التصيّد الإحتيالي… شغّال
نشرة الإتحاد المصري لشركات التأمين ذات الرقم 245 جاءت غنية، كالعادة، بالمعلومات الدسمة والأرقام الموثوق بها والحلول الناصحة والمفيدة للعاملين في قطاع التأمين ولمن يدورون في فلك التكنولوجيا مهنياً. وما لفت فيها هو الموضوع المثير الذي عولج مرات من قِبل الإتحاد والذي يهمّ كل شخص: “مخاطر الهجمات الإلكترونية على المؤسسات المالية”. فمن المعروف أن هذه القرصنة ووسائلها العديدة، باتت مصدر قلق للأفراد، كما للبنوك والشركات، وخصوصاً أن التهديد الذي يُمارس بات مُدْعَماً بتهديد آخر أشدّ فتكاً: نشر المعلومات المقرصنة! فإلى أبرز ما ورد فيها في الأسطر التالية…
***
كل الأعمال التجارية، تقريباً، هي ضحية محتملة للجرائم الإلكترونية، لكن منفّذي هذه الجرائم غالباً ما يختارون ضحاياهم بناءً على معيارَيْن: الأول تحقيق أقصى قدر من الإيرادات، والثاني إحداث أقصى قدر من التأثير. وتُعتبر المؤسسات المالية، كالبنوك وشركات الخدمات المالية، أهدافاً رئيسة لكونها تستوفي هذين المعيارين، اذ تحتفظ ببيانات بالغة الأهمية من ناحية، وتُعزّز الجهود لزيادة فرص ارتكاب الجرائم للحصول على البيانات واستغلالها.
لذا تحتاج المؤسسات المالية أولاً وقبل كل شئ، إلى فهم أهمّ عوامل التهديد، ما يسمح لها بإعطاء الأولوية لمبادرات الأمن الالكتروني وإنشاء خطة ناجحة. وتُعَد برامج الفدية والتصيّد الاحتيالي وتطبيقات الويب والهجمات التي تُستغّل الثغرات الأمنية وهجمات رفض الخدمة (Denial of Services)، هي التهديدات الأكثر انتشاراً والتي تواجه المؤسسات المالية في العام 2022.
ويُظهر البحث الذي أجرته شركة IBM X-Force، أن 70٪ من الهجمات على المؤسسات المالية استهدفت البنوك، بينما استهدفت 16٪ منها شركات التأمين و 14% مؤسسات مالية أخرى في العام 2021. لذا تعاني المؤسسات المالية من القلق بشأن التهديدات الإلكترونية. فوفقاً لاستطلاع أعدّه مؤتمر مراقبي البنوك الحكومية (CSBS) في أيلول (سبتمبر) 2021، تمّ تصنيف مخاطر الأمن الإلكتروني من قبل أكثر من 80٪ من المصرفيين بأنها الأعلى، بل ضعف أي فئة أخرى من المخاطر التشغيلية.
بالطبع، هناك العديد من الأسباب لخطر الهجمات الالكترونية. فعلى سبيل المثال، تُشكّل تهديدات الأمن الالكتروني مخاطر تشغيلية ومخاطر تتعلق بالسمعة. فقد يؤدي هذا الهجوم إلى الإضرار بقدرة المؤسسة المالية على القيام بالأعمال التجارية أو تعطيلها تماماً. وعلاوة على ذلك، فقد يفقد العملاء الثقة وينقلون أعمالهم إلى مكان آخر بسبب الهجوم الإلكتروني، علماً أن أضرار الجرائم الإلكترونية تزيد بالنسبة للخدمات المالية، 40٪ في المتوسط مقارنة بالقطاعات الأخرى .
فما هي التحديات التي تواجه الأمن الالكتروني للمؤسسات المالية، خصوصاً في العام 2022؟ تجيب النشرة الرقم 245 للإتحاد المصري على هذا السؤال بالقول أن هناك أربعة تحديات: الأول، هو التحوّل الرقمي المستمر مع تبنّي المؤسسات المالية التقنيات الناشئة مثل الحوسبة السحابية Cloud Computing والذكاء الاصطناعي والخدمات الرقمية، خصوصاً مع انتشار جائحة كوفيد -19 التي تسبّبت بظهور البنوك الافتراضية، وتشغيل المزيد من التطبيقات والأجهزة الالكترونية وتطوّر البنية التحتية التكنولوجية الجديدة. كلّ ذلك يزيد من مخاطر الهجمات الالكترونية على المؤسسات المالية وعملائها.
