احتيال Deepfake CEO: هجوم التحويل البنكي الذي غيّر أمن الشركات

في مطلع عام 2024، جلس موظف مالي في شركة متعددة الجنسيات مقرها هونغ كونغ أمام ما بدا وكأنه اجتماع فيديو روتيني. ضمّت المكالمة وجوهاً مألوفة: مسؤول تنفيذي رفيع، وعدداً من الزملاء، والمدير المالي للشركة. طلب المدير المالي من الموظف الموافقة على سلسلة من التحويلات البنكية بلغ مجموعها 25 مليون دولار. بدا كل شيء طبيعياً تماماً.

كان كل شخص في تلك المكالمة صورةً مزيفة بتقنية الـ deepfake.

باتت قضية هونغ كونغ، التي أكدتها الشرطة المحلية وتناقلتها وسائل الإعلام على نطاق واسع في فبراير 2024، علامةً فارقة في تاريخ الجريمة المالية. لم تكن الحادثة الأولى من نوعها في مجال الاحتيال بمساعدة الذكاء الاصطناعي، لكنها كانت الحالة الأكثر كلفةً موثقةً لاستخدام مكالمة فيديو deepfake للحصول على إذن بتحويل بنكي. وقد أثبتت ما حذّرت منه مجتمعات الأمن السيبراني منذ سنوات: احتيال deepfake CEO لم يعد تهديداً نظرياً، بل أصبح ناقل هجوم موثقاً وقابلاً للتكرار ويتوسع بوتيرة متسارعة.

ما جرى في هونغ كونغ

أمضى فريق المهاجمين أسابيع في جمع المعلومات قبل المكالمة. جمعوا مقاطع فيديو متاحة للعموم تُظهر مسؤولي الشركة — تسجيلات مؤتمرات، ومكالمات نتائج مالية، ومقابلات على LinkedIn — ثم أدخلوها في برامج توليد الـ deepfake. كانت النتيجة مقنعةً بما يكفي لخداع مختص مالي متمرس خلال مكالمة فيديو مباشرة.

اتبع الموظف ما بدا أنه توجيه مباشر من القيادة العليا، فأجاز 15 معاملة منفصلة عبر حسابات متعددة. بلغ إجمالي الخسارة 200 مليون دولار هونغ كونغي، أي ما يعادل نحو 25.6 مليون دولار أمريكي. لم يُكتشف الهجوم إلا حين تواصل الموظف مع المقر الرئيسي عبر قناة مستقلة. في تلك اللحظة، كانت الأموال قد اختفت.

اعتقلت شرطة هونغ كونغ ستة أفراد على صلة بالقضية، غير أن المدبّرين الرئيسيين لم يُحدَّدوا علناً قط، وظل استرداد الأموال جزئياً في أحسن الأحوال.

كيف يعمل احتيال Deepfake CEO

كان الهجوم الذي استهدف هونغ كونغ متطوراً، لكن التقنية المستخدمة باتت في متناول الجميع. يعمل احتيال deepfake CEO — المعروف أيضاً بـ Business Email Compromise (BEC) المُعزَّز بالذكاء الاصطناعي — عبر ثلاثة قنوات رئيسية متميزة:

الـ deepfake المرئي يستخدم الذكاء الاصطناعي التوليدي لتحريك وجه الهدف فوق بث فيديو مباشر أو مسجل مسبقاً. تستطيع الأدوات الحديثة فعل ذلك في الوقت الفعلي بمجرد توفر بضع دقائق من المواد المصدرية. عتبة الجودة المطلوبة لخداع شخص في سياق مهني — حيث يتوقع المشاركون تأخيرات طفيفة وتشويهات ضغط — أدنى بكثير مما يتصور معظم الناس.

