«CIH Bank: حسابك سيتم تجميده» — احتيال الرسائل النصية المنتحلة لاسم البنك يكلّف الضحايا البلجيكيين 50 مليون يورو سنوياً

تصلك رسالة قصيرة باسم بنكك. تنذرك بمعاملة مشبوهة وتعطيك رابطاً «لتأمين» حسابك. ما إن تنقر وتعيد «تسجيل الدخول» حتى يكون المحتال قد حصل على بياناتك. إليك كيف يعمل احتيال الرسائل القصيرة البنكية (smishing)، رسائل حقيقية مستخدمة في المغرب وفرنسا وبلجيكا، وكيف تكشف الزيف قبل أن تنقر.

تمشي نحو سيارتك حين يرتجّ هاتفك. رسالة قصيرة باسم بنكك: «CIH Bank: تمّ اكتشاف معاملة مشبوهة بقيمة 3,500 درهم على حسابك. إن لم تكن أنت، أمّن حسابك فوراً: cih-securite.com/verify»

تنقبض معدتك. تنقر على الرابط. الصفحة تبدو تماماً كصفحة بنكك. تُدخل اسم المستخدم وكلمة السر. ربما رمز SMS الذي وصلك للتو. ربما حتى تفاصيل بطاقتك «للتحقق من هويتك».

لقد سلّمت للتو حسابك المصرفي إلى مجرم. كان داخل الحساب قبل أن تُقفل هاتفك حتى.

هذا هو التصيد عبر الرسائل القصيرة (smishing) — انتحال هوية بنك بـ SMS — وهو يستنزف الآن قرابة 50 مليون يورو سنوياً من الضحايا البلجيكيين وحدهم، حسب وكالة الأنباء البلجيكية. في فرنسا، تصنّف Cybermalveillance.gouv.fr التصيد كالتهديد رقم 1 للأفراد. في المغرب، أُطلقت منصة E-Blagh التابعة للمديرية العامة للأمن الوطني في ماي 2024 كردّ مباشر على ارتفاع الجرائم الإلكترونية المالية.

كيف تبدو الرسالة

يعرف المحتالون بأي بنك تتعامل لأنهم إما (أ) اشتروا قاعدة بيانات مسرّبة، أو (ب) يرسلون لكل بنوك المنطقة وأحدها سيتطابق. أنماط شائعة:

«CIH Bank: محاولة تسجيل دخول مشبوهة على حسابك. إذا لم تكن أنت، أمّن حسابك فوراً: cih-securite.ma/auth»

«BMCE: بطاقتك البنكية ستُعطّل. أكّد هويتك خلال 24 ساعة لتجنّب الحظر: bmce-validation.com»

«التجاري وفا: تمّ إصدار تحويل بقيمة 4,500 درهم من حسابك. انقر هنا للاعتراض: attijari-paiement.online»

«BNP Paribas: تمّ رصد دخول جديد من الدار البيضاء. إن لم تكن أنت: bnp-securisation[.]net/login»

«القرض الشعبي: فشل في المصادقة. أعد تفعيل حسابك خلال 24 ساعة: bp-confirm-fr.com»

البنية دائماً هي ذاتها:

اسم البنك كمُرسِل (غالباً ما يتمّ انتحال رأس الـ SMS، فيبدو أن الرسالة جاءت من بنكك)
مُحفِّز للخوف — معاملة مشبوهة، تسجيل دخول من جهاز جديد، حظر الحساب، انتهاء بطاقة
مهلة قصيرة — «24 ساعة»، «قبل منتصف الليل»، «فوراً»
رابط يبدو بنكياً لكنّه ليس النطاق الحقيقي لبنكك

تنقر على الرابط ← صفحة دخول مزيفة ← تُدخل بياناتك ← انتهى كل شيء.

خدعة النطاق المشابه

الرابط هو ما يكشف كل شيء. للبنوك الحقيقية نطاق رئيسي واحد يجب أن تعرفه عن ظهر قلب:

| البنك | النطاق الحقيقي | |---|---| | BMCE Bank of Africa | bmcebankofafrica.com | | Attijariwafa Bank | attijariwafabank.com | | CIH Bank | cihbank.ma | | القرض الشعبي | gbp.ma | | Crédit du Maroc | creditdumaroc.ma | | BNP Paribas | mabanque.bnpparibas | | Société Générale FR | societegenerale.fr |

ما يستعمله المحتالون:

إضافة شرطة: bmce-secure.com، attijari-paiement.ma، cih-securite.com
امتداد خاطئ: cihbank.online، bmcebank.xyz، attijariwafa.tk
نطاق فرعي مضلّل: mabanque.bnpparibas.account-verify.net — النطاق الحقيقي هو account-verify.net، لا bnpparibas
استبدال حرف: paypaI.com (I كبيرة بدل l صغيرة)، attijariwâfa.com (مع علامة)

يستعمل التصيد البنكي دائماً نطاقاً غير مألوف. إن لم يطابق الرابط تماماً النطاق الذي تكتبه أنت من الذاكرة، فهي عملية احتيال.

حالات حقيقية

بلجيكا، 2024: تذكر وكالة الأنباء البلجيكية أن التصيد — معظمه انتحال بنوك — حقّق للمجرمين 50 مليون يورو في بلجيكا سنة 2024.
فرنسا، 2024: يصنّف تقرير 2024 لـ Cybermalveillance.gouv.fr التصيد كطلب المساعدة رقم 1، مع تطوّر مستمرّ يشمل النسخ SMS وصقلاً متزايداً بفضل الذكاء الاصطناعي.
المغرب، 2023-2024: يوثّق Médias24 موجة وطنية من الاحتيال الإلكتروني، بما فيها انتحال البنوك، مما دفع المديرية العامة للأمن الوطني لإطلاق منصة E-Blagh في 18 ماي 2024.
المغرب، مستمر: يفيد SNRT News بأن المديرية العامة عالجت 13,643 قضية جريمة إلكترونية مرتبطة بالتقنيات الحديثة والابتزاز في فترة واحدة قصيرة — حصة كبيرة منها تتعلّق بانتحال هوية بنكية/مالية.

