رمز واحد يكشف هاتفك بالكامل.. كيف يستغل المحتالون USSD لسرقة أموالك؟
klyoum.com
برزت في الآونة الأخيرة تحذيرات متصاعدة من مخاطر استغلال رموز الخدمة التكميلية غير المنظمة المعروفة اختصارًا بـUSSD، بعد رصد موجة من عمليات الاحتيال التي تستهدف مستخدمي الهواتف المحمولة عبر التلاعب بهذه الأكواد التي يفترض أنها أدوات خدمية سريعة وآمنة، لكنها تحولت إلى بوابة اختراق خطيرة في أيدي المحتالين.
تمثل رموز USSD قناة اتصال أساسية في شبكات الهاتف المحمول، وتُستخدم على نطاق واسع لإنجاز خدمات فورية مثل الاستعلام عن الرصيد، تفعيل الباقات، الوصول إلى خدمات الدفع البنكي عبر الهاتف، والتواصل السريع مع خدمات العملاء دون الحاجة إلى اتصال بالإنترنت.
ثغرة صامتة تسرق بياناتك.. كيف تحولت إشعارات المتصفح لسلاح تجسس على الهواتف؟واقفين عند الماكينات.. سقوط عصابة سرقة بيانات بطاقات الدفع الإلكترونى لكبار السناحذر وخلي بالك.. خبير أمن معلومات يحذر من طريقة منتشرة لسرقة بيانات الموبايل«خلي بالك».. طرق جديدة لسرقة بيانات مستخدمي الذكاء الاصطناعي
وتتكون هذه الرموز عادة من سلسلة أرقام تبدأ بعلامة النجمة وتنتهي بعلامة الشباك، وتنفذ أوامر مباشرة على شبكة GSM بشكل فوري، ما يجعلها سريعة ومريحة، لكنها في الوقت ذاته تفتقر إلى طبقات أمان متقدمة.
يعتمد المحتالون على أسلوب الهندسة الاجتماعية في تنفيذ ما يعرف بـUSSD Scam، حيث يتصل المهاجم بالضحية متظاهرًا بأنه موظف من شركة توصيل أو جهة خدمية أو بنك، ويطلب إدخال رمز معين بدعوى تحديث البيانات أو تأكيد الطلب أو حل مشكلة فنية.
وبمجرد إدخال الرمز، يتم تفعيل تحويل المكالمات أو توجيه الرسائل إلى رقم يسيطر عليه المهاجم، ليصبح قادرًا على استقبال رسائل OTP والمكالمات البنكية الحساسة، ومن ثم اختراق الحسابات المالية والتطبيقات المرتبطة بالرقم.
يشير خبراء الأمن السيبراني إلى أن بروتوكول USSD يعمل مباشرة على طبقات شبكة GSM الأساسية دون وجود آليات مصادقة قوية أو تشفير متقدم، ما يعني أن الشبكة
تنفذ الأوامر فور إدخالها دون التحقق من هوية مصدرها.
كما أن البروتوكول لا يدعم التحقق الثنائي بطبيعته، ولا يفرض معايير تشفير صارمة، وهو ما يجعل أي رمز يُدخل عبر الهاتف قابلًا للتنفيذ المباشر حتى لو كان ضارًا.
وأظهرت دراسات متخصصة أن بعض نظم الخدمات البنكية المعتمدة على USSD في دول مثل نيجيريا لا تلتزم بالكامل بمعايير الأمان الدولية الصادرة عن NIST وNCSC، ما يزيد من احتمالات استغلالها في الاحتيال.
وحدات الشرطة الإلكترونية في عدة دول دقت ناقوس الخطر بشأن هذه النوعية من الجرائم، حيث أصدرت وحدة التحليلات الوطنية للجرائم الإلكترونية في الهند تحذيرات رسمية بعد تزايد البلاغات المتعلقة بتحويل المكالمات السرّي عبر أكواد USSD، ما مكن المحتالين من الوصول إلى رسائل التحقق والمكالمات الحساسة دون علم الضحايا.
ودعت السلطات هناك المواطنين إلى عدم إدخال أي كود يطلبه متصل مجهول، مهما بدا الأمر رسميًا أو مقنعًا.
يوصي خبراء الأمن السيبراني بمجموعة من الإجراءات الوقائية الضرورية، أولها عدم إدخال أي رمز USSD يطلبه متصل غير معروف أو مكالمة غير متوقعة.
كما يُنصح بالتحقق دائمًا من هوية المتصل عبر الاتصال المباشر بخدمة العملاء الرسمية للشركة المعنية، بدلًا من تنفيذ أي تعليمات تُعطى عبر الهاتف.
ويحذر الخبراء بشدة من مشاركة رموز OTP أو بيانات الحساب أو الرقم السري مع أي جهة عبر مكالمة أو رسالة.
وفي حال الاشتباه بأن تحويل المكالمات قد تم تفعيله دون علم المستخدم، يمكن إلغاؤه فورًا بإدخال الرمز العالمي ##002# الذي يعطل جميع أنواع إعادة توجيه المكالمات.
رغم أن رموز USSD تظل أداة مفيدة وسريعة، فإن استخدامها دون وعي أمني يجعلها بابًا مفتوحًا للاختراق، ما يفرض على المستخدمين توخي أقصى درجات الحذر، خاصة مع تصاعد جرائم الاحتيال الرقمية المرتبطة بالهاتف المحمول.