هاكرز استعملو Stripe وGoogle Tag Manager باش يسرقو بيانات البطاقات البنكية

هاد القصة كتعكس واحد من أخطر التهديدات فعالم التجارة الإلكترونية. المجرمين ما استعملوش أدوات معقدة ولا هجمات مباشرة — استعملو الثقة ديالنا فالخدمات الموثوقة.

الضحايا: متاجر صغيرة وكبيرة

Stripe هي منصة الدفع الأمريكية الضخمة اللي كتستعملها ملايين المتاجر الإلكترونية باش تقبل البطاقات البنكية. بحال Paypal ولا Skrill، ولكن أقوى وأكثر استعمال فالمتاجر الحديثة.

المشكل؟ الخوادم ديال Stripe (والخدمات المشابهة) موثوقة بشكل افتراضي. يعني المتاجر كتسمح بالاتصالات من Stripe بدون أي فحص ولا شك. هاد الثقة بالضبط هي اللي استعملها الهاكرز.

الهجوم: شنو هو بالضبط؟

المجرمين استعملو Skimmer (برنامج خبيث كيقرا بيانات البطاقات البنكية بصمت أثناء عملية الشراء) — ولكن بطريقة ذكية جداً.

المراحل:

المرحلة 1: تخزين الكود الخبيث

الهاكر كيخلق حساب Stripe وهمي وكيخزن الكود الخبيث فالمعلومات الداخلية ديالو (Metadata). هاد الحساب كيبدو حقيقي تماماً.

المرحلة 2: تثبيت الفخ

الهاكر كيدخل للمتجر المستهدف (عبر ثغرة ولا موظف مرتشي — الطريقة واضحة ما) وكيثبت Google Tag Manager (GTM — أداة شهيرة كتستعملها المتاجر باش تضيف أكواد تحليل وإعلانات بدون ما تمس الكود الأساسي) مع كود مسموم.

المرحلة 3: السرقة الصامتة

ملي الزبون كيدخل لصفحة الدفع:

1. Google Tag Manager كيتفعل

2. كيروح يقرا الكود الخبيث من حساب Stripe الوهمي

3. الـ Skimmer كيلتصق بزر "إتمام الشراء"

4. ملي الزبون كيضغط الزر، الكود كيسرق:

   • رقم البطاقة
   • تاريخ الانتهاء
   • رمز CVV (الأرقام الثلاثة وراء البطاقة)
   • اسم صاحب البطاقة
   • عنوان الفاتورة
   • البريد الإلكتروني والهاتف

5. البيانات كتنشفر وكتتخزن مؤقتا فالمتصفح

6. بعدين كتتبعت لـ Stripe، ولكن مموهة بحال طلبات عملاء شرعيين

الحيلة الذكية:

الكود الخبيث ما كيتحمل من خادم الهاكر — كيتحمل من Stripe و Google Tag Manager، خدمات موثوقة. المتاجر ما كتشك فيهم. والبيانات المسروقة كتمر عبر نفس الخدمات.

وزيد على هاك، الهاكر يقدر يحدث الكود الخبيث بدون ما يمس المتجر مرة ثانية — غير بتغيير المعلومات فحساب Stripe الوهمي.

نفس الطريقة مع Google Firestore

Sansec (شركة أمن سيبراني متخصصة) اكتشفات نسخة ثانية من نفس الهجوم، لكن بدل Stripe، الهاكرز استعملو Google Firestore (قاعدة بيانات من Google). نفس الفكرة: استعمال خدمة موثوقة كقناة سرية.

كم دام الهجوم؟

حساب Stripe الوهمي اللي كان فيه الكود الخبيث اتخلق يوم 24 ديسمبر 2025. هاد يعني الهجوم كان نشيط لـ على الأقل شهر كامل قبل ما يتكتشف. العدد الدقيق ديال المتاجر المخترقة ما اتعلنش.

Stripe نفسها ما أعلنات علناً على الحادثة لحد الآن.

كيفاش تحمي نفسك؟

إيلا كنتي صاحب متجر:

• فحص Google Tag Manager: قول شي متخصص يقرا جميع الـ Tags النشيطة فموقعك. شي واحد لقا tag غير معروف؟ احذفها بسرعة.
• مراجعة الصلاحيات: شي حد عنده access لـ GTM ولا Stripe ما خاصو يكون عنده؟ احذفهم.
• تحديثات أمان: تأكد من أن منصتك (Shopify, WooCommerce, إلخ) محدثة.

إيلا كنتي زبون:

• بطاقات وهمية: استعمل بطاقات ديال استعمال واحد (Virtual Cards) للتسوق أونلاين. بنوك مغربية بحال BMCE و Attijariwafa بدأو يقدمو هاد الخدمة.
• مراقبة الحساب: بعد كل عملية شراء من متجر ما تعرفوش، شوف كشف حسابك فالبنك.
• بطاقات محدودة: إيلا ممكن، استعمل بطاقة بحد أقصى منخفض للتسوق أونلاين.

شنو كيعني هاد الشي ليك؟

هاد الهجوم يعكس واحد من أخطر الاتجاهات: المجرمين ما بغاو يهاجمو الأمان مباشرة — بغاو يستعملو الثقة. المتاجر الإلكترونية المغربية، خاصة الصغيرة والمتوسطة، كتستعمل Stripe و Google Tag Manager بكثرة. الأمان الرقمي ماشي غير مسؤولية المنصات — هو مسؤولية مشتركة بين صاحب المتجر والزبون. محاسبين ومستقلين كيشتغلو مع متاجر أونلاين خاصة بيهم خاصهم يفهمو هاد الأخطار. والموظفين فالبنوك والشركات اللي كتعامل مع البيانات الحساسة، هادا تذكير بلي الثقة وحدها ماشي كافية — كاين بزاف ديال الأدوات والفحوصات اللي خاصها تكون فالمكان.