فيسبوك
واتساب
"معركة الأمن الرقمي في مصر وصلت إلى مرحلة جديدة، لم تعد الثغرات مجرد أخطاء تقنية، بل أصبحت أبوابًا مفتوحة أمام عصابات النصب الإلكتروني."
"الواقعة التي نحن بصددها تكشف هشاشة بعض البنى التقنية في أنظمة الدفع الإلكتروني، وتبرز الحاجة لرقابة فورية وآلية تجميد ذكية لحماية أموال المستخدمين."
فلم يبدأ المشهد بتحذير تقني ، بل بملاحظة صغيرة أربكت صاحب شركة دفع إلكتروني، تداولات مالية بمبالغ ضخمة، فأربع ساعات كانت كافية ليكتشف أن هناك سحب للأموال عن طريق محافظ إلكترونية تفتح وتشحن وتسحب أموالها بسرعة.
"عند مراجعة العمليات، اكتشف صاحب الشركة اختفاء 6 ملايين جنيه بطريقة تبدو قانونية، لم يكن هناك اقتحام للخوادم أو تلاعب داخلي، بل استغل محتالون محترفون ثغرة دقيقة، أدرك صاحب الشركة حينها أن الأمر لم يكن سرقة عادية، بل نموذج كامل لعملية احتيال إلكتروني متكررة في السوق."
الواقعة تكشف خطورة «الثغرات البرمجية» في أنظمة الدفع الإلكتروني، حيث كشف محمود جابر، صاحب شركة متخصصة في الخدمات المالية الرقمية، تفاصيل عملية احتيال استغل فيها تشكيل مجهول ثغرة تقنية في تطبيق الشركة، مما سمح بتنفيذ عمليات غير مشروعة بلغت قيمتها نحو 6 ملايين جنيه.
وأكد جابر لـ"اليوم السابع"، أن الشركة قدمت بلاغًا رسميًا إلى النيابة العامة ومباحث الأموال العامة، وبدأت بالتعاون مع شركات الاتصالات لتتبع المتورطين واسترداد المبالغ المسروقة.
البداية: خلل تقني بسيط فتح الباب للنصب
يقول جابر إن الواقعة بدأت يوم 15 من الشهر الماضي في تمام الرابعة عصرًا، أثناء تشغيل خدمة جديدة داخل التطبيق دون إجراء اختبارات كافية عليها.
وأوضح أن الخطأ كان في جزء من الكود المسؤول عن الاستعلام قبل الدفع، حيث كان العميل يتلقى طلب تنفيذ العملية (request) قبل أن يضغط على زر الدفع فعليًا، ما تسبب في تنفيذ الإيداع تلقائيًا دون خصم المبلغ من حسابه.
تحرك سريع وتجميد ملايين الجنيهات
ويضيف، تم تنفيذ نحو 120 عملية بهذه الطريقة، والمبالغ تم تحويلها إلى 61 محفظة إلكترونية مختلفة، وبمجرد اكتشاف الثغرة، تواصلت الشركة مع شركة الاتصالات المالكة للمحافظ لإيقاف المحافظ المشبوهة، وتمكن الفريق من تجميد نحو 2.2 مليون جنيه على الفور، بينما تم سحب المبالغ المتبقية نقدًا عبر ماكينات الصراف الآلي قبل التجميد.
وقال جابر إن الشركة أبلغت الجهات الرسمية وقدمت كافة المستندات والبيانات الرقمية المتعلقة بالعمليات المشبوهة.
الخلل البرمجي في التفاصيل
كشف صاحب الشركة أن الخلل كان في الكود الخاص بعملية الإيداع، إذ كان المفترض أن يتم خصم المبلغ فورًا بعد الإيداع، لكن الخطأ جعل العملية تنفذ فعليًا دون خصم الأموال من حساب العميل.
وأضاف أن الفريق يعمل حاليًا على تطوير نظام إنذار مبكر (auto freeze system) يوقف أي معاملة غير طبيعية تلقائيًا لحماية المستخدمين مستقبلاً.
