug. 6, 2022

Banking Unusual - خلك حريص

حلقة عن الاحتيال المالي نستعرض فيها بعض البيانات وسيناريوهات الاحتيال وجهود البنك المركزي السعودي والبنوك السعودية في مواجهة هذا الخطر العالمي


حلقة عن الاحتيال المالي نستعرض فيها بعض البيانات وسيناريوهات الاحتيال وجهود البنك المركزي السعودي والبنوك السعودية في مواجهة هذا الخطر العالمي

Transcript

نشرت وحدة IC3 التابعة لمكتب التحقيقات الفيدرالي الأمريكي تقريرها عن عام ٢٠٢١ فيما يتعلق ببلاغات الاحتيال المالي وجرائم الانترنت.. حوالي ٨٥٠ ألف بلاغ تم تقديمها وبخسائر إجمالية تقدر بحوالي ٧ مليار دولار وهي أرقام تاريخية غير مسبوقة سواء على مستوى عددالبلاغات أو حتى على مستوى حصيلة مبالغ تلك الجرائم 

ضحايا تلك الاحتيالات لم يكونوا فقط من الأفراد أو الشركات والمؤسسات بل الحكومة الأمريكية نفسها تعرضت لحالات احتيال من خلال استغلال جائحة كورونا والإعانات التي كان يتم صرفها عن بعد ودون اتصال مباشر مع المستفيدين بسبب استمرار الحظر وتنفيذ طلباتال إعانات عن بعد .. حوالي ٢٨،٥٠٠ حالة احتيال تم رصدها بهذا الخصوص

إيش هي أشهر وسائط الاحتيال المالي على الأفراد ؟

الهندسة الاجتماعية عبر التصيد الإلكتروني بالإيميل رسائل البريد الإلكتروني هي واحدة من أكثر الوسائط شيوعا أو ما نسميه Phishing لكن هناك حالات أخرى مثل التصيد عبر الرسائل النصية SMS ممكن تبحثوا بالمسمى Smishing لنتائج أكثر تحديداً  ويكون في هذي الرسائل النصية روابط لمواقع تنتحل صفة المواقع الرسمية أو بوابات الدفع الشهيرة .. هذا الانتحال اسمه Pharming .. وفي التصيد عبرالرسائل الصوتية Vishing له أيضا نصيب من هذه الحالات ..  وتحضرني رسالة صوتية شهيرة لفوزي شخصيا بـ ٣٠٠ ألف ريال .. أنافزت بـ ٣٠٠ ألف ريال مو فوزي اللي رسل لي الرسالة .. فوزي مين أساساً

المهم سلسلة متاجر تجزئة شهيرة تم انتحال صفتها من قبل أحد المحتالين ممكن نسميه فوزي .. إذا إنتم مصرين .. الرسالة كلها كلجات بسم الله والصلاة والسلام عليكم ورحمة الله الحمدلله أخي فزت إنت بـ ٣٠٠ ألف ريال جزاك الله خير الحمد لله ماشاء الله اتصل فورا وارسل رقم حساب ورقم هوية استلام الجائزة وإنا لله وإنا إليه راجعون ما شاء الله الحمدلله

تحسه واحد بيجري يوم العيد في يده مولود وداخل بيه على عزا .. فوضى ورسالة تجيب الصداع .. الضحايا المستهدفين نفسهم ماتوا من الضحك  

لكن في سيناريوهات محبوكة وقدروا يستغلوا نقاط ضعف أو نقاط اهتمام بعض الأفراد سواء من حيث المعرفة التقنية أو المعرفة المصرفية أوالحاجة الملحة للمال أو مجرد الطمع أو الخوف من فوات فرصة عرض مميز أو صفقة من الخيال تنتشل الواحد من وضعه الحالي وتدخل بهإلى عالم الثراء الفاحش .. كل قصة وكل ضحية لها ظروفها .. 

