غرامة مونزو الأخيرة بقيمة 21 مليون جنيه إسترليني وقال الخبراء إن الإخفاقات في التحقق من العملاء يسلط الضوء على أوجه الأمن السيبراني وأوجه القصور في تطبيقات التمويل الشخصي الشعبي وأهمية النظافة الإلكترونية الجيدة.
قررت هيئة السلوك المالي في المملكة المتحدة (FCA) مؤخرًا أنه بين أكتوبر 2018 وأغسطس 2020 ، كان بنك تشالنجر يفتقر إلى “أنظمة وضوابط جرائم مكافحة مالية كافية” للتسجيل في عملاء جدد ، وتقييم أي مخاطر تشكلها وتحديد المعاملات الاحتيالية.
على الرغم من أن هذه الغرامة لم تكن فيما يتعلق بحادث أمن الإنترنت واحد ، إلا أنها تؤكد نقاط الضعف التي يمكن أن تستغلها المجرمون لارتكاب أعمال الجريمة السيبرانية والاحتيال. أي أن عملاء مونزو تمكنوا من إنشاء حسابات باستخدام التفاصيل غير المعقولة ، مثل وضع قصر باكنغهام كخطابهم.
وفي الوقت نفسه ، أدت تقييمات المخاطر غير الكافية عن انضمام أكثر من 34000 عميل معرضين للخطر إلى البنك-وهو تهديد يتفاقم بسبب عدم وجود أنظمة مراقبة المعاملات ، مما يعني أن الجريمة المالية قد تمر دون أن يلاحظها أحد.
تأتي هذه الإخفاقات من قبل مونزو مع استمرار زيادة الجريمة المالية في الحجم والتطور. وفقا لتمويل المملكة المتحدة الأرقام، كان هناك 3.31 مليون قضية احتيال مالي في عام 2024 ، وفقدت 1.17 مليار جنيه إسترليني نتيجة لذلك.
وينبغي أن يكونوا بمثابة “تذكير” بأن البنوك المنافسة ، على الرغم من أنها تميل رقميًا أكثر من المؤسسات التقليدية ، لا تعطي دائمًا أولوية للأمن السيبراني وخصوصية البيانات ، وفقًا لما قاله جيك مور ، مستشار الأمن السيبراني العالمي في أخصائي مكافحة الفيروسات ESET.
وقال إن البنك ارتكب “أخطاء داخلية خطيرة” فيما يتعلق بموقف الأمن السيبراني ، مثل الفشل في متابعة مبادئ “معرفة عميلك”. وتشمل هذه إجراءات للتحقق من هوية العميل وتحديد المخاطر المرتبطة بها ، مثل غسل الأموال وأنواع أخرى من الجرائم المنظمة. وقال مور: “لقد نمت مونزو على نطاق واسع أثناء التراجع إلى المناطق لتوفير المال الذي يسعى الخدمات المصرفية التقليدية مرة واحدة”.
سانتاندر بخير
بالطبع ، Monzo ليس البنك الرئيسي الوحيد الذي تعرض للتدقيق من المنظمين بسبب انتهاكات الامتثال. قبل ثلاث سنوات ، كان سانتاندر صفع بغرامة قدرها 107.7 مليون جنيه إسترليني من قبل FCA على مدار عدة سنوات من أخطاء مكافحة غسل الأموال. وبشكل منفصل ، في العام الماضي فقط ، شهدت خرق بيانات كارثي تأثرت 30 مليون من عملائها.
وقال راجفاردان أوك ، وهو عالم مطبق في Microsoft وباحث أمان عبر الإنترنت في الأسماء ، إن الانتهاكات من هذا النوع يمكن أن تكون ضارة للغاية للمستهلكين حيث تحتوي تطبيقات التمويل الشخصية جامعة كاليفورنيا ، ديفيس (UC Davis).
وقال إنه من خلال خرق تطبيقات التمويل الشخصي واستغلال بيانات العميل الحساسة التي يحملونها ، يمكن للمجرمين السيبرانيين الاستمرار في ارتكاب “سرقة الهوية أو الاحتيال المالي أو حتى الأضرار الائتمانية طويلة الأجل”.
مخاطر المصرفية المفتوحة
وحتى إذا استخدمت البنوك بروتوكولات أمان إلكترونية قوية ، فقد تظل بيانات العملاء في خطر إذا تمت مشاركتها مع مقدمي خدمات أقل صرامة من خلال الخدمات المصرفية المفتوحة. يستخدم الأخير واجهات برمجة التطبيقات (APIs) – البرامج التي تسهل نقل البيانات بين تطبيقات متعددة – بحيث تتم مشاركة المعلومات المالية للمستهلكين عبر العديد من مقدمي الخدمات ، مما يسمح لهم بالوصول إلى أفضل الصفقات وأنواع مختلفة من الخدمات المالية.
