ارتفاع حصيلة التصيد يقوض الثقة في البنوك
لا شيء يجذب انتباه المستهلك أكثر من رسالة بريد إلكتروني عاجلة من مصرفه تحذره من أن حسابه قد تعرض لخرق أمني. وهذه هي المشكلة حقًا.
اعتادت رسائل البريد الإلكتروني الاحتيالية أن تكون واضحة وسهلة التحديد. ولكن في السنوات الأخيرة، أصبحت معقدة للغاية ويمكن تصديقها لدرجة أنه حتى محترفي الأمن السيبراني المدربين لا يمكنهم دائمًا تحديد ما هو حقيقي أو غير حقيقي. في كثير من الحالات، يستخدم المجرمون الآن تنبيهات الأمان ورسائل البريد الإلكتروني التي تشبه تمامًا تلك المرسلة من البنوك للحصول على معلومات تسجيل دخول العملاء.
كان المجرمون دائمًا من ذوي الحيلة والابتكار، وسارعوا إلى الاستفادة من النمو السريع في الخدمات المصرفية الرقمية أثناء الوباء، حيث أصبح المستهلكون أكثر اعتيادًا على التعامل عن بُعد مع المؤسسات المالية. لا يؤدي التهديد إلى تقويض ثقة المستهلك فحسب، بل يعقد مهمة التواصل مع العملاء.
سبايك كبير في رسائل البريد الإلكتروني الزائفة
التصيد الاحتيالي هو ببساطة نوع من عمليات الاحتيال حيث يستخدم المهاجم رسائل احتيالية مصممة لخداع الضحية للكشف عن معلومات حساسة. هناك العديد من الاختلافات في شراء معظم هجمات التصيد الاحتيالي تتكون من بريد إلكتروني مقنع بذكاء من مصدر موثوق يطلب من المستلم زيارة موقع ويب أو تطبيق وتسجيل الدخول إلى حسابه. في حين أن هجمات التصيد الاحتيالي بسيطة نسبيًا، إلا أنها فعالة للغاية، كما يقول سيباستيان جوتال ، كبير مسؤولي العلوم في Vade ، لـ The Financial Brand .
ما الذي تغير:
بالنظر إلى الإمكانات التي توفرها الخدمات المصرفية الرقمية المتزايدة، يستخدم المجرمون “النفوذ النفسي” في رسائل البريد الإلكتروني المزيفة.
وفقًا لتقرير Vade’s Phisher’s Favorites للنصف الأول من عام 2021، قفزت محاولات التصيد بشكل كبير في منتصف عام 2021، حيث ارتفعت بنسبة 281٪ في مايو 2021 و284٪ أخرى في يونيو. من بين أكثر 25 علامة تجارية تم انتحال الهوية مدرجة في التقرير، كانت ثماني مؤسسات مالية، والتي شكلت 36٪ من عناوين URL للتصيد الاحتيالي التي تم اكتشافها.
تصدرت شركة Crédit Agricole الفرنسية العملاقة للخدمات المالية القائمة باعتبارها أكثر العلامات التجارية انتحالًا للهوية في العالم مع 17555 عنوان URL فريد للتصيد الاحتيالي. ومن بين الشركات الأخرى لاس بانك بوستالي وباي بال وتشيس وويلز فارجو. HSBC، والبنك الشعبي.
المالية هي هدف رئيسي للتصيد الاحتيالي لأنها طريقة جيدة للحصول على بيانات اعتماد المستهلكين واستخدامها لتحقيق نجاح سريع، كما يلاحظ جوتال. يتصل المجرمون بالحساب ويستولون عليه ويقومون بتحويل بنكي.
تستخدم معظم هجمات التصيد الاحتيالي “نفوذًا نفسيًا” ورسائل مقنعة لجذب الضحايا إلى اتخاذ إجراءات، كما يقول جوتال. غالبًا ما تتضمن رسائل التصيد الاحتيالي الشائعة المتعلقة بالبنك إشعارات حول إغلاق الحسابات أو الأرصدة المنخفضة أو الفرص. على عكس الهجمات الرقمية ذات القوة الغاشمة، فإن القصد من التصيد الاحتيالي هو الحصول على المعلومات بسرية والوصول إلى حساب والابتعاد عن الأموال قبل أن يعرف الضحية حتى أن أي شيء قد حدث.