استنساخ الصوت أصبح نقطة الدخول الأكثر شيوعاً لأنه يتطلب مواد أقل ويمكن توظيفه عبر مكالمة هاتفية عادية. تكفي عينة صوتية مدتها 10 إلى 30 ثانية لمعظم واجهات برمجة تطبيقات استنساخ الصوت التجارية لإنتاج نسخة مقبولة. يسجّل المهاجمون المسؤولين وهم يتحدثون في فعاليات عامة أو مقابلات بودكاست أو تسجيلات داخلية مُسرَّبة، ثم يستخدمون النسخة المستنسخة للاتصال مباشرةً بأحد أعضاء الفريق المالي.

BEC النصي يبقى الأساس: رسائل بريد إلكتروني مُولَّدة بالذكاء الاصطناعي تنتحل هوية رئيس تنفيذي أو مدير مالي، مستنسخةً أسلوب الكتابة والنبرة والإلحاح. جعلت نماذج اللغة الكبيرة رسائل التصيد الاحتيالي العامة في هذه الفئة شبه متقادمة — إذ إن رسائل BEC الحديثة مُخصَّصة للغاية ويصعب اكتشافها من مجرد الأسلوب وحده.

في كثير من الهجمات المتقدمة، تُجمَع القنوات الثلاث بالتسلسل: يُهيّئ بريد إلكتروني منتحَل الهويةَ المستهدَفة، يتبعه اتصال صوتي “يؤكد” الطلب، ثم مكالمة فيديو تُنهي عملية التفويض.

لماذا يتصاعد هذا الهجوم

تتضافر عدة قوى هيكلية في تضخيم التهديد في آنٍ واحد.

انهارت تكلفة إنتاج الـ deepfakes المقنعة. في عام 2019، كانت عملية مبادلة الوجه عالية الجودة تستلزم مزرعة من وحدات المعالجة الرسومية وأسابيع من التدريب. في عام 2026، يستطيع برنامج استهلاكي إنتاج deepfakes مرئية في الوقت الفعلي على حاسوب محمول عادي. تتوفر واجهات برمجة تطبيقات استنساخ الصوت باشتراكات بأقل من 50 دولاراً شهرياً. لم تعد العقبة التقنية هي الحاجز.

أضعف العمل عن بُعد بصورة دائمة آليات التحقق غير الرسمية التي كانت قائمة في المكاتب الفعلية. حين كان المدير المالي يمرّ عبر الممرات لطلب تحويل بنكي، كان بمقدور الموظف التحقق من هويته عبر قنوات حسية متعددة في آنٍ واحد. في بيئة العمل عن بُعد، يُمثّل اتصال الفيديو أقرب البدائل المتاحة — وهو ما يستغله المهاجمون.

يعني توسع البنية التحتية العالمية للتحويلات الدولية أن مزيداً من الشركات، بما فيها المتوسطة والصغيرة، تُنفّذ الآن تحويلات عابرة للحدود بصورة منتظمة. اتسعت مساحة الهجوم. تُولي مجموعات الاحتيال المتطورة، التي كثير منها يعمل من ولايات قضائية ذات تعاون قضائي محدود، الأولوية لهذا النمط من الهجوم لأن العائد المتوقع من كل محاولة مرتفع وصعوبة التتبع الجنائي عالية.

حالات موثقة وحجم الخسائر

إلى جانب حادثة هونغ كونغ، يبدو النمط راسخاً. في عام 2019، تعرضت شركة طاقة بريطانية لاحتيال بقيمة 220,000 يورو بعد أن تلقّى أحد مسؤوليها اتصالاً هاتفياً من شخص اعتقد أنه الرئيس التنفيذي لشركتها الأم الألمانية — تبيّن لاحقاً أنه صوت مستنسَخ. كانت تلك القضية من أولى حوادث احتيال الصوت بالذكاء الاصطناعي الموثقة وتولّت التحقيق فيها Euler Hermes، شركة التأمين الإلكتروني للشركة.

