قالت الشرطة إن أحد الموظفين تعرض للخداع لإرسال 35 مليون دولار إلى المحتالين بعد رؤية زملائه في مكالمة فيديو تبين أنها مزيفة
غريتا توما – بابليك برس
كلّفت عملية بـ”التصيد الإحتيالي العميق” شركة متعددة الجنسيات أكثر من 25 مليون دولار بعد أن تم خداع أحد الموظفين عن طريق التقليد الرقمي لزملائه في مكالمة جماعية.
وقالت شرطة هونغ كونغ في مؤتمر صحفي يوم الجمعة إن الموظف في فرع الشركة في هونغ كونغ، الذي لم يذكر إسمه، إشتبه في البداية في “التصيد الإحتيالي” عندما تلقى بريداً إلكترونياً الشهر الماضي يزعم أنه من المدير المالي للشركة ومقره المملكة المتحدة، حسبما ذكرت شبكة “سي إن إن”.
ومع ذلك، بعد حضور إحتماع عبر الفيديو ورؤية التزييف العميق المقنع للمدير المالي وزملائه الآخرين، إعتقد الموظف أن طلب تنفيذ معاملة سرية كان مشروعاً.
وفي نهاية المطاف، قام الموظف المالي بتحويل 200 مليون دولار هونغ كونغ، أي ما يعادل حوالي 25.6 مليون دولار أميركي، إلى خمسة حسابات مصرفية مختلفة عبر 15 معاملة، باتباع تعليمات الزملاء المزيفين، وفقاً لصحيفة “ستريتس تايمز”.
تم الكشف عن عملية الإحتيال بعد أسبوع واحد من الإتصال الأولي، عندما تواصل الموظف مباشرة مع المقر الرئيسي للشركة. وقالت الشرطة إن القضية قيد التحقيق ولم يتم إعتقال أي شخص حتى الآن.
وقال نيك فرانس، كبير مسؤولي التكنولوجيا في شركة Sectigo: “ربما لا يزال الموظفون يفترضون اليوم أنه لا يمكن تزييف الصوت أو الفيديو المباشر، ويتصرفون بناءً على الطلبات المقدمة من الزملاء أو القادة دون سؤال، كما رأينا في هذه الحالة الأخيرة”. وأضاف “يجب على الفرق الأمنية أن تنظر إلى هذا باعتباره تهديدًا آخر لمؤسساتهم وتحديث ممارساتهم وتدريباتهم وفقًا لذلك”.
هل ستقع في فخ عملية الإحتيال العميقة هذه؟
وقالت السلطات إن اللقطات المتاحة للعامة للمدير المالي وموظفين آخرين تم إستخدامها لإنشاء صور مزيفة، وكان الضحية هو الشخص الوحيد في المكالمة الجماعية الذي لم يكن مزيفاً بعمق.
كما إتصل المحتالون بإثنين أو ثلاثة موظفين آخرين من نفس الشركة، على الرغم من أن الشرطة لم تكشف عن تفاصيل حول هذه التفاعلات.
وقالت السلطات إنه خلال مكالمة الفيديو، قال الموظف إنه طُلب منه تقديم مقدمة ذاتية، لكنه لم يتفاعل بشكل مباشر مع أي شخص آخر في الإجتماع. قام زملاء التزييف العميق والمدير المالي بتزويد الضحية بالتعليمات، وبعد ذلك تم إنهاء المكالمة فجأة.
أفاد الموظف أن الصور الحية وأصوات الآخرين في المكالمة بدت حقيقية ويمكن التعرف عليها بالنسبة له. وأشارت الشرطة إلى أن القضية كانت الأولى في هونغ كونغ التي تتضمن عدة عمليات تزييف عميق في مكالمة فيديو واحدة.
وقال باتريك هار، الرئيس التنفيذي لشركة مكافحة التصيد الإحتيالي SlashNext: “كانت هذه جريمة متقنة. هناك طرق لتطبيق حماية الأمن السيبراني لإحباط هذه الأنواع من التصيد الإحتيالي على أدوات التعاون مثل Teams وSlack وZoom. ومع ذلك، يجب دمجها مع بروتوكولات الأمان المادي والتدريب، لأن هذه الأنواع من الجرائم تتطور والتكنولوجيا تتخلف عن الركب”.