اصطياد الماركات المصرفية
على الرغم من أن التصيد الاحتيالي ليس أسلوبًا جديدًا، إلا أنه أصبح أكثر انتشارًا، ويتزايد استخدام المجرمين للعلامات التجارية للبنوك باعتبارها “الطُعم”. وفقًا لتقرير تصيد العلامة التجارية للربع الأول من عام 2021 الصادر عن Check Point Research ، فقد تجاوزت الخدمات المصرفية الآن التجزئة باعتبارها الصناعة رقم ثلاثة للقراصنة للحصول على المعلومات الشخصية للعميل وإساءة استخدامها.
تسرد Check Points Microsoft على أنها العلامة التجارية الأكثر استهدافًا من قبل التصيد الاحتيالي (39٪ من جميع الهجمات العالمية). تشمل الشركات الأخرى Google (9٪) ، و Amazon (5٪) ، و Wells Fargo (4٪) ، و Chase (2٪) ، و LinkedIn (2٪) ، و Apple (2٪) ، و Dropbox (2٪).
صعدت لعبتهم:
كان من المعتاد أن يكون المخادعون مجموعة غير متطورة. الآن، يصعب على الخبراء اكتشاف مواقع الويب الزائفة.
قد يتلقى المستهلكون رسائل بريد إلكتروني تصيدية من البنوك التي لا يتعاملون معها حتى. لكن يكون الأمر أكثر تصديقًا عندما يكون ذلك البنك الخاص بهم، ويبدو البريد الإلكتروني تمامًا مثل البريد الإلكتروني الشرعي الذي تلقوه في الماضي. في أحد الأمثلة التي لاحظتها Check Point Research ، أرسل مجرم بريدًا إلكترونيًا احتياليًا إلى عميل Wells Fargo ، مشيرًا إلى أن حسابه قد تم تعطيله.
كما لوحظ، تسبب الوباء في زيادة هجمات التصيد الاحتيالي. يقول تقرير فادي: “في بداية الأزمة، استفاد رجال الأعمال والمواطنون في جميع أنحاء العالم من قروض الأعمال المدعومة من الحكومة وتأجيل الدفع أو” الإجازات “من البنوك الاستهلاكية والاتحادات الائتمانية”.
والنتيجة المثيرة لهذا الأمر هي أنه مع عودة الاقتصادات الكبرى في العالم إلى طبيعتها، فإن “الفاتورة مستحقة” لمثل هذه التأجيلات.
“هذا سلاح مهم للمخادعين لاستخدامه ضد الشركات والمواطنين الأفراد الذين اقترضوا أو أجلوا، ويمكن أن يشير إلى استمرار الاتجاه نحو التصيد الاحتيالي للخدمات المالية مع انتهاء صلاحية تأجيل الدفع في جميع أنحاء العالم،” يلاحظ فادي.
“دكتور HeX” ناببد ، لكن “الحلقات” الأخرى تتكاثر
أشار جوتال إلى أن العديد من الهجمات في الأيام الأولى للوباء حملت مواضيع متعلقة بـ COVID تتعلق بأموال الإغاثة أو إعانات البطالة أو قروض الشراكة بين القطاعين العام والخاص. تضمنت عمليات الاحتيال الحديثة الرسائل حول اللقاحات. لقد تم الضغط على الناس بشأن أعمالهم وشيكات رواتبهم، وهم ضعفاء عاطفياً. يستغل المجرمون ذلك.
كما يتقدم المجرمون بشكل متزايد في هجماتهم. يقول جوتال إن العديد منهم يديرون الآن حلقات تصيد كبيرة تعمل كعمل تجاري شرعي. هذه الحلقات متطورة للغاية، وغالبًا ما تظل غير مكتشفة لسنوات. في أوائل يوليو 2021، ألقى الإنتربول و Group-IB القبض على مشتبه به في المغرب بعد عامين من تعقبه. انتحل “دكتور HeX”، كما كان معروفًا، خدمات مصرفية عبر الإنترنت واستدرج أصحاب الحسابات لتقديم بيانات اعتماد حساباتهم وشارك في الآلاف من مخططات التصيد الاحتيالي وعمليات الاحتيال الأخرى.
كانت إحدى الإستراتيجيات الجديدة التي بدأ المخادعون في استخدامها في عام 2020 هي تضمين المزيد من النص في الصور لتجاوز عوامل تصفية الأمان. يمكن لهذه المرشحات مسح النص بسرعة للتحقق من صحة رسائل البريد الإلكتروني، ولكن يصعب القيام بذلك عندما تكون الصورة مرتبطة وغير مرفقة بالبريد الإلكتروني. يقول جوتال: “لا يمكنك تصفيته في الوقت الفعلي”. أنت بحاجة إلى الاستفادة من تقنيات رؤية الكمبيوتر وهي مكلفة “.
