نصائح مهمة بعد عملية قرصنة لبيانات بطاقات Mastercard و Visa بنك CIH

نصائح مهمة بعد عملية قرصنة لبيانات بطاقات بنك CIH وكيفاش تبلوكي Dotation e-commerce ديال بطاقة (Mastercard ،Visa Gold,…) من خلال تطبيق Cih Mobile أو موقع Cih Online.

بعد أن اشتكى العشرات من زبائن بنك CIH من اقتطاعات غير مفهومة في حسابهم من موقع Apple، بنك CIH يقول إن الأمر لا يتعلق نهائيا بثغرة في النظام البنكي، بل قد يكون عبارة عن عملية اختلاسية لبيانات بطاقات من مواقع وهمية همت البطاقات التابعة لبنوك مختلفة و في بلدان عدة.

توضيح هام من CIH

أول أمس، اكتشف عشرات من زبناء CIH من خلال كشف حسابهم عمليات (لم يقوموا بها) بالبطاقة البنكية في موقع شركة تكنولوجية عالمية APPLE. و على إثر تلقي الشكايات، قام البنك على الفور بحظر الموقع الإلكتروني المستهدف.

وبعد تحليل دقيق، إتضح أن الأمر لا يتعلق نهائيا بثغرة في النظام البنكي ل CIH، بل قد يكون عبارة عن عملية اختلاسية لبيانات بطاقات من مواقع وهمية همت البطاقات Mastercard و Visa التابعة لبنوك مختلفة و في بلدان عدة.

ويود بنك CIH أن يطمئن زبناءه الكرام المتضررين، أنه سيحث على تعويضهم إجماليا بعد تلقي شكاياتهم عبر القنوات المخصصة (مركز الزبناء 4747، تطبيق CIH Mobile،…).

ونستغل الفرصة لتذكير جميع الزبناء بغلق مخصصات التجارة الإلكترونية Dotation e-commerce للبطاقات الدولية من تطبيق Cih Mobile أو موقع Cih Online و ذلك بعد كل عملية شراء إلكتروني.

و في الأخير، بنك CIH يؤكد مرة أخرى أن الحماية المعلوماتية من أولوياته، و هو لا يدخر جهدا في تقديم خدمات آمنة لجميع الزبناء.

توضيح من الإطار البنكي Younes Achary ومسير Groupe Cih Bank Officiel

البارح بعض الزبناء (عشرات) لقاو عمليات بالبطاقة البنكية دايزين فحسابهم من موقع Apple. بطبيعة الحال، البنك ما بقاش مربع يديه، و قام ببحث فهاد الموضوع، و اللي توضح من خلالو أن العملية عبارة عن قرصنة اللي فالغالب تمت فموقع غير موثوق و اللي همت بطاقات مختلفة و اللي تأكد أنها ديال بنوك متعددة و اللي منها المغربية (يعني الأمر ما عندو علاقة بصرقة بيانات ديال بنك معين).

البنك كإجراء أولي قام بحظر موقع Apple ككل (حتا عملية بالبطاقة ما تدوز فيه)، و كقرار فإطار حماية مصالح الزبناء، فهو غادي يقوم بتعويض جميع هاد الزبناء. يكفي يقومو بشكاية عبر القنوات المخصصة (التطبيق، مركز الزبناء 4747،..).

و نذكرو مرة أخرى بلي وجب إلزاما:

  • تبلوكي dotation ديال البطاقة الدولية المرتبطة بالحساب (Mastercard ،Visa Gold,…) بعد كل عملية شراء (ما كتعاودش تقطع 44 درهم)
  • ما تدخل معلومات البطاقة غير فالمواقع المؤمنة أو الموثوقة (للتنبيه، كاين اللي تيقول علاش البنك ما كيصيفطش الكود على كل عملية، هاد القضية ممكنة غير فالمواقع اللي مديكلارينها عند Mastercard و Visa، أما البطاقات البنكية راه فيهم و باش يصيفط البنك الكود خاص السيستيم ديال الموقع تكون فيه)

و اختياريا:

  • الناس اللي كيشريو بزاف ولا اللي متخوفين رغم ذلك على حساباتهن، يستعملو البطاقة مسبقة الدفع Visa E-shopping و اللي كتطلب من أي وكالة لبنك CIH (كتدير 66 درهم فالعام).