على سبيل المثال ، قال مور إن البنوك قد تقدم تكاملًا مع تطبيقات الطرف الثالث مثل منصات إدارة الضرائب بحيث يتم تسجيل جميع معاملات عملائها تلقائيًا للنفقات. ولكن من خلال القيام بذلك ، “توسيع سطح الهجوم للمجرمين على الأمل على أمل استغلال أي ضعف معين” عبر النظام البيئي لتطبيق التمويل الشخصي.
إذا كان المتسللون قادرين على الوصول غير المصرح به مفاتيح API، على سبيل المثال ، يمكنهم اختطاف المعلومات المالية الحساسة أثناء سفرها بين هذه الخدمات المختلفة. وقال مور إن الوسائل الشائعة الأخرى لسرقة البيانات الشخصية هي التصيد-رسائل البريد الإلكتروني المزيفة والرسائل التي تبدو مشروعة ولكنها تحتوي على روابط ومرفقات للبرامج الضارة-وكذلك “شاشات الموافقة الخبيثة” التي ينخدع العملاء في منح المتسللين حقوق الوصول إلى حساباتهم وبياناتهم.
ليست كل تطبيقات التمويل الشخصي هي ما تبدو عليه. يحذر Oak من أن العديد من “مشاركة بيانات المستخدم مع المعلنين أو شركات التحليلات” ويفشلون في الكشف عن هذه الممارسة المشكوك فيها لعملائهم فيما يصفه بأنه انتهاك “خطير” لخصوصية العميل.
مع ارتفاع شعبية الخدمات المصرفية المفتوحة ، قد يرى مجرمو الإنترنت أيضًا أن هذا فرصة لإنشاء حصان طروادة فتح التطبيقات المصرفية – التي تنكر كخدمات مالية حقيقية ولكنها تسرق معلومات المستخدمين عند الإدخال.
لذلك ، من الأهمية بمكان تنزيل التطبيقات المالية من متاجر التطبيقات الأصلية – مثل متجر Google Play Store أو Apple App Store – وقراءة مراجعات المستخدم لتحديد ما إذا كان التطبيق جديرًا بالثقة أم لا.
مع وضع هذه المخاطر في الاعتبار ، فإن النظافة الإلكترونية الجيدة أمر بالغ الأهمية. قال أوك إن أي شخص يستخدم تطبيقات التمويل الشخصي يمكنه حماية نفسه من خلال تنفيذ تحديثات البرامج بانتظام ، ووضع كلمات مرور قوية وفريدة من نوعها ، واستخدام ميزات الأمان داخل التطبيق مثل المصادقة ثنائية العوامل ، واستخدام خدمات Fintech الموثوقة فقط.
Junaid Afzal ، المدير التجاري لـ التخطيط المالي الملاذ، وافق على الحاجة الملحة لمستخدمي تطبيق التمويل الشخصي لتعزيز دفاعاتهم الإلكترونية وسط ارتفاع مستويات الاحتيال والجريمة الإلكترونية.
كجزء من “خطة العافية المالية” لتخفيف الجريمة السيبرانية والاحتيال ، أوصى بأن يمتنع المستهلكون عن استخدام تطبيقات التمويل على شبكات Wi-Fi العامة غير الآمنة ومراجعة أذونات الجهاز الممنوحة لهذه التطبيقات. وقال أفزال: “يجب أن يكون المستخدمون منضبطون في نظافة التطبيق الخاصة بهم بقدر ما يلتزمون بتأمين أهدافهم المالية”.
من ناحية أخرى ، حث مور المستهلكين على تحسين فهمهم للتهديدات الشائعة عبر الإنترنت مثل تكتيكات هجمات الهندسة الاجتماعية لخداع المستخدمين في مشاركة المعلومات الشخصية مع المتسللين ، مثل تخفيف رسائل البريد الإلكتروني ومكالمات البريد العشوائي – في محاولة لإيقافهم في مساراتهم.
يجب أن يأخذ مقدمو Fintech أيضًا الأمن السيبراني على محمل الجد. سكارليت سيبر ، كبير مسؤولي النمو والاستراتيجية في Money20/20 ومؤلف التمويل المدمج، قال: “يجب أن يكون لدى أي شركة Fintech من أي نوع تتعامل مع البيانات الحساسة أعلى معايير الأمن السيبراني أو أنها لن تستمر طويلاً.”
مُنحت مونزو الفرصة للتعليق على الروابط بين غرامة الأمن السيبراني الأخير والأمن السيبراني ، لكن بنك تشالنجر لم يقدم ردًا على هذا التأثير.
ومع ذلك ، صرح سانتاندر بأنه “يتحمل مسؤولياته فيما يتعلق بالجرائم المالية على محمل الجد” استجابةً لغرامة غسل الأموال لعام 2022 وانتهاكها المنفصل للبيانات 2024.
وقال متحدث باسم البنك: “ركز التحقيق في FCA على القضايا مع عمليات AML التاريخية في Santander UK للعملاء الخدمات المصرفية التجارية”. “لقد قمنا منذ ذلك الحين بتغييرات كبيرة لمعالجة هذا الأمر من خلال إصلاح تكنولوجيا الجريمة المالية وأنظمة وعملياتنا.”
