فواصل

بطاقات الائتمان وشبح قراصنة التجارة الإلكترونية

يتعرض حاملى بطاقات الائتمان فى المملكة العربية السعودية هذه الفترة لخوف وهلع شديدين من انتشار شائعة حول سرقة حساباتهم وتعرض بطاقاتهم الائتمانية غلى السرقة من قبل قراصنة يخترقون مواقع البنوك السعودية.

وقد نفى متخصص في أمن المعلومات إمكانية اختراق المواقع الإلكترونية للبنوك السعودية، وأكد قوة أنظمة الحماية المعمول بها في التعاملات الإلكترونية للبنوك. خاصة أن البنوك تمتلك أجهزة خوادم حديثة تحت مراقبتهم، ومدعومة بأنظمة حماية متفوقة في مجال البرمجيات، وبمواصفات معتمدة عالمياً لسقف حماية عالية وبجودة مطابقة للمعايير المتوافرة في أفضل البنوك في الدول المتقدمة عالمياً في تطبيق أنظمة أمن المعلومات المصرفية، وأن ما يروج له البعض عبر برامج الدردشة في الهواتف الذكية والمنتديات ومواقع شبكات التواصل الاجتماعي وفق مفهوم أنه اختراق نافذ لنظام البنك وألحق الضرر عليه فهو غير وارد على الإطلاق.

وأضاف رغم أن الأمر يستدعي التفكير والمراجعة ومزيدا من الاهتمام والتحقق من أداء وجودة أنظمة الأمن وتحديثها لمزيد من راحة البال، لكنه لا يستدعي القلق أو أن يستولي الذعر على العملاء. وأسهم في تصديق الشائعة واتساع رواجها بين الناس ما تردد من أخبار في الأيام الماضية من اختراق إلكتروني لمواقع تجارية إلكترونية في السعودية، والحصول على مئات البيانات عن بطاقات ائتمانية لسعوديين، التي قام بعض ”القراصنة” اليهود بنشرها على الإنترنت، كرد فعل منهم بعد نشر معلومات بطاقات ائتمانية ليهود بواسطة مخترق سعودي.

وقال المهندس محمد حسن اليامي المتخصص في حلول البرمجة وهندسة الشبكات حول عمليات القرصنة على بطاقات الائتمان، إن العمليات الشرائية عبر الإنترنت تمثل بيئة تعاملات أساسية للدفع بالبطاقة الائتمانية لإتمام عملية الشراء؛ وتتم في إطار التجارة الإلكترونية والتسوق الإلكتروني وتحديداً بين طرفين الزائر لمتجر مبيعات الموقع الإلكتروني والشركة المالكة للموقع. وهذه المسافة والإجراءات بين الطرفين ينتهز القراصنة الفرصة وبذل أقصى الجهد للوصول إليها عبر ثغرات تنفذ بهم للأجهزة المضيفة للموقع، ومن ثم الحصول على المعلومات الأهم التي تخص بطاقات الائتمان للمتعاملين مع الموقع، والحصول على نصيب وفير من الأرصدة المالية عبر البطاقات التي في حوزتهم عن طريق السرقة أو التصرف بطرق غير شرعية في أموال الآخرين. ويعرف الاختراق كما ذكره الدكتور ذيب بن عايض القحطاني في أحد مصادره العلمية عن ”أمن المعلومات” في شكل عام بأنه: ”القدرة على الوصول إلى هدف معين بطريقة غير مشروعة عن طريق ثغرات في نظام الحماية الخاص بالهدف”.

ويضيف الدكتور القحطاني أن الهجوم الإلكتروني يتزايد ما دام الإنترنت مربوطا بمئات الملايين من أجهزة الكمبيوتر، إضافة إلى الأجهزة المحمولة والهواتف الذكية والأجهزة اللوحية، فهذه البيئة الإلكترونية المتنامية تسهل من عملية الهجوم ومن بعدها تصعب عملية رصد مصادرها. وبقدر ما تتوسع خطوط الارتباط بالإنترنت وزيادة الشبكات في ملايين المواقع المختلفة حول العالم فذلك يعني زيادة الجذب للهجوم (أو الاختراق). الدكتور القحطاني طرق الهجوم الإلكتروني بحسب المصدر نفسه بأنه عادة يتم الهجوم الإلكتروني عبر سلسلة من الخطوات شبيهة بخطوات الهجوم المكاني. فالخطوط الأولى في الهجوم، هي المناورة لجمع المعلومات الاستخباراتية الضرورية بهدف التجهيز للهجوم الفعلي. والخطوات الثانية هي مرحلة الهجوم الفعلي الذي يكون له عدة أهداف مختلفة. وفي أثناء عملية الهجوم وبعدها، قد يحاول المهاجم اتخاذ بعض الخطوات لتجنب رصدها وإزالة الأثر لإخفاء الجريمة.