ثاني هذه التحديات هو التشريعات واللوائح المتشدّدة، اذ أصبحت المؤسسات المالية أكثر اعتماداً على التكنولوجيا والبيانات لتقديم المنتجات والخدمات للعملاء، ما يزيد بدوره من تشّدد القواعد الرقابية لحماية مصالح العملاء وحماية النشاط التشغيلي للمؤسسات المالية. وقد استجابت الجهات الرقابية الحكومية والدولية لتزايد هذه التهديدات، بوضعها قواعد جديدة لمؤسسات الخدمات المالية التي تندرج تحت مظلتها.
ثالث هذه التحديات هو الإعتماد على مقدّمي خدمات من جهات خارجية تمثّل حلقة ضعيفة في سلسلة الأمن الالكتروني لتلك المؤسسات، اذ يستهدف منفذو الجرائم الجهات التي تقوم ببيع البرامج الالكترونية للعملاء باضافتها الفيروسات لتلك البرامج ليتمكنوا من اختراق الشبكات عند قيام هؤلاء العملاء بتحميل البرامج او تحديثها.
رابع هذه التحديات يكْمُن في المَزِجْ بين العمل عن بُعد مع العمل في المكتب والذي أدّى إلى زيادة المخاطر المؤسسية. فمع دخول الوباء عامه الثالث، أصبح العمل عن بُعد و استخدام تقنيات البرامج المستندة إلى السحابة Cloud ، أمراً معتاداً في كل مكان عمل تقريباً، ما اضطر الشركات إلى سرعة تبنيّ تقنيات جديدة ساعدت على التواصل عن بُعد، ما جعل أنظمة تكنولوجيا المعلومات أكثر تعقيداً، وبذلك توسّعت الثغرات ومعها توسّع نطاق الهجوم نطاق الهجوم وظهور تهديدات إلكترونية جديدة.
ويبقى السؤال المهم: هل هناك خطة استباقية فعّالة لتحقيق الأمن الإلكتروني؟ نعم، تقول النشرة، ولكن يجب استعراض أهم التهديدات، وصولاً الى الحلول، ومن أهمها تهديدات برامج الفدية Ransomware، وهو من البرامج الضارة التي تمنع أو تحد من وصول المستخدمين إلى نظامهم أو بياناتهم وتهدّد بنشر أو بيع البيانات المسروقة حتى يدفع الضحية رسوم فدية للمهاجم. وضمن هذا الإطار، شهدت الصناعة المصرفية زيادة بنسبة 1.3٪ في عدد هجمات برامج الفدية في العام 2021، وبذلك سجّل القطاع المصرفي-المالي، وفقاً ً لـ Trellix، 22٪ من إجمالي هجمات برامج الفدية في الربع الثالث من العام 2021 .
في البداية، منعت البرامج المشار اليها أعلاه، وصول المنظمات إلى بياناتها عن طريق تشفير الملفات والاحتفاظ بمفتاح فك التشفير، مقابل الحصول على فدية.. ومع ذلك، فقد تغلّبت المؤسسات المالية بأكثريتها على هجمات التشفير عن طريق تحسين إجراءات النسخ الاحتياطي للبيانات. لكن عصابات برامج الفدية طوّرت مستوى التهديد باعتمادها تهديداً آخر هو: تسريب البيانات المهمة المشفرة ونشرها إذا لم يتمّ دفع الفدية!
الى ذلك، يستخدم منفذو الجرائم الإلكترونية طُرُق ابتزازٍ أخرى مثل التهديد ببيع البيانات الحسّاسة والمهمة للمنافسين. ونتيجة لأساليب الابتزاز هذه، يكون لهجمات برامج الفدية تأثير هائل على الشركات المالية، بما في ذلك تعطّل الأعمال وفقدان الإيرادات والسمعة والبيانات وامكانية الافصاح عن المعلومات الحساسة.
على سبيل المثال، قدمت عصابتان من برامج الفدية، DarkSide و Ragnar Locker في الشهر نفسه، أدلّة على نجاح اختراقهم أنظمة ثلاثة بنوك صغيرة في الولايات المتحدة وسرقة البيانات والمطالبة بدفع فدية وزعموا أنهم سيكشفون عن بيانات مصرفية إضافية إذا لم يتمّ دفع المطلوب.
ثاني هذه التهديدات: التصيّد الإحتيالي Pishing، وهو وسيلة هجوم شائعة تُستخدم للوصول المبدئي إلى شبكات المؤسسات. وقد استُخدمت هذه الوسيلة في 46٪ من الهجمات ضد قطاع الخدمات المالية في العام 2021.