البيانات الرقمية لم تمس
وأكد جابر أن جميع السجلات الرقمية والـ logs ما زالت محفوظة بالكامل، وأن الشركة لم تحذف أي بيانات من السيرفر.
وأوضح أن لديهم أرقام العمليات، والهواتف المستخدمة، وصور البطاقات، والمواقع الجغرافية للأشخاص الذين استخدموا التطبيق أثناء تنفيذ العمليات.
لا شبهة تواطؤ داخلي
نفى جابر وجود أي تواطؤ من موظفي الشركة أو أي طرف داخلي، مؤكدًا أن ما حدث كان نتيجة خطأ تقني غير مقصود.
وقال: الموضوع بالكامل تم اكتشافه بالصدفة، ولا يوجد أي اشتباه في عناصر من داخل الشركة.
تحقيقات موسعة ومشتبه فيهم قيد التتبع
وأشار إلى أن الملف بات في عهدة النيابة العامة ومباحث الأموال العامة، بعد تقديم بلاغ رسمي.
وأضاف أن الشركة تتبعت بالفعل بعض الأشخاص الذين حاولوا استبدال شرائح الاتصالات المستخدمة في العملية، وتم الحصول على بيانات مبدئية عن عدد من المشتبه فيهم، بالتنسيق مع شركات الاتصالات، وتم إيقاف الخدمة بشكل كامل والتواصل مع الشركة المقدمة لخدمة الاتصالات التي قامت بتجميد المبالغ المتبقية في الخطوط.
وكشف أن التحقيقات الداخلية أوضحت أن النظام لم يكن مزودًا بأي نظام إنذار للعمليات المشبوهة، إضافة إلى وجود «ثغرة برمجية» في الواجهة الخلفية للنظام، وعدم تفعيل خاصية التحقق المزدوج قبل الحادثة، وهو ما استغله المحتالون بشكل احترافي.
وأشار إلى اتخاذ إجراءات أمنية مشددة بعد الحادثة، أبرزها تفعيل نظام «اعرف عميلك» الذي أصبح يفرض على أي مستخدم جديد التقاط صورة شخصية ومسح بطاقة الرقم القومي قبل فتح الحساب.
وأكد أن المعلومات المتوافرة لدى الشركة تشير إلى أن منفذي العملية مجموعة منظمة ولديها خبرة مسبقة في استغلال ثغرات أنظمة مالية لشركات أخرى، مشيرًا إلى أنهم اشتروا خطوط الهاتف يوم تنفيذ العملية، ما يدل على وجود تخطيط مسبق.
ولفت إلى أن الشركة واجهت صعوبات قانونية بعدما أفادت بعض الجهات بأن الواقعة ليست ضمن نطاق اختصاصها، وهو ما تسبب في تأخير إجراءات استرداد الأموال.
خبير سيبراني يكشف خطورة الثغرات
من جانبه، قال الدكتور وليد حجاج خبير أمن المعلومات ومستشار الهيئة الاستشارية العليا للأمن السيبراني وتكنولوجيا المعلومات، إن الواقع في ظل التحول الرقمي المتسارع واعتماد شريحة كبيرة من المصريين على المحافظ الإلكترونية شهد تزايداً في حوادث الاحتيال الرقمي وسرقة الأموال بطرق غير تقليدية، موضحاً أن ما يحدث ليس مجرد خلل تقني بل ناقوس خطر يدق بقوة في عالم الأمن السيبراني.
وأضاف أن لِبس الجانب التقني لدى بعض المستخدمين لا يقلل من خطورة الظاهرة، مؤكداً أن التحرك المبكر والاحتفاظ بالأدلة والتعاون المؤسسي هي مفاتيح التصدي لهذه الجرائم الحديثة.
بسؤاله عن كيفية استغلال ثغرة فنية لسحب أموال من المحافظ الإلكترونية، قال الدكتور وليد حجاج إن الأمر يشبه وجود باب إلكتروني غير محكم الغلق، موضحاً أن بعض الأنظمة قد تحتوي على ثغرات في واجهات الربط بين التطبيق والسيرفر (API) تسمح بإرسال طلبات تحويل دون تحقق كافٍ.