وأشار اليامي إلى أنه في ظل الهجمات المتتالية التي تتعرض لها مواقع الإنترنت، التي لم يسلم منها أشهر المواقع وأكثرها أمناً، وأن الثغرات التي تظهر في عناوين مواقع الإنترنت سبب رئيس للاختراق، وقد نصحت تقارير علمية عن أمن المعلومات بسد الثغرات ومراقبة ذلك بشكل دوري منتظم، وأنها أول الخيط الذي ينطلق منه القراصنة لمحتويات الموقع ولتنفيذ عمليات أكبر وأوسع، وكان أخطر الثغرات تلك التي تصيب ذاكرة نظام اسم النطاق DNS، التي كشفت عن طريق دان كامينسكي، مدير اختبار الاختراق في شركة IOActive Inc الواقعة في مدينة سياتل في عام 2008. واكتشفت شركات عديدة مثل- Cisco Systems Inc وMicrosoft Corp – هذه الجرثومة.

بشكل عام، تقع جرائم القرصنة عبر الإنترنت بطرق عدة، حددها الدكتور عماد مجدي عبد الملك في دراسة حديثة (عام 2011) عن جرائم الكمبيوتر والإنترنت في ثلاث مراحل منها: المستخدم نفسه؛ أو خلال عملية نقل المعلومات بين المستخدم ومزود الخدمات: فقد يتم اختراق قاعدة البيانات الخاصة بالشركة التي تتضمن الأرقام السرية للبطاقات وعناوين العملاء؛ أو عبر الشبكة التي تتعرض لعمليات قرصنة وسطو إذا لم تكن مؤمنة بشكل كاف؛ حيث يستطيع المحتالون ومحترفو عمليات القرصنة الدخول على النظام خاصة إذا كانت كلمة المرور أو الرقم السري قصيرا. وأنه في ظل تطور أساليب كشف الجرائم، صار ضبط الجناة أمرا سهلا وممكنا، ومع ذلك لم يعد هناك أحد في مأمن عن عمليات الاحتيال الإلكتروني، فقد حدثت عمليات سطو على بطاقات ائتمانية لشخصيات دولية بارزة، لكن في النهاية يكشف عن اللصوص ويتم تقديمهم للمحاكمة. وعندما يكون المستخدم ضعيف الخبرة في التعامل مع الإنترنت وليس لديه القدرة على تأمين نفسه، فإنه قد يقع فريسة للقراصنة ومحترفي عملية السطو على أجهزة الحاسب والبريد الإلكتروني، ولذلك ينصح بعدم الاحتفاظ بالأرقام السرية والبيانات والمعلومات المهمة على جهاز الكمبيوتر خشية تعرضها للسرقة. وأشار الدكتور عماد إلى أنه توجد أجهزة نسخ البيانات والمعلومات من البطاقات الائتمانية سوقاً رائجةً حول العالم، حيث تباع هذه الأجهزة على الإنترنت، وفي المزادات الإلكترونية بأسعار من 250 إلى ألف دولار والحصول عليها وتركيبها بسهولة.

