كشفت كاثرين وونيس، مسؤولة تنفيذية سابقة في Mastercard، عن أنها كادت أن تخسر لما يقرب من 100 ألف دولار في عملية احتيال استهدفت حسابها المصرفي العام الماضي. وقد تمكن المحتالون من تنفيذ هذه العملية بعد اختراق بريد إلكتروني وكيلها العقاري.
تقول كاثرين وونيس، نائبة الرئيس السابقة لشركة CipherTrace، وهي خدمة تعتمدها ماستر كارد كنظام أمان متطور لحماية معاملات العملات المشفرة، إنها كادت أن تفقد معظم مدخراتها بعد أن تمكن المحتالون من الوصول إلى البريد الإلكتروني الخاص بوكيلها العقاري.
اقرأ أيضًا.. كيف يتم تنفيذ عمليات الاحتيال عبر أجهزة الصراف الآلي للبيتكوين؟
كيف حدثت عملية الاحتيال؟
يحدث الاحتيال بعد الاستيلاء على الحساب عندما يتمكن المحتالون من الوصول إلى حساباتك على وسائل التواصل الاجتماعي أو البريد الإلكتروني أو الخدمات المصرفية أو الحسابات الشخصية الأخرى. قال ونيس: “عادةً ما يتمكن المجرمون من الوصول إلى الحسابات ذات بيانات الاعتماد المسروقة التي يشترونها من خلال الويب المظلم أو أساليب الهندسة الاجتماعية التي تخدعك لمشاركة كلمة المرور الخاصة بك. ثم يستخدمون هذه الحسابات لسحب أموالك التي كسبتها بشق الأنفس”.
تمكن المحتالون من الوصول إلى البريد الإلكتروني الخاص بوكيل العقارات الخاص بها باستخدام تقنية “حشو بيانات الاعتماد”، وهو تكتيك يستخدم روبوتات الذكاء الاصطناعي لتجربة كل اسم مستخدم وكلمة مرور ممكنة حتى يتوصلوا إلى الإجابة الصحيحة.
استغل المحتالون المعلومات المتاحة في رسائل البريد الإلكتروني الخاصة بمعاملات وونيس لتنفيذ عملية احتيال متقنة. فقد قاموا بإنشاء شركة وهمية تدعي ملكيتها لمنزل، ثم أرسلوا رسالة بريد إلكتروني مزيفة إلى وونيس يطلبون فيها دفع مبلغ مالي على وجه السرعة، مستغلين بذلك ثقة الضحية.
اقرأ أيضًا.. تقرير: ارتفاع عمليات الاحتيال عبر ماكينات الصراف الآلي للبيتكوين
ارتفاع عدد عمليات الاحتيال
ارتفع عدد عمليات الاحتيال المعروفة للاستيلاء على الحسابات بنسبة 354% على أساس سنوي في عام 2023، مما أدى إلى خسائر بقيمة 13 مليار دولار، وفقًا لخدمة الكشف عن الاحتيال باستخدام الذكاء الاصطناعي Sift Science.
وقالت ونيس لـ“بيزنس إنسايدر”: “هذا الأسلوب هو أحد الأساليب التقليدية التي يتبعها المجرمون في عمليات الاحتيال، حيث يقومون بتكرار نفس السيناريوهات مرارًا وتكرارًا، مع إجراء بعض التعديلات الطفيفة لتضليل الضحايا. الهدف من وراء هذا التكرار هو إرباك الضحايا وجعلهم يصدقون الرواية الكاذبة للمجرمين”.
وقالت إنها تحققت لمعرفة ما إذا كان عنوان البريد الإلكتروني حقيقيًا ولاحظت أنه مُلحق بعنوان آخر، لكنها افترضت أنه جزء من نظام البريد الإلكتروني الآلي للشركة.
وأضافت: “زاد المحتالون من مصداقية مخططهم الخبيث بإرسال تعليمات سلكية مزيفة تحاكي تمامًا تلك التي ترسلها الشركة الأصلية. كانت هذه التعليمات مطابقة للأصل في كل التفاصيل، من الطباعة إلى الترويسة، مما جعل من الصعب التمييز بين الحقيقي والزائف”.
كان الاختلاف الوحيد بين التعليمات السلكية المزيفة والحقيقية هو إدراج رقم هاتف وبريد إلكتروني مزيفين، بالإضافة إلى معلومات حساب مصرفي خاطئة. لحسن الحظ، اتصلت الضحية بالرقم الأصلي للشركة لتأكيد هذه المعلومات، فتبين لها أن البيانات المصرفية المدونة في التعليمات السلكية المزيفة غير صحيحة.
وقالت: “لو كنت في عجلة من أمري واتصلت برقم الهاتف الموجود في النموذج، لكانوا هم، ولتظاهروا بأنهم الشركة العقارية قائلين: نعم هذا أصلي، وقد جاء من عندنا”. مضيفة: “كان من الممكن أن نكون قد وقعنا في عملية احتيال عبر الإنترنت”.
اقرأ أيضًا.. تسهل المعاملات المالية وتقلل الاحتيال.. ما العقود الذكية؟
100 ألف دولار
وقالت ونيس إنها كانت ستخسر حوالي 100 ألف دولار إذا تمت الصفقة.
تعمل ونيس الآن في شركة للأمن السيبراني تدعى Fingerprint، والتي تقول إنها تعمل على تطوير أدوات لمكافحة تزايد عمليات الاستيلاء على الحسابات. وقال ونيس إن بعض مفاتيح مكافحة هذا النوع من الاحتيال هي الخوارزميات التي يمكنها تحديد مكان تواجد زائر موقع الويب (إذا كانوا يستخدمون VPN) وأنظمة لتحديد متى تحاول الروبوتات الوصول إلى موقع ويب من خلال القوة الغاشمة.
إذا كنت تعتقد أن أيًا من حساباتك قد تم اختراقه، تنصح “ونيس” بتغيير جميع أسماء المستخدمين وكلمات المرور الخاصة بك بسرعة، وإعداد المصادقة الثنائية لأي حسابات حساسة، والإبلاغ عن أي احتيال إلى موقع الإبلاغ عن الاحتيال الخاص بلجنة التجارة الفيدرالية (FTC).