ماشي غير Cih، و تم التأكيد من عند Mastercard بلي بطاقات ديال بنوك عالمية و مغربية تا هي كانت ضحية. غير حيت Cih عندها قاعدة زبناء نشيطة فمواقع التواصل الإجتماعي و زيد عليها عندك ولوج للحساب و إعام ب ميساج بالعمليات داكشي علاش هي اللي بانت فالواجهة.

هاد القالب بدا في بريطانيا مع عملاء بنك Barclays وداز لنيجيريا ودابا المغرب.

والسبب أن السبامرز استفدوا من تعميم خدمة Apple Pay في المغرب وبالتالي دارو تحويلات بنكية من البطاقات لي عنده م معلومات دياله م للحسابات لديله م في Apple Pay ومن بعد حولوهوم ل Paypal وعلقوا فحالوم.

نصائح مهمة من خلال تجربة زبون مع CIH

من خلال التجربة ديالي الشخصية مع CIH، عانيت من مشاكل تقنية ديال البنكة فحال السيرفور ديالهم مخدامش بالليل بعض المرات، الي كيخلي بأن واحد لوبيراسون ماغادوزش، ولا دوز جوج مرات، ولا الغيشي كيكون واقف… إلخ…

يعني مشاكل تقنية بصفة عامة كاينة حتى فأبناك و خدمات أخرى، و الي من خلال هاد المنبر كانتوجه لأي مؤسسة مغربية أنها تستثمر فالـ البنية التحتية الإلكترونية ديالها خصوصا “السيرفور” باش هاد المشاكل تحل.

و لكن بالنسبة للنقص فالفلوس، الحمد لله ماعمري فقت و لقيت شي فلوس ناقصة بسباب أخطاء ديال الـ CIH ، إلا لقيت شي حاجة ناقصة ، كانلقى بسباب الدوطاسيون الي خليتها مفتوحة، حيت كانقلب على مصدر النقص. و دابا هادي عام الحمد لله ما بقى عندي هاد المشكل.

بالنسبة للناس الي عندهم المشكل ديال الفلوس كينقصو و كيضيعو فالـ ” E-commerce” :

A- المشكل الأول أنك نت ملي درتي عملية شراء فالأنترنت، نسيتي الضوطاسيون مفتوحة.

الحل هو أنك كل ما غاتعمل شي عملية إلكترونية خارجية :

1- فتح الضوطاسيون
2- قضي الغرض ديالك
3- شد الضوطاسيون

و ها نتا تهنيتي، و باراكا من العكز.

B- المشكل الثاني : ألعاب الأطفال

و هو إلا كانو عندك دراري صغار، و نتا عملتي وسيلة الدفع فالبايبال ولا غوغل باي (Google Pay) مبنية على بطاقة (Master Card ou Visa)، هاد الدري الصغير ملي غايلقى ماين غايخلص باش يشري شحاجة داخل اللعبة، غايلقى Payez غايكليكي عليها و يشري داكشي الي بغى, و شحال من قصة شفناها شوى فالمغرب ولا على برا، شحال من أب، ضاعو فلوسو حيت خلا تيليفونو عند ولادو، و هاد الجيل الي طالع راه خطير فالتكنولوجيا، راه مانعرف كيف سهال عليهم يتعاملو معاها.

و لهذا، الحل الوحيد، هو تبقى شاد الضوطاسيون، و ما تخدمها إلا للحاجة.

C- المشكل الثالث : تسرب المعلومات الخاصة بالبطاقة

يعني فشي وقت، و فشي موقف ماعرفت كيفاش، شي حد اطلع على المعلومات كاملة ديال لاكارط، ولا صورها باش يحتافظ بالمعلومات، ولا الـPC ديالك تخترق ، ولا شريتي بلاكارط ديالك فمواقع غير موثوقة، ولا من PC دالخدمة ولا الـPC ولا تيليفون ديال صاحبك ولا الـPC ديال السيبير… ولا تيليفونك طاح فيد غير أمينة، و شي حد دارلك فيه تطبيق تجسسي … إلخ

الحلول :