ويعتبر التصيّد الاحتيالي، حالياً، عملاً شاملاً يمكّن منفّذي الجرائم الإلكترونية من استخدامه على هيئة خدمة تقدّم للعملاء مثل تطوير صفحة تسجيل دخول مخادعة واستضافة مواقع الويب وإنشاء بريد للتصيّد الاحتيالي وإرسال رسائل بالبريد الإلكتروني. ويتمّ الاستفادة من مواقع الويب المخادعة وصفحات تسجيل الدخول التي تبدو مطابقة للموقع الرسمي للبنك من قبل المهاجمين في التصيّد الاحتيالي وتقنيات الهندسة الاجتماعية الأخرى. من ذلك، أن الباحثين اكتشفوا ارتفاعاً بنسبة 300 بالمائة في هجمات التصيّد التي استهدفت بنك Chase بين أيار (مايو) وآب (أغسطس) 2021، اذ تمّ تصميم مجموعات للتصيّد الاحتيالي لتبدو وتتصرف تماماً كبوابة الكترونية للبنك .
ولم توفّر الهجمات الإلكترونية قطاع التأمين ومؤسساته، بل إن الشركات أصبحت عرضة لها. فمن المعروف أن قطاع التأمين تعرّض للهجمات الالكترونية جنباً إلى جنب مع التطوّر التكنولوجي، وبخسائر جسيمة اشتملت على انتهاك سرية البيانات، أمن الشبكة، أنشطة الإعلام الإلكتروني (المعتمدة أو العرضية) للشركة ، التعطّل التكنولوجي، الابتزاز وأخيراً الاحتيال والسرقة الإلكترونية، اذ تتمّ سرقة أموال الشركة أو أصولها أو مصادرتها عن طريق الاحتيال، ما يؤدي إلى خسائر مالية.
يُشار هنا الى أن شركات التأمين في الولايات المتحدة، تبيع وثائق ضد الهجمات الالكترونية المنفردة أكثر من الوثائق المجمّعة. أما في أوروبا فتُظهر الإحصاءات أن أقساط التأمين ضد الهجمات الالكترونية المنفردة شكّلت 83٪ من أقساط التأمين الإلكتروني التي تمّ الإبلاغ عنها إلى اللجنة الأوروبية التأمينية للمراقبة EIOPA في العام 2018.
تصل النشرة أخيراً الى رأي الإتحاد المصري للتأمين ووجهة نظره بالنسبة للقرصنة فيقول: يُعد الاتحاد من الكيانات التأمينية الأولى التي حرصت على إلقاء الضوء على الاتجاهات الحديثة الخاصة بالتحوّل الرقمي والتطوّر التكنولوجي وما يصاحبهما من أخطار من ضمنها الهجمات الإلكترونية عبر قيام الاتحاد بما يلي
-تنظيم ندوة عام 2017 بالتعاون مع شركة AIG، حول الأخطار الرقمية والهجمات الإلكترونية. وخلال هذه الندوة، أُلقي الضوء على المحاور التالية: مفهوم الأخطار الإلكترونية وأنواعها، الآلية التى تتمّ بها الهجمات الإلكترونية، حجم الخسائر والتلفيات التي تنتج عن مثل هذه الهجمات، الإعتبارات التي يجب مراعاتها أثناء إكتتاب وتسعير تلك الأخطار والإستراتيجية المناسبة لإدارة تلك المخاطر.
-قام الاتحاد بتخصيص أكثر من عدد من نشرته الأسبوعية لموضوع الأخطار والهجمات الإلكترونية، ومن خلال تلك النشرات تمّ إلقاء الضوء على تعريف تأمين الأخطار الالكترونية وأهم التغطيات التأمينية الخاصة به وحجم الخسائر الإقتصادية الناتجه عن الجرائم الالكترونية على مستوى العالم.
-تمّ إفراد عدد من الجلسات في أكثر من مؤتمر من المؤتمرات التي ينظمّها الاتحاد لتتناول موضوع التأمين الإلكتروني والأخطار المتعلقة به، وبالإضافة إلى ذلك، أُلقيَ الضوء على أفضل الممارسات التأمينية الخاصة بهذا النوع من التأمين محلياً، إقليمياً وعالمياً، وكذلك عرض التصوّر الخاص بمعيدى التأمين لمثل هذا النوع من الأخطار.