أهم شي في جميع هذه القصص من وجهة نظري هو التوقف عن لوم الضحية .. ضحية عملية الاحتيال المالي .. لأن آخر شي ممكن يساعدأي ضحية احتيال مالي هو توجيه اللوم له .. هو عارف خلاص ومنتهي ومستوعب بالمبالغ اللي انسحبت من حسابه أو بطاقته إنه وقع في فخ المحتال ماهو بحاجة تنظير من أي أحد .. المرة الجاية حينتبه مو محتاج نصيحتك للمرة الجاية .. اللي يحتاجه العميل في هذا الموقف هوالسرعة الفائقة في الاستجابة عند الاتصال والتصرف بسرعة ومحاولة حجز المبالغ التي تم الاستيلاء عليها أو بذل الجهد المعقول في سبيلحجز وتحصيل تلك المبالغ .. أنا بأقول الجهد المعقول مو عشان أوجد عذر لأحد .. أحيانا تتأخر البلاغات لأن العميل نفسه ما يكتشف إنهوقع ضحية إلا بعد عدة أيام مثلا خصوصا في السيناريوهات المحبوكة والمطولة والمعقدة واللي تم تقديم إثباتات متعددة فيها للعميلوشهادات وإفادات واتصالات وممكن مكاتب ومراجعات .. وفجأة يختفي كل أحد وتنقطع كل سبل التواصل .. وتكون الأموال تم تدويرها بينعدة حسابات وسحبها نقدا أو تحويلها خارج الحدود تسليم شباك عبر مكاتب الحوالات السريعة مثلا أو عبر عدة بنوك أجنبية انتهاءبسحبها نقدا في محطتها الأخيرة .. الأمر الذي يصعب عملية تحصيلها حتى بعد التمكن من تتبعها في جميع المراحل وصولا لمحطته االأخيرة .. سواء في صورة نقد تقليدي كاش عملة ورقية أو حتى بعد تحويلها لعملة رقمية 

واللي مستغرب من موضوع العملة الرقمية فالتقديرات التي تتحدث عن حصيلة الجرائم المالية التي كانت العملات الرقمية طرفا فيها تتحدث عن مبلغ يقارب ٧٥ مليار دولار سنويا .. وهو رقم يقترب من الحصيلة السنوية لتجارة المخدرات في أوروبا وأمريكا مجتمعين ٧٥ مليار دولار

يستطيع أي شخص الحصول على برمجيات خبيثة على الداركويب بدولار واحد فقط ويرسلها عبر رسائل البريد الالكتروني لأي شخص .. يقدر يشتري كمان قوائم بإيميلات المستهدفين .. تبغى مليون إيميل موجود .. ويتحول الشخص لهاكر فظيع في ٥ دقايق دا حتى أسهل منتعلم الإنجليزية في ٧ أيام ..

في آخر ٢٠ سنة اتضاعف عدد عمليات الاحتيال المالي .. ١٧ مرة 

متوسط خسائر عمليات الاحتيال المالي اللي بتكون ضحيتها البنوك حول العالم لكل عملية حوالي ١٨ مليون دولار

في عام ٢٠١٣ تم اختراق بيانات ٣.٥ مليار مستخدم على ياهو .. لم يتم الإفصاح عنها إلا في ٢٠١٦

في ٢٠١٤ تم اختراق بيانات ١٤٥ مليون مستخدم على EBay 

سوني تعرضت لعدة عمليات اختراق في ٢٠١١ ونتج عنها سرقة بيانات ٧٧ مليون مستخدم وتم اختراق شبكة سوني في مناسبات أخرىفي ٢٠١٤ و ٢٠١٧ 

في ٢٠١٨ اكتشفت تويتر تسريب بيانات ٣٣٠ مليون مستخدم باسورداتهم كانت محفوظة بدون ترميز على ملفات نصية .. بلغوا عملاءهميغيروا باسورداتهم ويقولوا ما لاحظوا أي استخدام غير طبيعي 

نفس المشكلة تعرضت لها مايكروسوفت في ٢٠٢٠ عالجوا ثغرة كانت موجودة لمدة شهر كامل .. بيانات خدمة العملاء لمدة ١٤ سنة بما فيهاإيميلات العملاء مكشوفة 

قبل سنتين انتشرت أنباء عن تسريب ٣.٨ مليار رقم جوال لمستخدمي تطبيق كلوب هاوس الذي استطاع أن يستحوذ في وقت قصير جداعلى اهتمام كثير من المتابعين كتطبيق صاعد تزامن صعوده مع جائحة كورونا واستغلال الأفراد للوقت في حضور جلسات دردشة ونقاشات صوتية .. مشاهير الهبد في جميع المجالات .. نفى وقتها الرئيس التنفيذي تسريب البيانات .. لكن وجود عينات متاحة على الداركويب منهذه البيانات ترجح حصول هذا التسريب

