كادت مديرة تنفيذية سابقة في شركة ماستركارد أن تتعرض لعملية احتيال بمبلغ 100 ألف دولار. وإليك كيف اكتشفت الأمر.
يبدو أن هذا الأمر قد يحدث لأي شخص، حتى أولئك الذين يعملون في قطاع التمويل.
قالت مديرة تنفيذية سابقة في شركة ماستركارد لموقع Business Insider إنها خسرت ما يقرب من 100 ألف دولار في عملية احتيال للاستيلاء على حساب العام الماضي.
تقول كاثرين وونيس، نائبة الرئيس السابقة لشركة CipherTrace، وهي خدمة مملوكة لشركة ماستركارد تساعد في تأمين معاملات التشفير، إنها كادت تفقد معظم مدخرات حياتها بعد أن تمكن المحتالون من الوصول إلى البريد الإلكتروني لوكيل العقارات الخاص بها.
تحدث عملية الاحتيال بالاستيلاء على الحسابات عندما يتمكن المحتالون من الوصول إلى حساباتك على وسائل التواصل الاجتماعي أو البريد الإلكتروني أو الخدمات المصرفية أو غيرها من الحسابات الشخصية. وقال وونيس إن المجرمين عادة ما يتمكنون من الوصول إلى الحسابات باستخدام بيانات اعتماد مسروقة يشترونها من خلال شبكة الويب المظلمة أو تكتيكات الهندسة الاجتماعية التي تخدعك لمشاركة كلمة مرورك. ثم يستخدمون هذه الحسابات لسرقة أموالك التي كسبتها بشق الأنفس.
ارتفع عدد عمليات الاحتيال المعروفة للاستيلاء على الحسابات بنسبة 354% على أساس سنوي في عام 2023، مما أدى إلى خسائر بقيمة 13 مليار دولار، وفقًا لخدمة اكتشاف الاحتيال بالذكاء الاصطناعي Sift Science.
في حالة وونيس، تمكن المحتالون من الوصول إلى البريد الإلكتروني لوكيل العقارات الخاص بها باستخدام “حشو بيانات الاعتماد”، وهو تكتيك يستخدم روبوتات الذكاء الاصطناعي لمحاولة كل اسم مستخدم وكلمة مرور ممكنة حتى يتوصلوا إلى الإجابة الصحيحة.
استخدم المحتالون المعلومات التي عثروا عليها في رسائل البريد الإلكتروني حول معاملات وونيس لانتحال هوية شركة تسجيل الملكية لمنزلها. ثم أرسلت الشركة المزيفة رسالة بريد إلكتروني إلى وونيس تطلب فيها سدادًا “معجلًا”.
وقال وونيس “هذا أمر شائع للغاية يستخدمه المجرمون في عمليات الاحتيال: يحاولون تنفيذ بعض العمليات بوقت محدد”.
وقالت وونيس إنها تحققت لمعرفة ما إذا كان عنوان البريد الإلكتروني حقيقيًا ولاحظت أنه مُلحق بعنوان آخر، لكنها افترضت أنه جزء من نظام البريد الإلكتروني الآلي للشركة.
“لقد أرسلوا لي تعليمات سلكية تحاكي تمامًا تعليمات السلك من الشركة التي تحمل الاسم. كان لديهم مثال لكيفية ظهور ذلك”، كما قال وونيس. “كانت نفس الطباعة تمامًا، ونفس رأس الرسالة تمامًا، وكل شيء آخر.”
كانت الاختلافات الوحيدة عن التعليمات البنكية الحقيقية هي رقم هاتف مزيف وبريد إلكتروني، بالإضافة إلى معلومات بنكية غير صحيحة. قالت وونيس إنها اتصلت برقم الهاتف الذي تلقته في الأصل من شركة العنوان، التي أبلغتها أن معلومات الحساب المصرفي غير صحيحة في النموذج.
وقالت “لو كنت في عجلة من أمري واتصلت برقم الهاتف الموجود على النموذج، لكانوا هم من قاموا بذلك، وكانوا ليتظاهروا بأنهم شركة العقارات ويقولون: “نعم، هذا حقيقي، وهو منا”، وكان من الممكن أن نتعرض للوقوع في عملية احتيال عبر الإنترنت”.
وقالت وونيس إنها كانت ستخسر حوالي 100 ألف دولار لو تمت هذه الصفقة.
وتعمل وونيس الآن في شركة للأمن السيبراني تدعى Fingerprint، وتقول إنها تعمل على تطوير أدوات لمكافحة ارتفاع حالات الاستيلاء على الحسابات. وقالت وونيس إن بعض مفاتيح مكافحة هذا النوع من الاحتيال تتمثل في الخوارزميات التي يمكنها تحديد مكان زائر الموقع (إذا كان يستخدم شبكة خاصة افتراضية) والأنظمة التي تحدد متى تحاول الروبوتات الوصول إلى موقع ما من خلال القوة الغاشمة.
إذا كنت تعتقد أن أيًا من حساباتك قد يكون معرضًا للخطر، يقول وونيس أنه عليك تغيير جميع أسماء المستخدمين وكلمات المرور بسرعة، وإعداد مصادقة ثنائية العوامل لأي حسابات حساسة، والإبلاغ عن أي احتيال إلى موقع الإبلاغ عن الاحتيال التابع للجنة التجارة الفيدرالية.