KYC في قطاع الاتصالات في البرازيل: كيف توقف احتيال (SIM swap) وأكثر
Key takeaways
يُعدّ تبديل الشريحة (SIM swap) و«Mão Fantasma» اليوم أهم متجهَي احتيالٍ على الهاتف المحمول في البرازيل؛ وباعتبار شركات الاتصالات الحلقةَ الأولى، فإنها تتكبّد خسائر وعقوبات وتن erosion ثقة إن لم تحمِ الرقم والتدفّقات الحرِجة.
تفشل أساليب التحقّق التقليدية لاعتمادها على بياناتٍ ثابتة مكشوفة، وOTP عبر SMS في قنواتٍ مخترَقة، وعملية بشرية هشّة؛ أما نقل الرقم واستبدال/استنساخ الشريحة فهما الأكثر خطورة ويتطلبان هوية قوية، وإشاراتٍ من الرقم/الخط، وتأكيدًا عبر قناة بديلة، وفترات تبريد.
التنظيم: تفرض Anatel تأكيد نقل الرقم عبر SMS (مع نافذة زمنية للرد)، ويعزّز RGST وRGC المحدَّثان الشفافية وقابلية التتبّع؛ SMS إلزامي لكنه غير كافٍ كتوثيق قوي في سيناريوهات المخاطر العالية.
استراتيجية فعّالة ودور Didit: KYC لحظي (وثيقة، سيلفي، واختبار حياة)، وبيومتريا + MFA في التدفقات عالية الأثر، وقرارات مدفوعة بإشارات الخط؛ منصّة مؤتمتة ومرِنة تقلّل الاعتماد على المراجعة اليدوية، وتُحسن الاكتشاف، وتسهّل التكامل بأسعار واضحة.
تشهد البرازيل ذروةً في الجرائم الرقمية حيث يمثّل الخطّ المحمول الحلقة الأضعف: يتيح تبديل الشريحة (SIM swap) للمهاجمين السيطرة على الرقم واعتراض رموز OTP (كلمة مرور لمرة واحدة) عبر SMS للدخول إلى الحسابات البنكية وتطبيقات مالية حساسة. النتيجة؟ خسائر مصرفية بقيمة R$ 10,1 bilhões في 2024، بحسب FEBRABAN (اتحاد البنوك البرازيلية).
وليس القطاع المالي وحده المتضرّر. فشركات الاتصالات—وهي غالبًا الحلقة الأولى—تواجه أيضًا خسائر مباشرة وعقوبات تنظيمية وتآكلًا في ثقة العملاء بفعل احتيال الهوية.
ويبدو أسلوب عمل المحتالين واضحًا: عبر الهندسة الاجتماعية يستغلّون ضعف إجراءات المشغّلين ويجتازون التحقّقات باستخدام بياناتٍ مُسرّبة (أو مسروقة) من الدارك ويب. وليست هذه المخاطرة الوحيدة: فقد باتت Mão Fantasma تهديدًا إضافيًا يتمثّل في إقناع الضحية بتثبيت تطبيق وصول عن بُعد؛ ومن ثمّ يسيطر المجرمون على الهاتف خِفية ويوجّهون عملياتٍ مصرفية احتيالية. ينصح القطاع المصرفي وFEBRABAN بعدم تثبيت أي تطبيق بناءً على اتصالٍ هاتفي وعدم منح وصولٍ عن بُعد لطرفٍ ثالث.
ما هو SIM swap ولماذا يتزايد في البرازيل؟
يُعدّ SIM swap من أكبر التهديدات لقطاع الاتصالات في البرازيل. تقوم هذه الخدعة على أنّ المحتال يقنع المشغّل بإصدار شريحة جديدة تحمل رقم الضحية، جامعًا بين الهندسة الاجتماعية وبياناتٍ مسرّبة من الدارك ويب.
بمجرد السيطرة على الرقم، يعترض المهاجم رموز OTP المرسلة بالـSMS للعميل الحقيقي (لدخول الحساب أو استعادته)، ما يؤدي إلى الاستيلاء على الحسابات (Account Takeover).