هذي المعلومات الهدف منها الإجابة على سؤال .. المحتالين هذول كيف بيوصلوا لنا ؟ من فين بيجيبوا أرقام تلفوناتنا وإيميلاتنا

نشر موقع Risk.net تقريرا عن المخاطر التشغيلية العشرة الأهم للعام ٢٠٢٢ من وجهة نظر كبار رؤساء المخاطر ومدراء مخاطر التشغيل .. وعلى رأس قائمة مخاطر التشغيل العشرة أتى انقطاع خدمات تقنية المعلومات بسبب هجمات سيبرانية يليه في المرتبة الثانية الاختلاسوالاحتيال .. حتى وإن كان هذا الاحتيال ناتج عن فساد داخل المنظمة أو تواطؤ مع أطراف خارجية يظل أحد سيناريوهات الاحتيال الماليبضحايا محتملين داخل وخارج المنظمات 

الهندسة الاجتماعية هي الأسلوب الرائج لاصطياد ضحايا الاحتيال المالي .. عبر دراسة المجتمع المستهدف وتصميم القصص ونماذجالاحتيال التي تتناسب مع بيئة الضحايا المحتملين ثم تنفيذ السيناريوهات وتحصيل الأموال وتصريفها .. وكما قدمنا فإن تسريبات البياناتمن وسائل التواصل الاجتماعي ومواقع الخدمات المختلفة هي أحد وسائل تمكين استهداف الضحايا على نطاق واسع .. وهو شي يشبهحملات الدعاية والتسويق للمنتجات .. فجأة كل العملاء المستهدفين تصلهم رسائل دعائية لفترة محدودة .. بنفس الطريقة يشتغل المحتال كلمجموعة محتالين يصمموا حملة بسيناريو وهدف معين .. بعض السيناريوهات مضحكة وبعضها متقن للغاية

في دراسة لجامعة نايف العربية للعلوم الأمنية بالتعاون مع الانتربول منظمة الشرطة الجنائية الدولية .. هذي الدراسة منشورة في يناير منعام ٢٠٢٢ .. كشفت عن ٥ أساليب احتيالية رائجة للاحتيال المالي في العالم العربي 

الاحتيال الاستثماري

الاحتيال عبر بريد الأعمال

الاحتيال الرومانسي

الاحتيال عبر الرسائل النصية

الابتزاز الجنسي

وكشفت الدراسة إن المحتالين بينشروا إعلاناتهم على مواقع موثوقة .. طبعا لاستغلال الترافيك العالي عليها

وتم تحديد أعلى ٥ نطاقات احتيالية وكشف ٤٠ ألف رابط دعائي صادر منها

المواقع الاحتيالية المرصودة عبر الدراسة يتم زيارتها من قبل أكثر من ١٣٧ ألف زائر عربي يوميا

الدراسة جديرة بالاهتمام وتكشف فوارق بين المؤسسات المالية واستعداداتها لمكافحة الاحتيال المالي

البنك المركزي السعودي نشر في أغسطس من عام ٢٠٢٠ دليل مكافحة الاحتيال المالي في البنوك والمصارف العاملة في المملكة العربية السعودية وهو يوفر الحد الأدنى من المتطلبات التي يجب على البنوك والمصارف الالتزام بها من حيث السياسات والإجراءات ويوضحالواجبات والمسئوليات وهيكلة مهام مكافحة الاحتيال المالي

هذا العام ٢٠٢٢ وبعد رصد تزايد في عدد بلاغات الاحتيال المالي وجه البنك المركزي السعودي وبشكل صارم جميع البنوك العاملة في السعودية بتنفيذ إجراءات عاجلة لتعزيز إجراءاتها في الاكتشاف والرصد والمتابعة والتحليل ومشاركة المعلومات والتعاون فيما بينها لحمايةمصالح العملاء وضحايا الاحتيال المالي .. وشملت تلك الإجراءات ضوابط إجرائية وتقنية وتوعوية لمساعدة العملاء في التنبه لأي سلوك غيرمصرح به على حساباتهم وتسهيل عملية الإبلاغ عن الاحتيال المالي وإيقاف البطاقات البنكية 