1- ماعمرك تخلي الـPC ولا سمارتفون ديالك عند شي حد أخور كيف ما كان هاد الشخص
2- عمرك تشري بلاكارط ديالك من مواقع غير موثوقة
3- عمرك تيليشارجي شي لوجيسيل غير موثوق حيت ممكن يـ installer شي سكريبت تجسسي
4- إلا جات ظروف و اضطراتك تخدم من PC ولا تيليفون ولا شي وسيلة أخرى ماشي ديالك، ماتنساش تخدم ف Mode de navigation Privée، حيت المعلومات ديالك فهاد الحالة ماكتبقاش مسجلة فالأنترنت. و ماتـInstaller حتى شي تطبيق ماكتعرفوش فالتيليفون ديالك الي كاتخدم منو الأبليكاسيون CIh
5- إلا كنتي مضطر تخدم بشي لوجيسيال مكراكي، دوزو فشي Anti-Virus هو اللول، ولا خدم بيه فـ “Virtual Machine”.
6- إلا وصلتك شي رسالة ف ايمايل ولا فالتيليفون و طلبوك دخل معلومات ديالك، و إياك تكليكي، و عنداك تسيفطليهم شي حاجة.

C- المشكل الرابع : التنظيم

يعني، شمن بطاقة غاتعامل بيها فالأنترنت، واش الـ Master Card ولا Visa. و كنصيحة تعطات ليا من الدراري الي كنعرف، الـ Visa e-shopping أحسن وسيلة من الـ Master Card، علاش ؟ حيت الـ Visa e-shopping كاتعتبر بطاقة مستقلة على الحساب ديالك، و العلاقة مع الحساب ديالك هي علاقة غير مباشرة، يعني، باش تشري من الأنترنت بالـ Visa e-shopping، خسك :

أول حاجة تشارجيها بالفلوس الي غادي تحتاجهم لعملية الشراء الإلكتروني، باش حتى وإذا وقع ما وقع ، تهني راسك من حريق الراس. و ماتنساش حتى هي تبلوكي الدوطاسيون مور كل عملية ، باش تهني راسك.

ثاني حاجة : زول الماستر كارد من بايبال و غوغل باي، و خليها غير باش تيري الفلوس من البانكة ولا تخلص بيها خدمات إدارية فالمغرب، و للعمليات الضرورية.

و مانساوش، بلي أحسن حاجة هي تحافظ على سرية المعلومات البنكية ديالك من أي طرف كائن ما كان، و تكون على يقظة باش تبقى هاني و مهني.

بلوكي dotation بطاقة CIH

الصورة لتحت فيها كيفاش نسدو الدوطاسيون غير من التيليفون. كانتمنى تبارطاجيوها مع بعضياتكم باش كلشي يكون على بال، حيت شحال من مشكلة قريت عليها هنا فهاد المجموعة عندها علاقة بالدوطاسيون.

CIH NET DOTATION

معلومات عن كيف يتم تم اختراق الحسابات البنكية

كايتصادف أنني واحد من الناس لي حالين حساب ف CIH وعندي معلومات متواضعة فمجال الحماية المعلوماتية. داكشي علاش غانعطي تفسير تقني لكل الطرق والسيناريوهات الممكنة حتى تم اختراق هاد الحسابات البنكية.

أول شيء هو احتمالية اختراق البنك فحد ذاتو ضئيل جدا وكانضن كون تختارق البنك وتم الحصول على معلومات الحسابات البنكية ديالنا كنا غانشوفو كارتة بمعنى الكلمة.

ما معنى اختراق البنك ؟

هو ان المهاجم قدر يلقى كيفاش يحصل على معلومات الحسابات من CIH بنفسها وهادشي فالرأي ديالي شبه مستحيل.

الطريقة الثانية عمل صفحة مزورة وارسالها بشي طريقة للزبناء ديال البنك المستهدف واقناعه باش يعمر المعلومات ديالو وغالبا كايكون الميساج مقاد على اساس انه من البنك يعني تقدر تلقى رابط الموقع تقريبا كايشبه للموقع الرسمي ولغة عربية ولا فرنسية سليمة حتى تقدر تشك وتعمر المعلومات وكاتولي ضحية اختراق.

