كيف كشفت مزحة بسيطة عام 1971 ثغرةً ما زالت تهدد أمان مدفوعاتك اليوم؟
من مزحة بسيطة عام 1971 إلى ثغرات استُغلت لاحقاً لاعتراض رموز التحقق والموافقة على مدفوعات احتيالية، تحوّل يكشف لماذا لم تعد الرسائل النصية وحدها كافية لحماية المدفوعات.
عام 1971، وفي إحدى غرف السكن الجامعي بجامعة كاليفورنيا في بيركلي، كان طالب الهندسة ستيف وزنياك وصديقه ستيف جوبز، الذي لم يكن قد التحق بالجامعة بعد، منهمكين في تجربة نسخة رقمية ابتكراها لجهاز يُعرف باسم «الصندوق الأزرق»، وهو جهاز كان هواة الاتصالات يستخدمونه آنذاك للتلاعب بشبكات الهاتف والتحكم في المكالمات.
وبطبيعة الحال، لم يفوّت الشابان فرصة إجراء مكالمات دولية مجاناً، فقررا تنفيذ مقلب لا يُنسى ومحاولة الاتصال ببابا الفاتيكان نفسه.
كادت الخطة أن تنجح، اتصل وزنياك بالفاتيكان وانتحل شخصية هنري كيسنجر، لكن أحدهم هناك شك في الأمر واكتشف الخدعة قبل أن تصل سماعة الهاتف إلى البابا.
وهكذا انكشفت الخدعة قبل أن تصل إلى هدفها، لكنها كشفت في الوقت نفسه حقيقة مهمة، وهي أن شبكات الهاتف، مهما بدت محكمة، يمكن التلاعب بها متى عرف أحدهم كيف تعمل وأين تكمن ثغراتها.
عندما فشل خط الدفاع الأخير
بعد أكثر من أربعين عاماً على قصة "الصندوق الأزرق"، وجد المجرمون طريقةً أخطر لاستغلال ثغرات شبكات الهاتف، للقيام بعمليات احتيال ضخمة استهدفت الحسابات المصرفية.
بدأ الهجوم برسائل إلكترونية بدت وكأنها مرسلة من أحد البنوك الألمانية لعملائها، فانخدع بها عدد من العملاء وأدخلوا بيانات حساباتهم عبر الروابط المرفقة.
بحلول منتصف يناير 2017، كان المهاجمون قد استخدموا هذه البيانات للدخول إلى الحسابات وتجهيز التحويلات، إلا أن إتمامها كان يتطلب تجاوز خطوة أخيرة، وهي رمز التحقق الـ OTP الذي ترسله البنوك إلى هاتف صاحب الحساب للتأكد من أنه من يوافق على العملية.
عندها لجأ المهاجمون إلى شبكة الهاتف نفسها، واستغلوا ثغرةً طالت بعض عملاء شركة O2 في ألمانيا، وتمكنوا من إعادة توجيه رسائل التحقق الـ OTPs عبر شبكة أجنبية إلى هواتف خاضعة لسيطرتهم.

أرسلت البنوك الرموز معتقدة أنها ستصل إلى أصحاب الحسابات، لكنها وصلت إلى المهاجمين، فتحول الإجراء الذي كان يفترض أن يمنع السرقة إلى الخطوة التي سمحت بإتمامها.
هل نحن آمنون فعلاً؟
هذه هي الخلاصة الأهم في عالم المدفوعات، فنجاح الهجوم لا يعني بالضرورة وجود خلل في آلية الدفع نفسها، لأن المهاجم قد يصل إلى العملية من خارجها، عبر هاتف العميل أو جهازه أو شبكة الاتصالات أو حتى وسيلة المصادقة المستخدمة لإتمام الدفع.
ولهذا لم تعد رموز التحقق المرسلة عبر الرسائل النصية الـ OTPs تمنح المستوى نفسه من الثقة الذي كانت تمنحه سابقاً، لأنها تصل إلى العميل عبر شبكة الهاتف، وهي حلقة لا يملك التاجر القدرة على التحكم بها، بينما نجح المجرمون بإيجاد أكثر من طريقة لاعتراض هذه الرسائل أو تحويلها إلى هواتفهم.
التجربة التي كشفت الخطر أمام الجميع
في سبعينيات القرن الماضي، تمّ تطوير نظام SS7 ليربط بين شركات الاتصالات وينظم انتقال المكالمات والرسائل بينها. كانت شبكات الهاتف آنذاك محدودةً وتعمل ضمن دائرة صغيرة ضيقة من الجهات الموثوقة، لذلك لم يكن النظام مصمماً لمواجهة محاولات التسلل التي ظهرت لاحقاً، فتحولت الثقة التي بُني عليها إلى واحدة من أبرز نقاط ضعفه.
في عام 2016، أي قبل عام واحد فقط من الهجوم على البنوك الألمانية، عرض باحثون أمام الجمهور كيف يمكن استغلال نظام SS7 لتحويل الرسائل النصية المرسلة إلى هاتف شخص آخر، بما في ذلك رموز التحقق التي تستخدمها البنوك والخدمات الإلكترونية للموافقة على عمليات الدفع وتسجيل الدخول.
فبمجرد وصول المهاجم إلى منظومة الإشارات في شبكة الاتصالات، كان بإمكانه استهداف رقم معين وتغيير مسار الرسائل الواردة إليه، لتصل رموز التحقق إلى هاتف آخر من دون أن يراها صاحب الرقم. وبينما ينتظر العميل وصول الرمز، يكون المهاجم قد حصل عليه واستخدمه للموافقة على العملية.
أثبتت هذه التجربة أن صحة رمز التحقق وحدها لا تكفي لحماية العملية، لأن الرمز يفقد قيمته الأمنية متى أصبحت القناة التي تنقله عرضةً للاختراق.
مرحلة جديدة في التحقق من المدفوعات
تتجه الجهات التنظيمية في منطقة الشرق الأوسط وشمال إفريقيا إلى رفع مستوى التحقق من هوية العملاء، فلم يعد الاعتماد على رمزٍ يُرسل عبر رسالة نصية كافياً وحده للموافقة على العمليات التي تنطوي على مخاطر مرتفعة.

ولهذا بدأت البنوك ومؤسسات الدفع في إضافة وسائل تحقق أقوى، مثل الموافقة على العملية من داخل التطبيق، وربط الحساب بجهاز مسجل، واستخدام البصمة أو الرقم السري، إلى جانب أنظمة تراقب سلوك العملية وتقيّم مستوى الخطر قبل الموافقة عليها.
في المملكة العربية السعودية على سبيل المثال، يوضح إطار الأمن السيبراني الصادر عن البنك المركزي السعودي أن رمز التحقق عبر الرسائل النصية لا ينبغي أن يكون وسيلة التحقق الوحيدة. ويتكرر التوجه نفسه في إرشادات مصرف الإمارات العربية المتحدة المركزي للمؤسسات المالية المرخصة، بينما دفعت تعليمات بنك الكويت المركزي البنوك إلى الاعتماد بصورة أكبر على الرموز التي تُنشأ داخل التطبيقات والتحقق من الأجهزة المسجلة.
تسير هذه الإجراءات في الاتجاه الصحيح لمكافحة الاحتيال، ورغم أنها لا تمنع جميع محاولاته، فإنها تقلل الاعتماد على رسالة نصية واحدة، وهي الحلقة التي تعلّم المهاجمون كيف يستهدفونها.
كيف تتطور آليات حماية المدفوعات؟
لم تعد حماية المدفوعات تتجه نحو إرسال مزيد من الرموز، بل نحو جعل الموافقة أقرب إلى العميل وأكثر ارتباطاً بتطبيقه وجهازه المسجل، بحيث تتم العملية داخل بيئة موثوقة يصعب اعتراضها أو التلاعب بها.