كما أن هناك قراصنة يعرضون هذه البطاقات للبيع لمن يستطيع استغلال رصيدها ويبحث عن فرصة لكسب غير شرعي. عن دور البنوك لمواجهة هذه الجريمة يطرح الدكتور عماد، ضمن مبحث من الدراسة: ماذا فعلت البنوك لتأمين بطاقاتها الإتمانية؟! والإجابة أنه بالنظر إلى أن ظاهرة السطو على البطاقات الائتمانية قديمة فقد حدثت كثيراً في أوروبا وأمريكا، واتجهت خلال الفترة الأخيرة إلى منطقة الشرق الأوسط وإفريقيا، وقد حدث ذلك منذ خمس سنوات، ما دفع المسؤولين الأوروبيين إلى اعتماد طريقة جديدة لمكافحة نسخ البطاقات بالشريحة الذكية متناهية الصغر في مكونات البطاقة، حيث كان سهلا على السارق بعد حصوله على معلومات وبيانات العميل من بطاقته أن ينسخها على بطاقة مزورة بواسطة أجهزة الطبع الخاصة للبطاقات، ولهذا طبقت في أوروبا هذه الطريقة الجديدة للقضاء على هذه الظاهرة، وفي الدول العربية انتبهت لذلك وأصدرت بعض البنوك البطاقات ذات الشريحة الذكية، وهي أكثر أماناً ولم يتم تزويرها حتى الآن وتم تعريفها في كل أجهزة الصرف النقدي الآلي في العالم، ونقاط البيع في جميع المحال التي تعتمد تعاملات البيع بالبطاقات الائتمانية. وطرح الدكتور عماد: فكرة أن تقوم البنوك بإغلاق البطاقات، ووقف التعامل بها عبر الإنترنت حتى يتقدم العميل للبنك طالباً فتح بطاقاته لمدة ثلاث ساعات لإجراء عمليات معينة بواسطة العميل ذاته، ثم يتم إغلاق البطاقة فيما بعد.

وأفصح المهندس اليامي أن من أخطر أدوات الهاكرز التي تستهدف المستخدم أو المسؤول لدخول خوادم الشركة هي أداة Keylogger أو مسجلات نقرات أزرار لوحة المفاتيح، ووظيفة هذه الأداة الضارة تسجيل كل ما يكتبه المستخدم على لوحة مفاتيح الكمبيوتر حيث صمم البرنامج ليتتبع النقرات عن طريق زرع ملف إلكتروني صغير الحجم يصعب ملاحظته على الكمبيوتر وبالذات التي لا توجد فيها برامج حماية ومكافحة للفيروسات حديثة الإصدار وأصلية، ومن ثم يتلصص على تصرفات المستخدم ومن أهمها متابعة إدخال بيانات كلمات السر وأرقام بطاقات الائتمان وحفظه في ملف خاص (غالبا ما يكون مشفرا) ثم إرساله إلى صانع البرنامج الضار بحيث يفك شفرته ويستخرج منه المعلومات التي كان يستهدفها. أمثلة: NetSpy ,RealSpy ,PerfectKeylogger Pro Ghost Keylogger.

يقدم اليامي إرشادات على مستوى المستخدم لمواجهة عمليات الاحتيال عبر الإنترنت حيث يجب عدم الرد على رسائل البريد الإلكتروني الذي تطلب معلومات التعريف الشخصية أو أرقام الحسابات، وعدم النقر فوق الارتباطات المشبوهة التي تدّعي أنها صادرة من مصرفك أو من شركة تجارة إلكترونية، وعدم فتح رسائل البريد الإلكتروني التي تدعي أنها صادرة من مصارف أو مواقع تجارة إلكترونية ليس للمستخدم حسابات فيها. كما يجب استخدام كلمة مرور قوية وتغييرها بشكل دوري، والتعامل مع الشركات المعروفة ذات السمعة الحسنة المشهورة بجودة الخدمة والتي تتطلب تسجيل عضوية ثم اعتمادها من الشركة بأرقام كود تعريف سري خاص بالعضو لمزيد من الخصوصية والأمان عند الشراء والبيع، والتأكد من أن موقع الويب يستخدم التشفير بحيث يكون عنوان الويب مسبوقاً بـ https بدلا من المعتادة في شريط عناوين المستعرض، ومن الضروري استخدام جدار الحماية وتحديث أنظمة تشغيل الكمبيوتر الشخصي واستخدام برامج مكافحة الفيروسات ومراقبة المعاملات ومراجعة كشوف بطاقة الائتمان الواردة من البنك بمجرد تسلمها. ومن المهم استخدام برامج الحماية من القراصنة، والفيروسات، وإجراء مسح دوري وشامل للجهاز في فترات متقاربة وعدم ارتياد المواقع المشبوهة لأن القراصنة يستخدمون مثل هذه المواقع في إدخال ملفات التجسس إلى جهاز الضحية. التجارة الإلكترونية وعروض لمنتجات للبيع.. وقراصنة تتصيد. خطوة تسجيل العضوية وإرسال الكود السري لكل زيارة تساعد على تأمين البيع والشراء.

مقالات ذات صلة

اضف رد