يتصاعد خطر SIM swap مع معدّلات نجاحٍ ملحوظة تُبلّغ عنها الصناعة، ما يجعله أولوية قصوى لفرق الاحتيال والأمن.
لماذا تفشل منهجيات التحقق التقليدية في الاتصالات؟
تواجه البرازيل واحدًا من أكثر بيئات الجريمة السيبرانية عدوانيةً في العالم. تحدث محاولة احتيال هوية كل ثانيتين، وغالبًا ما تعجز الشركات عن كشفها ومكافحتها وإيقافها في الوقت المناسب.
لا توجد أرقامٌ رسمية دقيقة حول عدد عمليات SIM swap، لكن يُقدّر أن عشرات الآلاف من المستخدمين قد يتأثرون سنويًا.
وعليه يجب التركيز على ضعف الأدوات والعمليات الحالية. فالحلول الشائعة في البرازيل أثبتت عدم كفايتها لاعتمادها على تحققٍ ثابت، ومراجعاتٍ يدوية، وإجراءاتٍ غير مرِنة. والمشكلة ليست في الأدوات فقط؛ بل في النهج أيضًا.
بيانات مكشوفة وهشاشة لدى المشغّلين
يعني التعرّض الواسع للبيانات في الدارك ويب أنه باستخدام بياناتٍ ثابتة (مثل CPF أو تاريخ الميلاد) يمكن للمهاجم تخطّي الضوابط الأولية الأساسية. وعندما تصبح هذه البيانات معروفةً للعموم، لا يعود التحقق المبني على «ما تعرفه» دليلاً على الهوية.
إضافةً إلى ذلك، لا تزال عملياتٌ داخلية كثيرة لدى شركات الاتصالات مرهَقةً بالتحقق البشري (في المتجر أو مركز الاتصال) وبعيدة عن تحليل إشارات المخاطر في الزمن الفعلي.
وينتج عن ذلك نظامٌ بيئي حيث:
- يتعرّض العميل الشرعي إلى احتكاكٍ لا يوقف المهاجم دائمًا.
- يستغلّ المجرمون معلوماتٍ مُسرّبة لنسخ الشرائح أو استعادة الحسابات أو فرض نقل الرقم.
- تُتخذ القرارات اعتمادًا على أدلةٍ ضعيفة (بياناتٍ ثابتة) بدلًا من أدلةٍ قوية (البيومتريا مع اختبار حياة، إشارات الخط/الرقم، سمعة الجهاز).
التسريبات ونقل الرقم: النقطة العمياء
تتركّز أعلى المخاطر التشغيلية في نقل الرقم بين المشغّلين واستبدال/استنساخ الشريحة. فهما حدثان عاليَا الأثر: إن اجتازهما المهاجم استحوذ على الرقم ومن ثمّ على سائر وسائل التوثيق المربوطة به.
وللتصدي لذلك، على المشغّلين اعتماد معايير إثباتٍ عالية:
- هوية قوية عند الطلب (وثيقة + سيلفي + اختبار حياة) عبر التطبيق/الويب ومركز الاتصال والمتجر.
- قراءة إشارات الرقم قبل اختيار قناة التوثيق (نوع الخطّ، عُمر الشريحة، دلائل على تبديلٍ حديث).
- تأكيد عبر قناة بديلة (إشعار دفع/Push أو بريدٍ موثّق) وفترات تبريد للتغييرات الحسّاسة.
ماذا تقول الأنظمة في البرازيل؟ (ملخّص عملي)
تُلزم Anatel (هيئة الاتصالات البرازيلية) بأن يتم تأكيد نقل الرقم المحمول عبر SMS على خطّ المستخدم الحالي. أمام صاحب الخط حتى 6 ساعات للرد؛ وفي حال عدم الرد أو الإجابة بـ«لا»، تُلغى الطلبية تلقائيًا. لا تُغني هذه التدابير عن التوثيق القوي في سيناريوهات المخاطر العالية، لكنها الحدّ الأدنى التنظيمي الواجب على كل شركة اتصالات.
كما أقرت الهيئة اللائحة العامة لخدمات الاتصالات (RGST) التي توحّد وتحدّث قواعد القطاع.