الموافقة من داخل التطبيق
عند استخدام هذه الطريقة، يصل طلب الدفع إلى تطبيق البنك أو المحفظة الرقمية، فيراجع العميل اسم التاجر وقيمة العملية ثم يؤكدها من داخل التطبيق نفسه. وبهذا تبقى خطوة الموافقة بعيدة عن الرسائل النصية، فلا يكون من السهل اعتراضها أو تحويلها إلى رقم آخر.
ويتضح هذا التوجه أيضاً في أنظمة الدفع المحلية. ففي الإمارات، يتيح "آني" تنفيذ المدفوعات الفورية والدفع عبر رموز QR وإرسال طلبات الدفع والتحويل من خلال المؤسسات المالية المشاركة، بينما توفر "بنفت باي" في البحرين وسائل تمكّن العملاء من مسح رمز الدفع والتحقق من العملية والموافقة عليها مباشرةً ضمن التطبيق.
التحقق البيومتري
تسمح وسائل التحقق البيومتري للعميل بتأكيد العملية باستخدام بصمة الإصبع أو التعرّف إلى الوجه أو الرقم السري لجهازه، من دون الحاجة إلى رمز يصل عبر رسالة نصية.
وتعتمد خدمتا Visa Payment Passkey وMastercard Payment Passkey على هذا النهج، إذ ترتبط الموافقة بجهاز العميل ووسيلة الحماية المستخدمة عليه. كما قدمت تاب للمدفوعات بالتعاون مع ماستركارد حلاً هو الأول من نوعه عالمياً للدفع عبر ضغطة زر واحدة باستخدام رموز المصادقة البيومترية لتوفير تجربة أكثر أماناً في معاملات التجارة الإلكترونية.
وبهذه الطريقة، لا تقتصر الحماية على التأكد من صحة الرمز، بل تمتد إلى التحقق من هوية العميل والجهاز الذي يستخدمه والعملية التي يوافق عليها، وهو الاتجاه الذي تسير نحوه أيضاً أنظمة الدفع المحلية في المنطقة.
كيف يمكن للتجار حماية تجربة الدفع؟
ليس بمقدور التاجر التحكم في شبكة الهاتف أو في الطريقة التي يعتمدها بنك العميل لتأكيد الدفع، لكنه يستطيع اختيار منظومة دفع تواكب متطلبات الأمان التي تفرضها البنوك وشبكات الدفع والجهات التنظيمية من خلال:
1- اختيار مزود دفع يدعم تقنية 3D Secure، ويتيح للبنك المُصدر التحقق من هوية حامل البطاقة، مع دعم أي إجراءات إضافية تفرضها البنوك أو شبكات البطاقات أو الجهات التنظيمية.
2- لا تطلب من عملائك مشاركة رمز التحقق أو رمز الأمان أو بيانات الدخول إلى حساباتهم المصرفية عبر الهاتف أو البريد الإلكتروني أو واتساب أو المحادثة المباشرة.
3- استخدم واجهات دفع آمنة، وواظب على تحديث موقعك وصفحة إتمام الدفع والربط التقني مع أنظمة الدفع.
4- راقب أي نشاط غير معتاد، مثل تكرار محاولات الدفع أو التغير المفاجئ في قيمة الطلب أو إجراء عدة عمليات من الجهاز نفسه.
5- وضّح للعملاء إجراءات الحماية المتبعة، من دون إضافة خطوات لا تحتاج إليها كل عملية دفع.
بالنسبة للتجار والشركات فإنَّ الأمر لا يتعلق بمنع الاحتيال فقط، بل بحماية ثقة العملاء، وتقليل مخاطر الاستيلاء على الحسابات، وضمان بقاء تجربة الدفع متوافقة مع المتطلبات التي تتغير باستمرار.
تواصل مع فريقنا في تاب للمدفوعات لبناء تجربة دفع تدعم تقنية 3D Secure ووسائل التحقق الحديثة ووسائل الدفع المحلية في مختلف أسواق المنطقة.
تفضل بزيارة موقعنا وتحدث مع أحد خبراء المدفوعات لدينا لتبدأ باستقبال مدفوعاتك اليوم بكل سهولة وأمان.