كما شملت تلك الإجراءات أيضاً حملات متكررة للتنبيه على سيناريوهات الاحتيال المالي المتعددة التي تم رصدها سواء عبر رسائل البريد الإلكتروني أو الرسائل النصية أو الاتصالات التي يتم انتحال صفة جهات رسمية من خلالها أو الروابط الوهمية لمواقع منتحلة لصفة مواقعالتجار أو البنوك أو الجهات الرسمية 

ومن المبادرات التي ينبغي التنويه عنها افتتاح محافظ البنك المركزي السعودي مركز العمليات المشتركة لمكافحة الاحتيال المالي قبل عدة أسابيع وهو مبادرة مشتركة بين البنوك السعودية التي تعمل في المركز تحت سقف واحد لتسريع وتيرة التعاون في مكافحة الاحتيال المالي 

ولا يفوتني التنويه عن حملة البنوك السعودية عبر لجنة التوعية المصرفية تحت عنوان #خلك_حريص والتي تتواصل فعالياتها في العديد منالمواقع حول المملكة لرفع التوعية المجتمعية بأهمية التعرف على سيناريوهات الاحتيال المختلفة والتصدي لها .. #خلك_حريص 

 تفاعلا مع الحملة هذي مجموعة نصائح من خبرتي الشخصية أشاركها معكم للفائدة والانتباه نشرتها في أكثر من منصة وأعيدها هناللفائدة مرة أخرى .. الخط الأحمر الأهم: لا تشارك بياناتك الشخصية مثل رقم الهوية وتاريخ ميلادك ولا بياناتك المصرفية مثل رقم حسابك أوأرقام بطاقاتك مع أحد .. 

تأكد من فحص أجهزتك الهاتفية وكمبيوترك الشخصي وجهازك اللوحي الذكي وعدم تسجيل بيانات حساباتك المصرفية واسم المستخدم وكلمة المرور على أي منها .. إن لزم الأمر فاحفظ بياناتك المصرفية مكتوبة في مكانين منفصلين وبأقل الإشارات التعريفية لتذكرها في الحالات الطارئة

تأكد من تفعيل خواص الدخول الآمن وتفعيل معيار التحقق الثنائي على كافة خدماتك الرقمية يكون دخولك برمز سري ورسالة نصية أوتطبيق زي Google Authinticator البريد الالكتروني هو أحد أهم وسائط الاحتيال .. تأكد دائماً من حماية بريدك الالكتروني بكلمة مرورقوية مع تفعيل معيار التحقق الثنائي مع قصر الدخول على بريدك الالكتروني على أقل عدد ممكن من الأجهزة لتتمكن من التعرف علىتسجيل محاولات الدخول من أي جهاز جديد

امتنع تماماً وتحت أي ظرف من الظروف من التعامل مع أي جهة عبر الهاتف أو الإيميل تطلب منك تزويدها بأي معلومات شخصية مثل رقم الهوية أو تطلب تزويدها برمز المرور لمرة واحدة OTP للتسجيل أو الاشتراك مهما كانت الخدمة .. مهما كانت الخدمة .. هو اتصل بك عنده بياناتك

أقصر تعاملاتك وتحويلاتك لاحتياجاتك اليومية والاستهلاكية على المتاجر المعروفة مهما كانت المغريات والتخفيضات حيث أنه يتم استغلالهالاجتذاب ضحايا الاحتيال المالي كل يوم ولا تقم بالتسجيل في أي خدمات استهلاكية تتطلب منك مشاركة بياناتك الشخصية مثل رقم الهوية.. أول ما تشوف خدمة مطلوب عشان تسجل فيها رقم هويتك .. كنسل .. إلغي رحلتي 

عند التعامل مع مواقع الانترنت تأكد من صحة اسم الموقع .. ابحث باسم الجهة على متصفح البحث وتأكد من مطابقته واستخدم الموقعالرسمي للحصول على الخدمة بالوصول المباشر للموقع وليس عبر الروابط والرسائل .. لا تتبع أي روابط تحت أي ظرف .. روح للمتصفحواكتب عنوان الموقع 

