تسبّبت «آبل باي» في الكويت أخيراً بفتح حديث مصرفي جماعي، بعد ورود شكاوى من عملاء يستخدمون الخدمة تفيد بتعرّضهم لعمليات احتيال مالي، حيث تبين نجاح «هاكرز» في نسخ بيانات تعريف «آبل باي» الخاصة ببعض العملاء لأجهزة مرتبطة بهم خارج الكويت بعد تزويد هؤلاء العملاء للـ«هاكرز» ببياناتهم المصرفية ورموزها السرية، ما مكّنهم من تنفيذ مشتريات سُحبت قيمها من حسابات الضحايا، رغم أن بعضهم كان جالساً في بيته بهذا الوقت، وآخرين بالعمل.
وعلى أثر ذلك، يقود مسؤولو المصارف المحلية تحركات مختلفة بهدف التصدي لطريقة القرصنة الجديدة، مدفوعين بتوصية من شركتي فيزا وماستركارد لزيادة توعية العملاء حول ضرورة عدم مشاركة بياناتهم المصرفية وتقديم تطوير إضافي لأنظمة الحماية من الثغرة الجديدة التي فُتحت عبر مدفوعات «آبل باي» وغيرها.
ورقمياً، تفاوتت قيم المشتريات المنفّذة والمبلّغ عنها من الكويت لصالح «هاكر» بين 200 و1200 دينار، فيما تركزت المدفوعات في أسواق مختلفة يأتي في مقدمتها الإمارات وجنوب أفريقيا وإسبانيا. وإلى ذلك، أكدت المصادر أنه يصعب مصرفياً استرداد المبالغ المقرصنة عبر خدمة «آبل باي»، وتحديداً إذا تم تزويد «الهاكر» برمز التحقق.
حساب العميل
وفي التفاصيل، كشفت مصادر مطلعة لـ«الراي» استحداث أساليب احتيال جديدة، بينها استهداف مستخدمي «آبل باي»، مبينة أن البنوك تلقت بلاغات تفيد بأن بعض العملاء تفاجأوا بخصم من أرصدتهم على مشتريات لا تخصهم، ما يطرح السؤال واسعاً: كيف نجح «الهاكرز» في السطو على أجهزة العملاء «آبل باي» في الكويت ونسخ خدمتهم من الخارج؟
ببساطة وبعيداً عن أي تعقيد، يقوم «الهاكر» بدوره التقليدي في الاتصال بالعميل عبر رسالة نصية، أو عبر «واتساب»، وربما اتصالاً هاتفياً من شخص يدعي أنه من البنك الذي يتعامل معه، أو ينتحل صفة موظف في البنك المركزي، يحذّر من إيقاف بطاقته المصرفية، فضلاً عن الطريقة المتكررة والتي تأتي تحت عنوان «مبروك ربحت معنا».
وفي الاتصال نفسه يطالب «الهاكر» الضحية بتزويده ببياناته السرية لإعادة تشغيل بطاقته مثل رقم البطاقة أو رقم التعريف المتواجد في ظهرها، والجزء الأخطر إذا أقنع ضحيته بتزويده برمز التحقق الـ«OTP».
ففي هذه الحالة، سيكون بإمكان «الهاكر» نسخ بطاقة العميل على جهازه، وبالتالي التحكم في مدفوعاته عبر «آبل باي» مثل صاحب البطاقة تماماً، إلى أن يكتشف تعرضه للاحتيال ويوقف بطاقته.
وبمجرد تفريط العميل في بياناته المصرفية، خصوصاً رمز التحقق، يكون زاد فرص نجاح «الهاكر» في الاحتيال عليه، لا سيما أنه لا يُشترط لتفعيل «آبل باي» تصوير البطاقة المصرفية، بل يمكن الاكتفاء بإدخال رقمها إلى أي من الأجهزة المسموح بربط الخدمة بها.
حصرية الجهاز
وما يستحق الإشارة أن شركتي فيزا وماستر كارد لا تخزّنان بيانات بطاقات العملاء الذين يستخدمون «آبل باي»، بل تحوّل أرقامها إلى بيانات موازية مكوّنة من 16 رقماً باسم «TOKIN»، ما يسهّل نسخ «آبل باي» في أجهزة أخرى، دون التقيد بحصرية الجهاز الأول.
وهذا يعني إجرائياً أنه يمكن تفعيل مدفوعات «آبل باي» عبر أكثر من جهاز، وفي الوقت نفسه أو في أوقات مختلفة بغض النظر عن موقع السحب سواء داخل الكويت أو خارجها، علماً أن خطورة هذه القرصنة قد تتضاعف إذا كان العميل أنشأ محفظة دفع تضم أكثر من بطاقة.
ولفتت المصادر إلى اتفاق مصرفي يدفع بأن يقدم كل بنك تصوراته لزيادة قدرته على مكافحة الاحتيال المالي بشكل عام، والنافذة المستجدة عبر «آبل باي» خاصة، على أن يتم استمزاج جميع الآراء في إجراءات جماعية تقوّي مصدات الحماية المصرفية.
العميل مسؤول عن مشاركة بياناته
لا تملك البنوك في حالات القرصنة سواء عبر «آبل باي» أو غيرها إلا وقف بطاقة العميل، وإعادة تصدير أخرى مع تأكيد ضرورة توخّيه الحذر أكثر في المرات المقبلة.
فمن الناحية القانونية مسؤولية تنفيذ الاحتيال المالي شخصية وتقع على العميل منفرداً وليس على البنك، على أساس أن الاختراق لم يتم بسبب قصور الأنظمة المصرفية بل لمشاركة العميل بياناته المصرفية لآخرين، كما لا يمكن إلزام التاجر بالمساعدة في رد المبالغ المحتال عليها، باعتبار أن عملية الشراء سليمة قانونياً وإجرائياً.
لماذا لا يستهدف «الهاكرز» «سامسونغ باي» مثل «آبل باي»؟
لعل من الاسئلة المشروعة ما يتعلق بأسباب تركز عمليات الاحتيال بالكويت في عملاء «آبل باي» وعدم وجود ما يفيد بتحقق ذلك مع عملاء «سامسونغ باي» رغم تشابه طرق الدفع وإجراءات الأمان بين الخدمتين.
وفي هذا الخصوص، أرجعت المصادر ذلك إلى أن عمليات «آبل باي» تشكل نحو 95 في المئة من إجمالي المدفوعات السريعة في الكويت ما يجعلها أكثر انكشافاً واستهدافاً من القراصنة، موضحة أن تدني حصة «سامسونغ باي» لا يُسقط فرضية قرصنة عملياتها.
وبيّنت أن ضيق عمليات «سامسونغ باي» محلياً يقلل فرص تعرض مستخدميها للاحتيال، أخذاً بالاعتبار أنه قد تكون هناك بلاغات عن عمليات احتيال وقع فيها عملاء هذه الخدمة لكن لمحدوديتها لم تلفت الانتباه.
