‫Which؟ يحذر: محافظ الهاتف الرقمية قد تكون سيفًا ذو حدين‬

تنبيه من Which؟ حول المحافظ الرقمية للهاتف

حذّرت منظمة Which؟ المستهلكين من أن المصارف لا توفر حماية كافية للمستخدمين عند استخدام المحافظ الرقمية على الهواتف الذكية. فالمحافظ الرقمية تتيح إجراء المدفوعات بسرعة، لكنها قد تكون أكثر عرضة للاحتيال مقارنة ببطاقات الدفع اللاتلامسية التقليدية.

تشير Which؟ إلى أن المحتالين تمكنوا من خداع المستخدمين للحصول على رموز مرور لمرة واحدة OTP اللازمة لإضافة البطاقات إلى المحافظ على الهواتف. كما انتقدت البنوك التي تستخدم رسائل نصية OTP كطريقة تحقق لإضافة بطاقة إلى المحفظة الرقمية، وهو إجراء سبق أن عُرِّف بأنه عرضة للانتحال.

وبحسب دراسة شملت 15 بنكًا كبرى في بداية العام، لا يزال بعض البنوك يعتمد OTP كجزء من آلية التحقق. وتذكر Which؟ أن بنوكاً مثل Barclays وHSBC وSantander وCo-op وVirgin Money لا تزال تستخدم OTPs، وغالباً ما تقترن بأساليب تحقق أخرى.

أما البنوك الرقمية Chase وMonzo فهما لم يعتمدا OTPs أبدًا، بينما تقدم Halifax وAmerican Express بدائل أكثر أماناً مثل الموافقات داخل التطبيق.

تُوضح Which؟ أساليب الاحتيال الشائعة، مثل العروض المغرية ورسائل التصيد الاحتيالي وعمليات إعادة شحن الشحنات. وبمجرد حصول المحتالين على OTP، يمكنهم إعداد بطاقة الضحية على جهازهم الخاص والإنفاق دون قيود. وتكشف Which؟ أن معظم المصارف لا تفرض قيود على عدد الأجهزة التي يمكن إضافة البطاقة إليها، ما يفتح باب سوء الاستخدام. وتعد كل من Starling وVirgin Money وMonzo من بين القلة التي طبّقت حدوداً أو وفّرت إمكانية تجميد البطاقة أو إنشاء بطاقات افتراضية لاستخدام واحد لتعزيز الحماية.

سام ريتشاردسون، نائب رئيس تحرير قسم Money في Which؟: “لكثير من الناس، تعد المحافظ الرقمية وسيلة سريعة وآمنة للدفع، لكن نقاط الضعف في أمان مقدمي البطاقات تجعلها أداة للمحتالين. المصارف تعرف منذ سنوات أن الاعتماد على OTP للتحقق يعرّض المستهلكين للخطر.”

وفي الوقت نفسه، حثّت Which؟ المستهلكين على التفكير مرتين قبل مشاركة تفاصيل الدفع أو OTPs عبر الإنترنت. وإذا ظنّ أحدهم أنه ضحية احتيال، فتنصح بالاتصال بـ Action Fraud وبالبنك على الفور.

ردود الشركات الكبرى

أبلغت شركة Apple Which؟ بأن: “نحن لسنا مسؤولة عن الموافقة أو رفض إضافة بطاقة إلى Apple Pay، ولا عن الموافقات أو رفض المعاملات. نولي أمان المستخدمين أولوية قصوى، وصُممت Apple Pay لحماية معلومات المستخدمين الشخصية، وتراقب أنظمتنا الأنشطة المشبوهة وتحمي من الاستخدام غير المصرح به.”

أما Google، فشددت على أن: “الأمان جزء أساسي من تجربة Google Wallet، ونعمل عن كثب مع جهات إصدار البطاقات لمنع الاحتيال. عند إضافة بطاقة إلى محفظة جديدة، يتم إخطار المستخدمين ونعزز إشارات لمساعدة الجهات المصدرة في اكتشاف السلوك الاحتيالي. نحن نواصل تحسين تقنياتنا لاكتشاف الأنشطة المشبوهة وحماية المستخدمين.”

أعلنت بنوك مثل Barclays وHSBC وSantander وغيرها أن OTPs ما زالت جزءاً من عملية التحقق، مع بعض المحاولات لاستكشاف أساليب أكثر أماناً داخل التطبيق. كما أكدت UK Finance أن هناك ازدياداً في محاولات المحتالين لخداع الأشخاص للكشف عن OTPs البرمجية، وأن الصناعة المصرفية تتعامل مع هذه المخاطر وتعمل على منع الاحتيال. وتذكر أن جل حالات الاحتيال غير المصرح به يُعاد فيها التعويض للعملاء، وأنه في 2024 فقط تم إيقاف احتيال غير مصرح به بمقدار 1.45 مليار جنيه. وتؤكد UK Finance على أهمية اليقظة وعدم مشاركة البيانات الشخصية أو OTPs مع رسائل غير متوقعة، وتحث على الاتصال بالبنك والتبليغ عند الاشتباه بالاحتيال عبر Action Fraud.

تختتم Which؟ بالدعوة إلى تخلي المصارف تدريجياً عن OTPs القديمة واعتماد حماية أقوى داخل التطبيق للمحافظ الرقمية قبل أن يقع مزيد من المستخدمين ضحايا.