تشير الأبحاث إلى أن العديد من الأشخاص ليسوا مستعدين بعد لاكتشاف التزييف العميق. أظهر إستطلاع أجرته شركة iProov في عام 2022 أن 43% من المشاركين لا يعتقدون أنهم يستطيعون التمييز بين الفيديو الحقيقي والمزيف العميق، وكان 29% فقط من المشاركين يعرفون في البداية ما هو التزييف العميق.
بالإضافة إلى ذلك، أظهرت دراسة نُشرت في يونيو/حزيران 2023 في مجلة Journal of Cybersecurity أن المشاركين الذين طُلب منهم التمييز بين الوجوه البشرية الناتجة عن الذكاء الإصطناعي والوجوه البشرية الحقيقية حصلوا على معدل دقة إجمالي قدره 62%.
هل أصبح التصيد الإحتيالي العميق أمراً طبيعياً جديداً للأمن السيبراني؟
أصبحت عمليات إحتيال التزييف العميق أكثر شيوعاً، حيث إكتشفت شركة التحقق من الهوية Onfido زيادة بنسبة 3000% في محاولات الإحتيال التزييف العميق بين عامي 2022 و2023. وتتوقع مؤسسة غارتنر أن تفقد 30% من الشركات ثقتها في حلول المصادقة البيومترية للوجه بحلول عام 2026 بسبب هجمات حقن التزييف العميق.
أثبتت تقنية Deepfakes أيضاً نجاحها في سرقة مبالغ كبيرة من المال من المنظمات في عمليات الإحتيال السابقة. وفي عام 2020، أرسل مدير فرع لشركة يابانية في هونغ كونغ 35 مليون دولار إلى المحتالين بعد أن إستخدموا الذكاء الإصطناعي لاستنساخ صوت مدير الشركة الأم في مكالمة هاتفية، وفقًا لما ذكرته مجلة “فوربس”.
في عام 2021، حصل المحتالون في الصين على ما يعادل 75 مليون دولار عبر فواتير ضريبية مزيفة عن طريق خداع أنظمة التعرف على الوجه التي تديرها الحكومة باستخدام التزييف العميق، حسبما ذكرت صحيفة South China Morning Post.
في العام الماضي، قالت شرطة هونغ كونغ إنها ألقت القبض على المحتالين الذين يستخدمون تقنية التزييف العميق للذكاء الاصطناعي وبطاقات الهوية المسروقة لتقديم العشرات من طلبات القروض الإحتيالية وتسجيل الحسابات المصرفية، وأدت عمليات الإحتيال العميقة إلى إجمالي ستة إعتقالات بشكل عام.
يقول خبراء الأمن السيبراني إن الشركات بحاجة إلى مراعاة أساليب التصيد الإحتيالي المتقدمة مثل التزييف العميق عند تحديث برامج التدريب الأمني وإدارة أذونات تحويل الأموال.
وقال هار: “يجب أن تكون هناك مستويات موافقة متعددة قبل تحويل الأموال، حتى عندما يطلب المدير المالي التحويل”. وأصاف: “يمكن للشركات أن تطلب أن تتم جميع اتصالات الفيديو الخاصة بها عبر قنوات تعاون معتمدة وآمنة ويجب تدريب الموظفين على التشكيك في السلوك غير المعتاد مثل طلبات استخدام حسابات مصرفية جديدة أو الطلبات التي تبدو خارجة عن العملية المعتادة”.
ونصح فرانس الإلتزم بمبادئ “الإمتياز الأقل”، بحيث “لا يتمكن الموظفون إلا من الوصول إلى الحسابات والأنظمة التي يحتاجونها لأداء أدوارهم”. وأضاف: “قم بتأكيد المدفوعات والوصول إلى البيانات المهمة من خلال تأكيدات إضافية، حتى لو كنت تعرف الوجه الذي يظهر على الشاشة”.
وخلص فرانس إلى ما يلي: “قم بتحديث برامج التدريب لضمان ليس فقط أن المستخدمين على دراية بإمكانية الفيديو المزور بالكامل، ولكن يجب تشجيعهم وتمكينهم من إثارة المخاوف، أو طلب التحقق أو التأكيد الإضافي قبل اتخاذ الإجراءات المهمة للأعمال”.