وأضاف أن المهاجمين قد يستغلون رموز الجلسات أو المفاتيح السرية المسروقة لتنفيذ عمليات مالية حقيقية دون علم المستخدم، واستطرد بأن أخطاء منطق البرمجة قد تجعل النظام ينفذ عملية سحب بدلاً من مجرد عرض الرصيد، مشيراً إلى أن مصدر الاختراق قد يكون في بعض الحالات شركة طرف ثالث مثل منصة دفع أو مزود اتصالات.
وحول الأدلة الرقمية التي يجب جمعها فوراً للتحقق من الحادث، أوضح الدكتور وليد حجاج أن التحقيق الرقمي يعتمد على جمع الأدلة قبل ضياعها، مؤكداً أن أهم تلك الأدلة هي سجلات الخوادم التي تظهر كل عملية وتوقيتها، وسجلات قواعد البيانات الخاصة بالمعاملات المالية، وسجلات الشبكة التي توضح مصدر الطلبات، وبيانات مزودي خدمات الدفع أو المحافظ.
وأضاف أن هذه السجلات تساعد المحققين في تتبع مسار العمليات ومعرفة الجهة التي أرسلت الطلبات المشبوهة.
وعن التمييز بين هجوم داخلي من موظف أو خارجي من جهة مجهولة، قال الدكتور وليد حجاج إن هناك مؤشرات مميزة لكل نوع، موضحاً أنه إذا تم الدخول إلى أنظمة حساسة من حسابات موظفين في توقيت الحادث أو حدثت تغييرات برمجية دون مبرر فذلك يشير غالباً إلى تورط داخلي، أما الهجمات التي تأتي من عناوين إنترنت متعددة أو عبر شبكات خارجية وخارج ساعات العمل فالأرجح أنها محاولات خارجية منظمة.
وفيما يتعلق بالإجراءات العاجلة التي يجب اتخاذها في الساعات الأولى، قال الدكتور وليد حجاج إنه يجب إيقاف الواجهات المتأثرة مؤقتاً لوقف النزيف المالي مع تعطيل المفاتيح أو الرموز المشتبه في تسريبها، وتجميد الحسابات أو المحافظ المستقبِلة للأموال بالتعاون مع البنوك. وأضاف أنه يجب حفظ نسخة من السجلات والذاكرة قبل أي تعديل للحفاظ على الأدلة، بالإضافة إلى إخطار الجهات القانونية والبنوك فوراً وإبلاغ العملاء المتضررين بخطوات الحماية.
وعن دور استخدام شبكات عامة أو أجهزة مخترقة في زيادة الخطر، أكد الدكتور وليد حجاج أن الخطر يزداد بدرجة كبيرة عند الاتصال من شبكة واي فاي عامة أو جهاز مصاب ببرامج خبيثة، موضحاً أن ذلك يسهل سرقة البيانات والجلسات وتنفيذ عمليات غير مصرح بها، ونصح دائماً باستخدام شبكة آمنة وجهاز موثوق عند إجراء أي معاملة مالية إلكترونية.
بسؤاله عن إمكانية إظهار الهجوم كأنه عملية قانونية من حساب مألوف، قال إن ذلك ممكن ويزيد من خطورة الهجمات، لأن المهاجم قد يستخدم حسابات أو شرائح حقيقية مستبدلة دون علم أصحابها، مشيراً إلى أن التحقق من بصمة الجهاز وموقع التنفيذ وتوقيت العملية وسلوك المستخدم المعتاد كلها مؤشرات تساعد في الكشف عن المعاملات المشبوهة.