في مثال آخر على التصيد الخلاق، استخدم المجرمون التنبيهات الأمنية لسحب الخداع. في المثال الفعلي أدناه من تقرير Vade لعام 2020، يحذر البريد الإلكتروني الوهمي لبنك أمريكا الضحية من استخدام جهاز جديد مع حسابه المصرفي. كما لاحظ Vade ، لا يتضمن البريد الإلكتروني بذكاء الرابط حتى النهاية للتأكد من أن الهدف “مُجهز بشكل كافٍ”.
محاربة المخادعين
من السهل الاعتقاد بأن الحمقى فقط هم من يقعون في مثل هذه الحيل، لكن هذا بعيد كل البعد عن الواقع. في حملات “التصيد بالرمح”، سيبذل المجرمون جهودًا كبيرة لتخصيص رسائل البريد الإلكتروني وتخصيصها. هدف كبير ليس المستهلكين، ولكن موظفي المؤسسات المالية، الذين يمكنهم الكشف عن معلومات الحساب دون قصد.
ابدأ بالموظفين:
لا تستطيع المؤسسات المالية التحكم في رسائل البريد الإلكتروني التي يفتحها العملاء، ولكن يمكنها المساعدة في ضمان عدم خداع موظفيها.
يمكن للبنوك والاتحادات الائتمانية التخفيف من هذه المخاطر من خلال التدريب والتوعية. كتب براد نيومان، المدير الأول لإدارة المخاطر في CUNA Mutual Group ، في مقال مفاده أن الموظفين يجب أن يكونوا خط الدفاع الأول مع التدريب المتكرر على الهندسة الاجتماعية والتصيد الاحتيالي. “يجب عمل التذكيرات بانتظام بعدم فتح رسائل البريد الإلكتروني المشبوهة، وعدم النقر فوق الروابط أو فتح المرفقات الواردة في رسائل البريد الإلكتروني هذه، وتوخي الحذر قبل زيارة مواقع الويب غير المعروفة”، كما يقول نيومان.
ولكن حتى أفضل حماية من جانب المؤسسة لا تفعل شيئًا لحماية المستهلكين على الطرف المتلقي. فيما يلي عدة طرق يمكن للبنوك والاتحادات الائتمانية من خلالها زيادة الوعي.
ينصح Wells Fargo العملاء بعدم تسجيل الدخول إلى حساباتهم مطلقًا من خلال رابط في رسالة مريبة. عندما تكون في شك، فإن أفضل إجراء هو فتح نافذة متصفح جديدة، واكتب عنوان الويب وتسجيل الدخول إلى الحساب من هناك.
يحذر بنك PNC عملائه من أنه على الرغم من أنه قد يطلب منهم من حين لآخر الرد على رسالة نصية، فإنه لن يطلب من العملاء أبدًا النقر فوق ارتباط من رسالة نصية. يلاحظ PNC أن العلامات الحمراء الشائعة لهجوم التصيد الاحتيالي أو “التصيد الاحتيالي” (الرسائل القصيرة أو الرسائل النصية أو التصيد الاحتيالي) تشمل:
- أخطاء إملائية
- أخطاء قواعدية
- خلق شعور بالإلحاح
- طلب معلومات التعريف الشخصية
- طلب معرفات المستخدم وكلمات المرور
تحتوي حملة “البنوك لا تسأل أبدًا” التابعة لجمعية المصرفيين الأمريكية على تحذير بالمعلومات الموجهة للمستهلكين بشأن عمليات التصيد الاحتيالي وكيفية التعرف عليها. تلاحظ ABA أنه بينما قد يُطلب من المستهلكين التحقق من المعلومات السرية عند الاتصال بالبنك، نادرًا ما يكون العكس.
غالبًا ما تتضمن رسائل البريد الإلكتروني الخادعة أساليب تخويف، وتطلب معلومات سرية، وتوجه المستهلك إلى رابط. يقدم موقع ABA أيضًا اختبارًا حيث يمكن للمستهلكين اختبار مهاراتهم في تحديد عمليات الاحتيال الشائعة ذات الصلة بالبنك.
المصدر: thefinancialbrand
شاهد المزيد:
