الاحتيال الإلكتروني المالي – خطة للمواجهة

على الرغم من الاستثمارات الضخمة في الأمن السيبراني، تجد العديد من المؤسسات صعوبة في اكتشاف الاحتيال الإلكتروني ومنعه في الوقت الفعلي مما يكبدها خسائر كبيرة.

33 مشاهدة
6 دقائق
الاحتيال الإلكتروني
الاحتيال الإلكتروني

على الرغم من الاستثمارات الضخمة في الأمن السيبراني، تجد العديد من المؤسسات صعوبة في اكتشاف الاحتيال الإلكتروني ومنعه في الوقت الفعلي. لماذا؟ لأن فرق الكشف عن الاحتيال والأمن السيبراني وفرق مكافحة الجرائم المالية غالباً ما تعمل بشكل منعزل، مما يؤدي إلى نقص المعلومات بين المعنيين خلال مراحل بناء الهجوم. قد تبدو رسالة بريد إلكتروني للتصيد الاحتيالي تم تحليلها من قبل فريق الأمن معزولة – إلى أن يكتشف محللو الاحتيال لاحقاً أن نفس الهجوم أدى إلى تحويل مصرفي احتيالي بقيمة 500,000 دولار.

مراحل الاحتيال الإلكتروني المالي

لا يزال الاحتيال الإلكتروني أحد أكثر التحديات إلحاحاً بالنسبة للمؤسسات المالية في جميع أنحاء العالم. وفقاً لتقارير حديثة في هذا المجال، تجاوزت الخسائر العالمية الناجمة عن الاحتيال في المدفوعات وحدها 41 مليار دولار في عام 2023، مع تزايد الهجمات التي تزداد تعقيدًا كل عام. تواجه شركات الخدمات المالية تهديدات من عمليات الاستيلاء على الحسابات (ATOs) واختراق البريد الإلكتروني للأعمال (BEC) إلى شبكات تحويل الأموال والاحتيال الاصطناعي للهوية. وهنا برزت الحاجة لوجود أطر عمل لمنع الاحتيال الإلكتروني ومنها (FS-ISAC) – وهو نهج منظم لتسريع الاستجابة وتعزيز التعاون بين المؤسسات المالية.

بينما تركز أطر عمل الأمن السيبراني التقليدية (مثل MITRE ATT&CK أو سلسلة القتل السيبراني) بشكل أساسي على الاختراق وخرق البيانات – وليس على دورة حياة الاحتيال المالي الكاملة. يسد نموذج FS-ISAC هذه الفجوة من خلال تقسيم الاحتيال إلى خمس مراحل متميزة، مما يسمح للمؤسسات باكتشاف الهجمات وتعطيلها ومنعها في كل مرحلة كما يلي.

  • البحث عن الضحية: قبل شن الهجوم، تقوم الجهات الفاعلة في مجال التهديد بإجراء عمليات استطلاع واسعة النطاق. ويشمل ذلك:- عمليات شراء بيانات الاعتماد المسروقة عبر الإنترنت المظلم- جمع المعلومات الاستخبارية مفتوحة المصدر (OSINT) (موقع لينكد إن، مواقع الشركات على الويب)- الهندسة الاجتماعية لتحديد نقاط الضعف (عمليات الاحتيال في مراكز الاتصال، وعمليات التصيد الاحتيالي). ومن هنا فإن الكشف عن نشاط متزايد في الاستطلاع قد يجهض الهجوم في مراحله الأولى قبل أن يتطور.
  • الوصول الأولي: يستخدم المهاجمون نقاط دخول مختلفة، مثل:- التصيّد الاحتيالي والبرمجيات الخبيثة (الإعلانات الخبيثة وملفات PDF الخبيثة)- تبديل شرائح الاتصال لتجاوز المصادقة متعددة العوامل (MFA) القائمة على الرسائل النصية القصيرة- التهديدات الداخلية أو اختراق البائعين الخارجيين وبالتالي يمكن أن تؤدي المصادقة متعددة العوامل (MFA) والكشف عن الحالات الشاذة المستندة إلى الذكاء الاصطناعي إلى الحد من الاختراقات الناجحة. 
  • التموضع: بمجرد الوصول للبيئة الهدف، يقوم المجرمون بتغيير تفاصيل الحسابات للحفاظ على إمكانية الوصول، بما في ذلك- إضافة مستخدمين مصرّح لهم- تغيير عناوين البريد الإلكتروني أو أرقام الهواتف أو كلمات المرور- تمكين طرق الدفع الاحتيالية. ولذلك فإن أحد المؤشرات القوية في هذه المرحلة هو وجود تغييرات غير عادية في الحساب خارج سلوك المستخدم العادي.
  • بدء المعاملات الاحتيالية: في هذه المرحلة تحدث الخسائر المالية نتيجة تحويلات بنكية غير مصرح به،  طلبات قروض مزيفة و مدفوعات فواتير وهمية. وللتخفيف من حدة الاحتيال يمكننا مراقبة المعاملات في الوقت الحقيقي مع التحليلات السلوكية مما يسمح بالكشف عن الأنشطة المشبوهة. 
  • صرف الأموال: تتضمن الخطوة الأخيرة غسيل الأموال المسروقة عن طريق شبكات نقل الأموال وعمليات تبادل العملات المشفرة وكذلك عبر  حسابات التجار المزيفة.  و للكشف عن هذه النشاطات فالمطلوب البحث عن حركة الأموال الكثيفة بين الحسابات. 

إطار العمل FS-ISAC 

يتطلب منع الاحتيال الإلكتروني المالي التعاون بين فرق العمل المختلفة عبر عقد جلسات مراجعة وعصف ذهني تتناول حوادث الاحتيال بأكثر من مقاربة. مع فرق الأمن السيبراني في مرحلتي الاستطلاع، الوصول الأولي ومع محللي الاحتيال في المراحل اللاحقة كالتموضع و التنفيذ، على أن يتم ذلك بالتوازي مع جهود مكافحة غسل الأموال والجرائم المالية. ونتيجة هذه الجهود يتم التنبه للهجمات وفهم أدواتها، اختراق البريد الإلكتروني الخاص بالأعمال (BEC)، التصيد الاحتيالي و التلاعب بقواعد البريد الإلكتروني.  

وإذا تم اكتشاف الاحتيال في أي مرحلة فالمهم مراجعة ما يسبق تلك المرحلة لفهم كيف تمكن المهاجمون من الوصول إليها، مثلاً: ما هي طرق الاستطلاع التي تم استخدامها؟ وتتضمن معالجة المخاطر المكتشفة إجراءات وضوابط مثل حظر النطاقات الضارة، وفرض MFA، مراقبة التغييرات غير المعتادة في الحساب والإبلاغ عن المعاملات غير الاعتيادية ، وتجميد الحسابات الخبيثة. 

قصة من الواقع

واجه أحد البنوك الأمريكية الكبرى أكثر من 10 عمليات احتيال يومياً، تسبب كل منها في خسائر بمئات ألوف الدولارات. وباستخدام إطار العمل FS-ISAC ، رسم المحللون خريطة للهجوم أوصلتهم لاكتشاف إعلان خبيث عبر محركات البحث يقود الضحايا إلى صفحات تسجيل دخول مزيفة يتم عبرها سرقة بيانات الاعتماد عن طريق التصيد الاحتيالي ومن ثم يضيف المهاجمون مستخدمين جدد إلى الحسابات ليتم بعدها إرسال تحويلات مالية احتيالية إلى حسابات المحتالين . ولتحديد السبب الأساسي وراء الهجوم تتبع البنك الهجمات إلى إعلانات محركات البحث الخبيثة.ونشر الإجراءات المضادة عبر عقد شراكة مع محركات البحث لحظر الإعلانات الاحتيالية و تنفيذ مراقبة المعاملات القائمة على الذكاء الاصطناعي. وبالنتيجة مرت أشهر لم ينشر فيها أي إعلانات احتيالية تستهدف عملاء ذلك البنك مما وفر الملايين.

وللبناء على ما سبق، فإن قوة أي عملية لمواجهة الاحتيال الإلكتروني المالي تكمن في مشاركة المعلومات الاستخباراتية على مستوى القطاع المالي إضافة للتنبه للتقنيات عالية الخطورة عبر تجميع البيانات من مؤسسات متعددة. يمكننا ذلك من تحديد أساليب الهجوم الشائعة (على سبيل المثال، ارتفاع الاحتيال في تبديل شرائح SIM) وبعدها يتم وضع ضوابط وتفعيل استراتيجيات التخفيف الموضوعة مسبقاً لكل مرحلة مثل فرض المصادقة لتقييد تغييرات الحساب.

كلمة أخيرة

يمثل الاحتيال الإلكتروني المالي تهديداً متعدد المراحل، ومشترك بين الإدارات. لذا يجب أن تكون الدفاعات متعددة الطبقات على حد سواء. يوفر إطار عمل FS-ISAC: لغة مشتركة لتحليل الاحتيال و اكتشافه بشكل أسرع من خلال ربط الرؤى المختلفة و تبادل المعلومات الاستخبارية.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *