تزايدت حوادث السرقة التي يتعرض لها كثير من مستخدمي الهواتف الذكية بعد الاستيلاء على رموز المرور لهواتفهم من "لصوص التسلل خلف الكتف" (shoulder surfing)، الذين يتسللون من وراء الضحايا ويسترقون النظر إلى أرقامهم السرية، ثم يستغلونها لاختراق حساباتهم البنكية وسرقة أموالهم.
حسب تقرير لصحيفة The Sunday Times البريطانية، الأربعاء 3 مايو/أيار 2023، وقعت حادثة من هذا النوع لمدير شركة بريطانية يُدعى نيك، سُرق هاتفه المحمول من سترته في حانة بالعاصمة لندن، وبحلول صباح اليوم التالي كان اللصوص قد حولوا مبلغ 91 ألف دولار أمريكي من حساباته البنكية الشخصية والتجارية، عبر تطبيقه الإلكتروني المصرفي، إلى حساب تسيطر عليه عصابة الاحتيال.
كما تداولت منظمة "ويتش؟" Which? البريطانية، المعنية بتقديم خدمات الاستشارة ومقارنات الأسعار للمستهلكين، الحادثة التي وقعت مع نيك لتسليط الضوء على ضعف تدابير الأمان في بعض التطبيقات الإلكترونية المصرفية.
لكن بالعودة إلى الطريقة التي حصل بها المجرمون على رموز المرور السرية لهاتف نيك، تبين أنهم "تسللوا من خلفه"، واسترقوا النظر إلى الأرقام السرية، ثم سرقوا هواتفه وسيطروا على حساباته.
فقد جعل المجرم نفسه مستخدماً جديداً للحساب، وأعاد تعيين رمز المرور على نظام الدفع الجماعي لشركة نيك دون أية فحوصات أمنية إضافية. ومع أن البنك قد أرسل تحذيراً من الاحتيال عبر الرسائل القصيرة، فإن ذلك لم يمنع المضي قدماً في الأمر، لأن السارق كان لديه الهاتف.
اختبر فريق منظمة "ويتش؟" عدة تطبيقات إلكترونية مصرفية، ووجد أنه من السهل إعادة تعيين رموز المرور، حتى إن بعض التطبيقات تكتفي بالسؤال عن تفاصيل بطاقة الائتمان المخزنة في التطبيق، وبعد الإجابة عن ذلك ترسل رسالة نصية قصيرة إلى رقم الهاتف نفسه فيها الرقم السري لدخول الحساب المصرفي.
بالإضافة إلى ذلك، فإن بعض التطبيقات لم تطلب سوى رمز مكون من 4 أرقام يمكن إنشاؤه على الهاتف أثناء مكالمة آلية بين المستخدم والتطبيق. ويمكن للمستخدمين في تطبيقات أخرى الضغط على خيار "نسيت رمز المرور"، وإدخال تفاصيل بطاقة الائتمان الخاصة بهم، وتلقي رمز مرور لمرة واحدة يُرسل عبر رسالة نصية أو عبر البريد الإلكتروني، وكلاهما يمكن للسارق الوصول إليه مباشرة من الهاتف المسروق.
تسعى منظمة "ويتش؟" إلى الضغط على البنوك من أجل إيقاف الاعتماد على الرسائل القصيرة في إرسال المعلومات الحساسة؛ ونشر الوعي بين المستهلكين بطرق الاحتيال المختلفة؛ وإرشاد العملاء إلى سبل حماية أنفسهم.
كما نصحت المنظمة المستخدمين بإضافة رقم تعريف شخصي مخصص لبطاقة الهاتف (sim)، وتعطيل خاصية الإشعارات التي ترسل لحامل الهاتف الرموز السرية للحسابات، وتسمح له بتغييرها دون مزيد من التحقق. وأوصت البنوك أيضاً بـ"الاشتباه" في الهواتف المرتبطة بالحسابات بعد السرقة.
من جهة أخرى، كشف تحقيق أجرته صحيفة The Wall Street Journal الأمريكية، أن لصوص التسلل خلف الكتف زادت من عمليات السرقة في الحانات في كثير من المدن الأمريكية ولندن، إذ يتودد اللصوص إلى الضحايا، ويطلبون منهم فتح حساباتهم لوسائل التواصل الاجتماعي، ثم يسترقون النظر إلى رموز المرور للحسابات. وفي بعض الأحيان، يوقفون تشغيل الهاتف، ومن ثم يكفي إدخال رمز مرور لإلغاء القفل، ويتجاوزون بذلك خطوة التحقق من الوجه.
في هواتف آيفون على سبيل المثال، يكفي أن يكون لديك الهاتف ورمز المرور، ويمكنك حينئذ أن تغير كلمة المرور في معرِّف أبل، ومن ثمّ الحيلولة دون دخول المالك إلى الحساب. ويمكن أيضاً إيقاف خاصية التتبع، وحظر الأجهزة الموثوقة الأخرى. فضلاً عن أن رمز المرور يسمح لك بفتح القفل الخاص بكلمات المرور المخزنة على الجهاز، ومن ثم يتيح لك الوصول إلى التطبيقات المالية.
في هذا السياق، قالت جيني روس، المحررة بموقع Which؟ الإلكتروني: "في حين أن تفاصيل حادثة نيك مروعة، إلا أن المحزن أنها حادثة كثيرة الوقوع، فالمجرمون صاروا يسعون إلى استغلال أي ثغرة يمكنهم الوصول منها إلى أموالنا".
كما قالت روس: "الافتقار إلى الحماية الأمنية القوية في تطبيقات الجوال لبعض البنوك أمرٌ مخيف، ويعرّض كثيراً من المستهلكين لخطر الوقوع تحت طائلة الاحتيال. ويجب على البنوك كذلك أن تحرص على الوفاء بالتزاماتها القانونية، وتعويض العملاء عن السماح بالمعاملات التي لم يأذنوا بها".