بالنسبة ليا الطريقة الثانية صعيب تطبق فالمغرب خصوصا علاش؟ حيت أغلب المهاجمين كايعتامدوا على الإيميل باش يصيفطوا للناس الصفحة المزورة عن طريق الإيميل وفالمغرب نسبة كبيرة ماكاتدخلش أصلا للإيميل -فقط القليل.

ولكن ممكن تكون دازت هاد العملية عن طريق رسالة SMS للضحايا وكايشمل راببط الموقع وغايكونو ضغطوا وعمروا المعلومات حتى دابا شي مهاجمين كايطلبوا صور واضحة من الجهتية للبطاقة البنكية … (ماكايحشموش ههه)

حد هنا هادشي اغلب الناس عارفينو شويا. أجي نشوفو الحوايج لي لا دخل للضحية فيها حتى كايلقى راسو ضحية.

اختراق موقع مو مواقع البيع والشراء أو انشاء واحد وتوهيم الناس بعروض مغرية وكاتشري منها والدفع عن طرق البطاقة البنكة هنا الدولة المغربية وأغلب دول العالم عندهم مصلحة خاصة لي كاتكون كاتعطيك واحد الكود يلا كنتي صاحب موقع بيع وشراء باش ملي يدخل الزبون ديالك معلوماتو واخا تكون صاحب الموقع ماتقدرش تتطالع عليهم لكن هيهات مازال كانشوف ناس كايديرو بحال هاد الطرق وكايعتامدوا على منصة فايسبوك باش يديرو الإشهار ويقدرو يسيبليو لي دايريف الإهتمامات ديالهم مجموعة ديال الأبناك فالحالة ديالنا CIH ويتم الخداع ديالهم.

واش غير هادشي؟ الجواب هو لا.

الإختراق أو التحايل يقدر يكون صعب فبعض الحالات ولكن بعض الحالات لا.

كيفاش؟ الموقع لي تم منوا الشراء البارح هو Apple عل الأقل هو لي سمعناه.

علاش بالضبط هاد الموقع؟

كايكونو حالات أن مواقع كايطلبوا للشراء معلومات قليلة بحال رقم البطاقة تاريخ انتهاء الصلاحية وثلاث أرقام ولا أربع أرقام لي كاتكون خلف البطاقة وباقي المعلومات كايكون فقط للتوصيل وماكايتحققوش من تطابق صاحب الحساب البنكي مع اسم الشاري. والمواقع لي كاتديرها كاتتخبى تحت ذريعة أن ممكن يشري الشخص لصديق ديالو ولا لصديقتوا … وكايحلوا هاد الباب.

ثانيا 3d secure هادا واحد الكود بكل بساطة كايوصلك فرقمك دالتيليفون قبل مايتم الكونفيرماسيون ديال الكومونض ولكن هادي البنكة ماعندها تا علاقة بيها خاس الموقع يكون دايرها ورغم ذلك كايتحايلوا عليها حيت تقدر تتجاوز مثلا يلا كان ثمن المنتوج قل من واحد الثمن كادوز عادية فالمهاجم كايدوز كوموند رخيصة بزاف دالمرات حتى كاتبلوكيها البنكة أو الموقع ولكن كايضمن أنه دوز كوموندس.

علاش المغرب ؟ وعلاش CIH، سمعت بلي ماشي غير حنا لي تقاصينا حتى بنكات أخرين وصراحة قلبت مالقيت تاحد هضر من غير ناس عاديين ماشي مصدر الأخبار الموثوقة، وباش نجاوب علاش المغرب حيت غالبا السكامر كما يسمى وعلاش كلمة سكامر أو سبامر حيت كايصيفط رسالة الاف المرات وغالبا كايسيبلي بنك معين أو دولة معينة. وهادشي كامل على أساس المعلومات شحال عندوا وطريقة استغلال البطاقة.

كختام حاولوا تسدوا الدوطاسيون حاليا ماحد ماعارفينش يقينا منين المشكل. يمكن اليوم غادي يتعوضوا الناس فرزقهم حيت طرات ضجة ولكن تيقوا بيا بلا بزاف دالناس يوميا كايطرا ليهم هادشي فمختلف دوال العالم وماكايعرفو شنو يديرو مباش ترفع دعوة وتتابع المسطرة غادي تخسر كتر من داكشي لي داو ليك.