وفيما يخص مدة الاحتفاظ بالأدلة الرقمية، أفاد أن المعايير العالمية مثل PCI-DSS تفضل الاحتفاظ بالسجلات لمدة سنة على الأقل مع ضمان سهولة الوصول إلى بيانات آخر 90 يوماً عند الحاجة للتحقيق، وأضاف أن فقدان السجلات الحديثة يضعف فرص كشف الجناة أو استرداد الأموال. واستطرد بأن النظام المتبع في مصر وفقاً لقانون مكافحة تقنية المعلومات رقم 175 لسنة 2018 يلزم الشركات بالاحتفاظ بالأدلة الرقمية والسجلات لمدة 180 يوماً، مع التأكيد أن زيادة هذه المدة مفيدة.
وحول خطوات الضحايا الفورية، نصح الخبير الرقمي، الضحايا على حفظ جميع الرسائل والإشعارات وصور شاشات العمليات، وإبلاغ البنك أو المحفظة فوراً وطلب سجل التحويلات، وتغيير كلمات السر وتفعيل المصادقة الثنائية (2FA)، وتحرير محضر رسمي بالواقعة والاحتفاظ برقم البلاغ للمتابعة القانونية.
وفيما يتعلق بتتبع الأموال، قال إن التعاون بين الشركات والبنوك يبدأ بإرسال طلبات تحقيق رسمية تتضمن أوقات العمليات وأرقام الحسابات والمحافظ المستقبِلة، مشيراً إلى أن التنسيق البنكي يتيح إصدار أوامر تجميد للحسابات المشبوهة، والاستعانة بتسجيلات الكاميرات في ماكينات الصراف، وفي حال انتقال الأموال للخارج يتم اللجوء للتعاون عبر الجهات الدولية.
وعن إمكانية استرداد الأموال المسروقة، أوضح أن الاسترداد ممكن في كثير من الحالات خاصة إذا تم التحرك بسرعة، مبيناً أنه يمكن إصدار أوامر قضائية بتجميد الحسابات وتحويل الأموال المشبوهة مما يساعد على استرجاع كامل المبالغ أو جزء كبير منها قبل انتقالها إلى حسابات وسيطة.
وحذر من إمكانية تضخيم الخسائر عبر تنفيذ العملية أكثر من مرة، موضحاً أن عدم وجود آليات تمنع تكرار الطلبات يتيح للمهاجم تنفيذ العملية مرتين أو أكثر، وأضاف أن ما يعرف بـ "قفل المعاملة" أو Idempotency Control يعد من أهم آليات الأمان في أنظمة الدفع الإلكتروني.
تحذيرات قانونية
بدوره، قال أحمد عباس محامٍ وخبير قانوني، إن الواقعة تتطلب أولًا حفظ الأدلة الرقمية كاملة قبل أي تدخل فني، موضحًا أن لوجات الدخول والخروج وسجلات المعاملات ونسخ قواعد البيانات هي الركيزة الأساسية التي ستبنى عليها القضية، مشيرا إلى أن أضاف أي تغيير في الخوادم أو البيانات قد ينتج عنه إضعاف للدليل أمام جهات التحقيق.
وأضاف في تصريحات لـ«اليوم السابع» أن التكييف القانوني لهذه الجريمة يضعها تحت جرائم الاحتيال الإلكتروني والدخول غير المشروع على نظم المعلومات والاستيلاء على مال الغير باستخدام وسائل تقنية، مشيرًا إلى أن العقوبات قد تصل إلى الحبس لعدة سنوات إلى جانب غرامات مالية كبيرة. واستطرد موضحًا أن مسؤولية الشركة قد تكون إدارية ومدنية في حال ثبوت وجود إهمال في التأمين، لكنها لا تتحول لمسؤولية جنائية إلا في حال التعمد أو التستر.
وحول الإجراءات القانونية المطلوبة، قال أحمد عباس إن استخراج البيانات من شركات الاتصالات أو مزودي الخدمات لا يتم إلا عبر إذن من النيابة العامة، مؤكدًا أن الالتزام بسلسلة الحيازة الرقمية يعد شرطًا أساسيًا لقبول الأدلة. وأضاف أن النيابة تمتلك صلاحية إصدار قرارات فورية بتجميد المحافظ المشبوهة للحيلولة دون استمرار حركة الأموال.