بدوره، تم تحديث وتوحيد اللائحة العامة لحقوق المستهلك (RGC) حديثًا (سبتمبر 2025)، مع تعزيز التزامات الشفافية والجودة وإمكانية الرجوع في العلاقة مع المستخدم. يؤثر ذلك في كيفية إعلام وتنفيذ نقل الأرقام واستبدال الشرائح وتغييرات البيانات، وكذلك في التتبّع عند النزاعات.
استراتيجية KYC لمشغّلي الاتصالات في البرازيل (2025)
مع الأدوات والعمليات المناسبة يمكن للمشغّلين تقليص احتيال الهوية بدرجةٍ ملموسة.
- KYC لحظي أثناء الانضمام. تحقق من الوثيقة، ومطابقة الوجه 1:1، واختبار الحياة لمنع التفعيل بهوياتٍ تركيبية أو منتحَلة.
- بيومتريا الوجه وMFA عند استبدال الشريحة ونقل الرقم. دمج القياسات الحيوية ضمن MFA في العمليات الحرِجة يرفع حاجز الهندسة الاجتماعية.
- قرارات مدفوعة بمؤشرات المخاطر. قبل إرسال OTP عبر SMS، قيّم المخاطر: نوع الخط، عُمر الشريحة، دلائل swap حديث. إن كان الخطر مرتفعًا فاسلك مسارًا بديلًا (بيومتريا، Push/بريد موثّق)؛ وإن كان منخفضًا فأكمل التدفق المعتاد.
- ذكاء اصطناعي وتحليل سلوكي. يساعد التوقيت والمواقع وإيقاع الطلبات على كشف الشذوذ وحظر العمليات استباقيًا.
كيف تساعد Didit مشغّلي الاتصالات على تقليل احتيال الهوية
تواجه البرازيل حجمًا استثنائيًا من الاحتيال، وأولوية المشغّلين الأولى هي تقليل الخسائر الناتجة عن SIM swap ونقل الأرقام الاحتيالي وتغييرات البيانات الحسّاسة. Didit منصّة تحقق هوية مصمَّمة مع وضع هذا الهدف في الجوهر.
كيف ينعكس ذلك على الأداء التشغيلي؟
- اعتمادٌ أقل على الإشراف اليدوي. تقلّل Didit المراجعات اليدوية وتحسّن الاكتشاف في سيناريوهاتٍ عالية الحجم مع الحفاظ على التحكم والتتبّع للتدقيق.
- معرفة عالمية بالاحتيال. تعمل على قاعدةٍ عالمية من آلاف الحالات: ترصد الأنماط وتتصرف وفقًا لها.
- اتصال بمصادر حكومية. تدمج قواعد بيانات حكومية لإجراء الفحوصات اللازمة لمكافحة الاحتيال.
- أتمتة شاملة من طرفٍ إلى طرف. تتجنب اختناقات المراجعات اليدوية وتُسرّع الانضمام/الخدمة دون التفريط بالتحكّم.
- تدفّقات عمل مرِنة وقابلة للتخصيص. تغيير قواعد دون تذاكر؛ خطوات إضافية حسب المخاطر عندما يلزم الأمر.
- شفافية وسهولة تكامل. واجهات برمجة وموديولات بلا كود لإطلاق التدفقات بسرعة وبأسعار واضحة.
لماذا تتجاوز Didit حدود السوق الاعتيادية؟
في بيئةٍ يعتمد فيها المزوّدون التقليديون على تحققٍ ثابت ومراجعاتٍ يدوية وتدفّقاتٍ غير مرِنة، تُضيف Didit طبقةً مؤتمتة قابلةً للأوركسترة ومتصلةً بالمصادر الحكومية، فتقلّل الاعتماد على اليدوي، وتُحسّن الاكتشاف، وتحافظ على التجربة تحت السيطرة. تجمع بين تحقق هويةٍ كامل وقاعدةٍ عالمية لأنماط الاحتيال لاتخاذ قراراتٍ لحظية حول التفعيلات الجديدة ونقل الأرقام واستبدال الشرائح.
KYC في قطاع الاتصالات في البرازيل: كيف توقف احتيال (SIM swap) وأكثر
