المدونة
ابق على اطلاع بأخبارنا الجديدة!
مقدمة عن عمليات النصب
يعود تاريخ عمليات النصب إلي أساليب وأدوات يتم من خلالها التحايل وخداع الناس للوصول إلي أهداف بيانات خاصة وهو ما يعرف اﻵن بالهندسة الاجتماعية أو Social Engineering و يعرف أيضا بفن اختراق العقول. حيث يتم استغلال نقاط ضعف الانسان والضغط عليه للقيام بفعل ما نيابة عنهم للوصول إلي نظام معين أو الحصول على معلومات سرية أو مستندات مهمة. حيث أن الهدف الأساسي للهندسة الاجتماعية هو طرح أسئلة بسيطة عن طريق الهاتف أو البريد الإلكتروني مع انتحال شخصية ذات سلطة أو مديراً له كل الصلاحيات التى تسمح له بطرح أسئلة دون إثارة الشبهات للحصول علي المعلومات من الضحية.
حاليا اتسعت رقعة الهندسة الإجتماعية وتطورت وأصبحت وسائل فاعلة في هذه الأيام لتشمل كل التعاملات الإلكترونية عبر شبكة الانترنت والتي لا تتطلب الحضور شخصيا للمكان المراد اختراقه كما في السابق. وانتشرت رسائل التصيد عبر البريد الإلكتروني وما يسمي بـ Phishing والتي تبدو وكأنها مرسلة من شركات موثوقة أو مؤسسات مالية وحكومية لمحاولة الحصول علي معلومات مهمة. وتعتبر عمليات التحايل باستعمال الفواتير المزيفة أكثر الهجمات المستخدمة حاليا, وخاصة للشركات التي تتخذ من شبكة الانترنت وسائل للاتصال فيما بينهم.
الفواتير المزيفة Bogus Invoice
وهي أحد عمليات النصب المنتشرة وهي فواتير وهمية ترسل عبر حسابات البريد الالكتروني أو عبر رسائل البريد لغرض الاحتيال علي الناس وسرقة أموالهم. ويتم إنشاء هذه الفواتير واستخراجها من فواتير حقيقة لإعطاء انطباع أنها فواتير حقيقية يصعب علي الناس التمييز بينها وبين الفواتير الحقيقية فعلاً, ويقوم بالتعديل عليها كقيمة الفاتورة أو تغيير رقم حساب إلي حساب آخر.
تعتبر هذه الهجمات خطيرة وصعب تداركها وذلك لانه عند اعتماد مثل هذه الفواتير, يتم سرقة المال وﻻ يمكن استرجاعه لعدم توفر أي دليل أو معلومات حول الاشخاص القائمين بعملية النصب.
أمثلة لعمليات الاحتيال باستعمال الفواتير المزيفة:
- فواتير ذات الطابع اليومي:
هذه فواتير ترسل للمشتري للطلب بدفع أموال مقابل منتجات أو خدمات ذات الطابع اليومي والتي يتم التعامل معها بشكل دوري. فيتم دفع هذه الفواتير بدون التحقق من رقم الحساب أو الجهة المرسل إليها.
- الفواتير الزائفة Phony-invoice Scams
تعتبر أكثر الطرق استعمالا وتسمي (Man in the middle). وهو نوع من الإختراق حيث يتسلل المهاجم بين متحاورين دون علم كل منهم ويقوم بسرقة فواتير بين الشركات التي تتعامل مع بعضها دون علم الطرف المرسل والتعديل فيها وإرسالها إلي الجهة المعنية. وبالتالي من جراء الاهمال وبدون التحقق من سلامة هذه الفواتير, يتم إرسال الاموال إلي حسابات أخري تم إنشاءها لعملية الاحتيال.
بعض المحتالين يقومون باستهداف شركات خدمية تقدم خدمات عامة للناس. حيث يتم إرسال فواتير مزورة تحت اسم هذه الشركات وبرقم حساب مزور إلي زبائن الشركة وتحريضهم علي دفع فواتير مقابل تجديد خدمات منتهية الصلاحية. ويتم تحريضهم علي الدفع بحجة ضياع هذه الخدمات في حالة عدم سداد الفاتورة.
و كما لوحظ إنتشار مثل هذه الطريقة في ليبيا مؤخراً، حيث سجلت العديد من حالات النصب التي تتم عن طريق الفواتير المزيفة.
- انتحال شخصية The Pretender Scam
بعد الحصول علي أحد اسماء الموظفين أو الاشخاص ذات العلاقات الإدارية. يتم الاتصال بالمشتري والتظاهر علي أنه الموظف أو الشخص المخول وباستعمال أساليب مختلفة, يتم تحريض المتصل به علي استكمال فواتير مقابل منتجات أو خدمات لم يتم طلبها من قبل أو دفع رسوم أكتر من المتفق عليها.
أيضا يتم استهداف المحاسبين والأشخاص المخولين لتوقيع الفواتير والصكوك المالية, واستغلال نقطة خوف الموظف من ضياع عمله والضغط عليهم لتوقيع فواتير مزورة أو اتمام إجراءات إدارية معينة. هذه الأخطاء تكون نتيجة للإهمال ونقص الخبرة في مجال أمن المعلومات وعمليات النصب.
كيف يمكنك حماية نفسك من عمليات النصب:
- اعرف حقوقك:
ﻻ تقوم بدفع أي فواتير مقابل منتجات أو خدمات لم تقم بطلبها وﻻ تقم باستقبال أي منها.
- توثيق مشترياتك:
يجب لكل فاتورة سواء كانت إلكترونية أو ورقية أن تكون مختومة بختم خاص ومصحوبة بكود التصنيع أو رقم الطلب مع إرسال نسخة من الفاتورة إلي قسم المحاسبة, و التحقق من بيانات الفاتورة كالحساب المصرفي و كذلك البريد الإلكتروني المرسل منه و كذلك يمكن التحقق عبرالهاتف من صحة البيانات. و كذلك يمكن إستخدام نماذج الموقعة إلكترونياً.
- حماية نموذج الفواتير:
يجب حماية نموذج الفواتير عن العامة حتي ﻻ يتم استعمالها لانشاء فواتير مزورة.
- تحقق من البضائع قبل دفع الفواتير:
يجب التأكد من تطابق قائمة البضائع المستلمة مع القائمة المذكورة في الفواتير من حيث النوع والكمية وعدم إستلام أي بضائع غير متوافقة مع الفاتورة. بعد التأكد من البضاعة يجب إرسال نسخة من الفاتورة إلي قسم المحاسبة ليقوموا بتوثيق هذه الفواتير.
- التعامل مع الجهات الموثوقة:
قم بطلب البضائع أو الخدمات من الجهات المعروفة التي تتعامل معها دائما والتي تستخدم وثائق صحيحة مختومة.
- التعليم والتدريب:
يجب تدريب الموظفين أو الاشخاص المسؤولين عن الامور التجارية وتثقيفهم في مجال أمن المعلومات حتي يمكنهم تجنب عمليات النصب و الاحتيال ومعرفة طرقها وتجنبها وتدريبهم على عدم إعطاء معلومات ذات سرية عالية إلا بعد التأكد من هوية الشخص وكيفية رفض إعطاء المعلومات عند عدم الإمكانية بأسلوب محترم ولبق.
- قوانين الحماية:
وضع قوانين الحماية للشركة و توضيحها للعاملين فيها وتطبيقها واتخاد إجراءات صارمة لمن يقوم بتخطيها وتجاهلها.
ويمكن التبليغ عن عملية النصب للدولة التي تم يوجد بها الحساب المصرفي، على سبيل المثال في بريطانيا يمكنك التبليغ عن طريق
http://www.actionfraud.police.uk/fraud-az-invoice-scams
شارك:
عرض شيق لمسألة مهمة اصبحت شائعة جداً … شكرا على الشرح والتوضيح
بارك الله فيكم علي هذه المعلومات ونصيحتي للجميع بعدم فتح اي بريد الا بعد التحقق من مرسله
انا احد الزين وقع في هذا الاحتيال واحزر جميع مستخدمي النت من الايميلات التي تاتي اليك ولا تعرف مصدرها ولهم امثلة كتيرة من ضمنها ان يقول لك انك فزت بجائزة والورق رسمي ومختوم وكل شئ 100% بعدين يطلع كزب
لو أحتجت لأي مساعدة أو إستشارة لا تتردد في الإتصال بنا.