وعن فرص استرداد الأموال، قال إن صاحب الشركة يمكنه تحريك دعوى جنائية وأخرى مدنية للمطالبة بالتعويض، لافتًا إلى أن فرص الاسترداد تكون أعلى إذا كانت التحويلات داخل مصر وتنخفض إذا تم تحويل الأموال خارج النظام المصرفي المحلي. وأضاف أن التحفظ على الحسابات المرتبطة بالواقعة يعد من الإجراءات الضرورية في الساعات الأولى.
وحول دور البنك المركزي، أكد أن للبنك المركزي صلاحية إصدار أوامر بتجميد المحافظ الإلكترونية والتحقيق في مستوى التأمين داخل الشركة، موضحًا أن هناك التزامًا قانونيًا بالإخطار الفوري بمجرد اكتشاف الثغرة. وأضاف أن الشركة قد تواجه جزاءات إدارية إذا ثبت وجود قصور واضح في نظم الحماية.
وفي ما يتعلق بمكافحة غسل الأموال، قال إن حجم المبلغ المستولى عليه يلزم الشركة بإبلاغ وحدة مكافحة غسل الأموال عن أي تحركات مالية غير معتادة، خاصة إذا تمت التحويلات بسرعة بين محافظ مختلفة، باعتبار ذلك مؤشرًا واضحًا على محاولة إخفاء الأموال.
وحول احتمالية تورط عناصر داخلية، أوضح أن التحقيقات الداخلية يجب أن تتم بشكل رسمي وموثق، محذرًا من حذف بيانات أو تفتيش أجهزة الموظفين دون محاضر، لأن ذلك قد يضعف القضية ويعرض الشركة للمساءلة.
وعن الإجراءات الواجب اتباعها في الإبلاغ، قال أحمد عباس إن الترتيب الأمثل يبدأ بالنيابة العامة ثم مباحث الأموال العامة ثم وحدة مكافحة جرائم التكنولوجيا ثم البنك المركزي، مؤكدًا أن هذا الترتيب يضمن حماية الأدلة وسرعة التحرك.
وحول سؤاله عن الأموال المحولة خارج مصر، قال إن استرداد الأموال عبر الحدود يتطلب مخاطبات رسمية وطلبات مساعدة قضائية دولية، مشيرًا إلى أن هذه الإجراءات قد تستغرق أشهرًا طويلة وقد تتجاوز عامًا إذا كانت الدولة المتلقية لا تملك اتفاقيات تعاون فعّالة.
وفي ما يخص الجانب الإعلامي، أوضح أن على الشركة إصدار بيان مختصر للغاية لا يتضمن تفاصيل تقنية أو معلومات قد تؤثر على سير التحقيق، مع إخطار العملاء فقط في حال وجود ضرر مباشر عليهم.
واستطرد قائلًا إن أول 72 ساعة بعد الكشف عن الواقعة تعد الأخطر، حيث يجب حفظ الأدلة، وإخطار النيابة والبنك المركزي، وتجميد المحافظ المشتبه بها، وبدء الفحص الجنائي، ومراجعة عقود التقنية، واتخاذ إجراءات لمنع تكرار الاختراق.
أوضح أن مدة التحقيق الجنائي قد تتراوح بين ثلاثة وتسعة أشهر، بينما قد يستغرق استرداد الأموال داخل مصر أسابيع أو شهورًا، وقد يمتد خارج البلاد إلى عام أو أكثر.
في النهاية، تظل الرسالة الأهم من خلال هذه الواقعة، أن عالم الدفع الإلكتروني، رغم ما يوفره من سرعة ومرونة، لا يزال يواجه تحديات حقيقية تتطلب يقظة دائمة، وإجراءات وقائية صارمة، وتعاونًا قانونيًا وتقنيًا، لضمان حماية الأموال والحيلولة دون تكرار مثل هذه الجرائم الرقمية.