جميع الخدمات الحكومية سهلة وميسرة ويمكنك إنجاز معظم معاملاتك بنفسك وعبر التطبيقات الرسمية .. امتنع تماماً عن البحث عن وسطاءومعقبين لتيسير معاملات لا تحتاج لتيسير .. اسلك السبل النظامية دائماً .. ولا تتبع أي روابط ترويجية أو دعائية لأي خدمات حكومية أوشبه حكومية من غير مصدر رسمي .. ولا تصدق ولا تتعاون مع إعلانات التي تدعي توظيف الراغبين للعمل من المنزل بدوام جزئي مع طلبالتواصل عبر واتساب أو تيليجرام🚩 أو اللي يقولك دوام بدون حضور 🚩 استخراج رخص بدون حضور🚩تصفير ضريبة🚩 إلغاءغرامات🚩 تعديل حالات بدون الحصول على اللقاح🚩 استخراج قروض من البنوك 🚩

⚠️ لا تنقر الرابط ⚠️ عشان لا يصير فيك زي ما صار مع زكي جمعة 

في عالم رقمي في جميع تفاصيله يعتمد على الهاتف الذكي في إنجاز معظم الأمور فإن اختيار جهاز من شركة ذات سمعة مرموقة لا يعتبرترفاً بقدر ما هو استثمار في أمن بياناتك لا تسترخص بشراء أجهزة مجهولة المصدر ولا تتمتع بخصائص الأمان العالي وحماية بياناتك .. الأجهزة الغالية غالية لأسباب مهمة

خصص بطاقة بحد ائتماني مالي منخفض لمشترياتك عبر الانترنت ويفضل ألا تقوم بتسجيلها إلا في مواقع موثوقة تنبهك عند محاولةالدخول من جهاز جديد وتعتمد معيار التحقق الثنائي .. ولا تقم بالتحويل من حسابك المصرفي مباشرة لأي شخص أو متجر غير مسجل أوغير معروف لك ولا ورق عنب ولا كنافة بالقشطة

لا تشارك صورة هويتك ولا صور بطاقاتك المصرفية عبر الوسائل الرقمية مع أي شخص ولا لأي غرض كان ولا حتى مع البنك اللي تتعاملمعاه .. ولا بيانات هويتك ولا بطاقاتك المصرفية .. ولا مع أي شخص .. ولا تصدق إن أي جهة ممكن تدردش معاك عالجوال عن عملياتكالمصرفية

لا رغد صدام حسين ولا عائشة القذافي ولا مومباسا ماتومبي ولا السير أليكس فيرجسون يعرفوك ولا يثقوا فيك .. يعطوك وديعة ٢٠ مليوندولار ليه ؟ اشمعنى انت .. مافي محامين مافي بنوك ؟ يعني إنت مانت عارف حظك .. خلصوا كل الناس اللي ممكن يثقوا فيهم في العالموطلع اسمك في رؤيا منامية شافها الشيخ الروحاني وعرف إنك حتخلص الموضوع .. لقد وجدت لك كنزا مدفونا في صحراء موزمبيق مكتوبعليه اسمك 🤷🏻‍♂️

المحتال لا يلعب على غباءك هو يعلم أنك شخص متعلم وذكي ولهذا سيجيب على جميع اسئلتك الذكية بكل ثقة 🤷🏻‍♂️

‏المحتال يلعب على خوفك من ضياع فرصة في تحقيق الثراء السريع أو  في تعجيل إنهاء معاملة أو تسريع موعد اختبار أو تخفيض وإلغاءغرامات أو استقدام عامل بسعر مخفض🚩

في كل مرة تصلك رسالة الرمز السري لمرة واحدة تأكد من قراءة الغرض من العملية (شراء عبر الانترنت) أو (حوالة محلية صادرة) أو(تسجيل مستفيد جديد) 🚩🚩🚩

‏تأكد من قراءة اسم المتجر أو اسم المستفيد ومبلغ العملية 🚨

‏بعد كل التأكيدات 👌🏼 "لا تشارك الرمز السري مع أحد" ⁧‫#خلك_حريص‬⁩

في حالة استلامك رسالة نصية SMS احتيالية بادر بالإبلاغ برسالة عبر الرقم الموحد ٣٣٠٣٣٠

يمكنك أيضاً الإبلاغ عبر "أبشر" باتباع الخطوات على موقع مبادرة البنوك السعودية ⁧‫للتوعية بأساليب الاحتيال المالي: ⁦‪cybersecurity-sb.com‬⁩

أتمنى لكم جميعا السلامة الدائمة والحماية التامة من الوقوع في براثن المحتالين أنتم ومن يعز عليكم 

كانت هذه الحلقة الثامنة من بودكاست مصرفية غير تقليدية شكرا لمتابعتكم Banking Unusual