الإشارات السبع التي يجب الانتباه إليها

تعامل مع أي من هذه على أنها احتيال افتراضياً:

SMS يصل برابط. البنوك فعلاً لا ترسل روابط نشطة عبر SMS — بل تطلب منك تسجيل الدخول للتطبيق.
نطاق الرابط لا يطابق تماماً الموقع الرئيسي للبنك (الذي تكتبه أنت).
استعجال: «24 ساعة»، «فوراً»، «قبل منتصف الليل». الإشعارات البنكية الحقيقية لا تنتهي في اليوم.
تهديد مالي: حظر الحساب، تعطيل البطاقة، فقدان مبلغ X. مصمَّم لإيقاع الذعر.
تحية عامة: «عزيزي العميل». بنكك يعرف اسمك.
أخطاء إملائية أو ترقيمية (قلّت مع ترجمة الذكاء الاصطناعي، لكنها لا تزال تحدث).
المُرسِل يبدو غريباً: سلسلة طويلة من الأرقام، رمز دولة أجنبي، أو اسم أبجدي رقمي قريب فقط من الصحيح («BMCEBank-FR» بدلاً من «BMCE»).

القاعدة الوحيدة التي تُبطل هذا الاحتيال

لا تنقر أبداً على رابط في رسالة قصيرة تدّعي أنها من بنكك.

افتح بدلاً من ذلك تطبيق البنك. إن كان هناك تنبيه حقيقي، فستجده في إشعارات التطبيق.

إن لم يكن هناك تنبيه في التطبيق، فالرسالة احتيال. انتهى القرار.

هذه القاعدة بلا استثناء وتحميك مدى الحياة. لا تكلّف شيئاً وتجعل كامل صناعة التصيد بلا فائدة ضدك.

ماذا تفعل عند تلقّي رسالة تصيد

لا تنقر الرابط. مجرّد النقر قد يحمّل أحياناً بكسلات تتبّع تؤكد أن رقمك نشط.
تحقّق عبر التطبيق. افتح تطبيق بنكك، سجّل الدخول بشكل عادي، تحقّق من التنبيهات الحقيقية.
حوّل الرسالة إلى رقم الإبلاغ. فرنسا: 33700 (مجاناً، signal-spam.fr). بلجيكا: 8484. المغرب: أرسل لقطة شاشة إلى منصة E-Blagh أو اتصل بخط مكافحة الاحتيال لدى بنكك.
احظر المُرسِل. ضغطة مطوّلة على الرسالة ← حظر.
احذف الرسالة كي لا تنقرها بالخطأ لاحقاً.

إذا كنت قد أدخلت بياناتك في الصفحة المزيفة

الوقت يهمّ. تصرّف بهذا الترتيب:

اتصل فوراً بخط مكافحة الاحتيال الرسمي لبنكك (الرقم خلف بطاقتك، لا الرقم في الرسالة). أوقف البطاقة. جمّد الحساب.
غيّر كلمة السر البنكية وكل كلمة سر مكرّرة. خصوصاً إن كنت قد كتبتها في الصفحة المزيفة.
فعّل تنبيهات SMS أو إشعارات التطبيق لكل معاملة كي ترصد أي خصم غير مصرّح به في الوقت الحقيقي.
قدّم شكوى جنائية. فرنسا: الشكوى المسبقة عبر الإنترنت + أقرب مفوضية. المغرب: مفوضية + E-Blagh. بلجيكا: شرطة محلية + بلاغ safeonweb.be.
احذر من «محتالي الاسترداد» — بمجرد أن يدخل رقمك قاعدتهم، ستصلك مكالمات من «وكلاء الاحتيال» يعرضون استرجاع الأموال مقابل رسوم. نفس المجرمين، جولة ثانية.

ماذا تفعل البنوك حقاً

للبنوك الحقيقية أنماط يمكن التعرّف عليها:

تتواصل معك في التطبيق، بتنبيه + زرّ «تأكيد» أو «رفض». بلا رابط خارجي.
ترسل بريداً إلكترونياً للتأكيد بعد إجراء بدأته أنت (تحويل، طلب بطاقة، تسجيل دخول من جهاز جديد).
لا تطلب أبداً كلمة سرّك، أو رقم PIN، أو رقم البطاقة كاملاً، أو رمز SMS عبر أي قناة — هاتف، SMS، بريد، شخصياً.
إن اشتبهت في احتيال، توقف المعاملة وتتصل بك على رقم معروف — لا تطلب منك أنت أن تتصرّف.

إن لم يطابق هذا النمط، فلست أمام بنكك.

رأي ثانٍ في 5 ثوانٍ

إن كنت تنظر إلى رسالة بنكية الآن ولست متأكداً، حوّلها إلى Digiscam على واتساب أو ألصقها في صندوق التحقق. تقييم الذكاء الاصطناعي في ثوانٍ، بنفس المعايير التي تنشرها الجهات التنظيمية. مجاناً، بشكل مجهول، بالعربية والفرنسية والإنجليزية.

افتح التطبيق. لا تنقر الرابط.

المصادر: وكالة الأنباء البلجيكية — خسائر التصيد ببلجيكا 2024 · Cybermalveillance.gouv.fr — التقرير السنوي 2024 (PDF) · Médias24 — إطلاق منصة DGSN E-Blagh · SNRT News — إحصاءات الجريمة الإلكترونية بالمغرب