EN
برزت في الآونة الأخيرة تحذيرات متصاعدة من مخاطر استغلال رموز الخدمة التكميلية غير المنظمة المعروفة اختصارًا بـUSSD، بعد رصد موجة من عمليات الاحتيال التي تستهدف مستخدمي الهواتف المحمولة عبر التلاعب بهذه الأكواد التي يفترض أنها أدوات خدمية سريعة وآمنة، لكنها تحولت إلى بوابة اختراق خطيرة في أيدي المحتالين.
ما هي رموز USSD ولماذا تُستخدم؟
تمثل رموز USSD قناة اتصال أساسية في شبكات الهاتف المحمول، وتُستخدم على نطاق واسع لإنجاز خدمات فورية مثل الاستعلام عن الرصيد، تفعيل الباقات، الوصول إلى خدمات الدفع البنكي عبر الهاتف، والتواصل السريع مع خدمات العملاء دون الحاجة إلى اتصال بالإنترنت.
وتتكون هذه الرموز عادة من سلسلة أرقام تبدأ بعلامة النجمة وتنتهي بعلامة الشباك، وتنفذ أوامر مباشرة على شبكة GSM بشكل فوري، ما يجعلها سريعة ومريحة، لكنها في الوقت ذاته تفتقر إلى طبقات أمان متقدمة.
كيف يتم تنفيذ هجوم USSD الاحتيالي
يعتمد المحتالون على أسلوب الهندسة الاجتماعية في تنفيذ ما يعرف بـUSSD Scam، حيث يتصل المهاجم بالضحية متظاهرًا بأنه موظف من شركة توصيل أو جهة خدمية أو بنك، ويطلب إدخال رمز معين بدعوى تحديث البيانات أو تأكيد الطلب أو حل مشكلة فنية.
وبمجرد إدخال الرمز، يتم تفعيل تحويل المكالمات أو توجيه الرسائل إلى رقم يسيطر عليه المهاجم، ليصبح قادرًا على استقبال رسائل OTP والمكالمات البنكية الحساسة، ومن ثم اختراق الحسابات المالية والتطبيقات المرتبطة بالرقم.
لماذا يُعد بروتوكول USSD ضعيفًا أمنيًا
يشير خبراء الأمن السيبراني إلى أن بروتوكول USSD يعمل مباشرة على طبقات شبكة GSM الأساسية دون وجود آليات مصادقة قوية أو تشفير متقدم، ما يعني أن الشبكة
تنفذ الأوامر فور إدخالها دون التحقق من هوية مصدرها.
كما أن البروتوكول لا يدعم التحقق الثنائي بطبيعته، ولا يفرض معايير تشفير صارمة، وهو ما يجعل أي رمز يُدخل عبر الهاتف قابلًا للتنفيذ المباشر حتى لو كان ضارًا.
وأظهرت دراسات متخصصة أن بعض نظم الخدمات البنكية المعتمدة على USSD في دول مثل نيجيريا لا تلتزم بالكامل بمعايير الأمان الدولية الصادرة عن NIST وNCSC، ما يزيد من احتمالات استغلالها في الاحتيال.
تحذيرات رسمية من جهات أمنية
وحدات الشرطة الإلكترونية في عدة دول دقت ناقوس الخطر بشأن هذه النوعية من الجرائم، حيث أصدرت وحدة التحليلات الوطنية للجرائم الإلكترونية في الهند تحذيرات رسمية بعد تزايد البلاغات المتعلقة بتحويل المكالمات السرّي عبر أكواد USSD، ما مكن المحتالين من الوصول إلى رسائل التحقق والمكالمات الحساسة دون علم الضحايا.
ودعت السلطات هناك المواطنين إلى عدم إدخال أي كود يطلبه متصل مجهول، مهما بدا الأمر رسميًا أو مقنعًا.
كيف تحمي نفسك عمليًا من هجمات USSD
يوصي خبراء الأمن السيبراني بمجموعة من الإجراءات الوقائية الضرورية، أولها عدم إدخال أي رمز USSD يطلبه متصل غير معروف أو مكالمة غير متوقعة.
كما يُنصح بالتحقق دائمًا من هوية المتصل عبر الاتصال المباشر بخدمة العملاء الرسمية للشركة المعنية، بدلًا من تنفيذ أي تعليمات تُعطى عبر الهاتف.
ويحذر الخبراء بشدة من مشاركة رموز OTP أو بيانات الحساب أو الرقم السري مع أي جهة عبر مكالمة أو رسالة.
وفي حال الاشتباه بأن تحويل المكالمات قد تم تفعيله دون علم المستخدم، يمكن إلغاؤه فورًا بإدخال الرمز العالمي ##002# الذي يعطل جميع أنواع إعادة توجيه المكالمات.
رغم أن رموز USSD تظل أداة مفيدة وسريعة، فإن استخدامها دون وعي أمني يجعلها بابًا مفتوحًا للاختراق، ما يفرض على المستخدمين توخي أقصى درجات الحذر، خاصة مع تصاعد جرائم الاحتيال الرقمية المرتبطة بالهاتف المحمول.