أفاد مركز شكاوى الجرائم على الإنترنت التابع لمكتب FBI، المعروف بـ IC3، بأن خسائر Business Email Compromise تجاوزت 2.9 مليار دولار في عام 2023، عبر نحو 21,000 شكوى مقدمة في الولايات المتحدة وحدها. يُوثَّق الآن توظيف الذكاء الاصطناعي في هذه الهجمات في نشرات IC3، وقد أصدر مكتب FBI تحذيرات محددة بشأن استخدام استنساخ الصوت والـ deepfakes المرئية لرفع معدلات نجاح هجمات BEC.

نشرت كل من Europol وInterpol تقييمات للتهديدات تُشير إلى انتقال احتيال وسائط الاصطناعي من الجهات الحكومية إلى شبكات الإجرام المنظمة، مدفوعاً بتوفّر الأدوات للجميع.

الدفاعات الفعّالة

نجح هجوم هونغ كونغ لسبب محدد: لم يكن الموظف يمتلك أي بروتوكول تحقق خارج النطاق (out-of-band). الدفاع ضد احتيال deepfake CEO لا يستلزم تقنية متطورة، بل يتطلب انضباطاً إجرائياً.

التأكيد خارج النطاق إلزامي. يجب تأكيد أي طلب تحويل بنكي يتجاوز عتبة محددة — بصرف النظر عن هوية الطالب الظاهرة — عبر قناة اتصال مستقلة ثانية. إذا جاء الطلب عبر مكالمة فيديو، يجري التأكيد باتصال هاتفي على رقم مسجّل مسبقاً. وإذا جاء عبر بريد إلكتروني، يتم التحقق صوتياً على رقم مستخرج من الدليل الداخلي للشركة، لا من توقيع البريد الإلكتروني.

إنشاء كلمات رمزية شفهية. ينبغي أن تستخدم العمليات الداخلية الحساسة عبارات تحدّي متفقاً عليها مسبقاً، ولا تُنقَل أبداً رقمياً، وتتغير بصفة منتظمة. لا يستطيع أي deepfake معرفة كلمة رمزية جرى الاتفاق عليها شفهياً في بيئة مادية ولم يُسجَّل قط.

فرض التفويض المزدوج على التحويلات الكبيرة. لا يجوز لأي موظف منفرد الموافقة على تحويل يتجاوز عتبة معينة، بصرف النظر عن طريقة وصول التعليمات. تُنشئ موافقتان مستقلتان تكراراً لا تستطيع هجمات الهندسة الاجتماعية هزيمته في آنٍ واحد.

تدريب فرق المالية والخزينة تحديداً. لا يغطي التدريب العام للتوعية بالأمن السيبراني موضوع الـ deepfakes. تحتاج الفرق المالية إلى تدريب قائم على السيناريوهات يشمل مكالمات deepfake محاكاة، وتمارين استنساخ صوتي، وبروتوكولات تصعيد واضحة. الهدف هو ترسيخ التشكيك كردّ فعل غريزي، لا كسياسة تُراجَع عند الحاجة.

الضوابط التقنية مهمة عند المحيط. تعايير مصادقة البريد الإلكتروني (DMARC وDKIM وSPF) تُزيل نسبة كبيرة من محاولات BEC عبر انتحال هوية المرسل. تُقيّم بعض المؤسسات أدوات اكتشاف الـ deepfakes في الوقت الفعلي لمنصات الفيديو كونفيرنس، وإن كانت دقة الاكتشاف لا تزال غير مثالية أمام الهجمات عالية الجودة. يضيف التحليل السلوكي لتدفقات الدفع — بتسليط الضوء على حسابات مستفيدين غير معتادة، أو مبالغ تحويل شاذة، أو تسلسلات طلبات غير مألوفة — طبقةً من الاحتكاك تعترض الهجمات الآلية والانتهازية.

الدرس الجوهري من قضية هونغ كونغ هو أن المهاجم لم يتغلب على التكنولوجيا، بل تغلّب على الإجراءات. اتبع الموظف المالي تعليمات ما بدا أنها شخصيات ذات صلاحية. غياب بروتوكول يستوجب التحقق المستقل كان الثغرة الحقيقية.

في عام 2026، كل منظمة تتعامل في تحويلات بنكية دولية دون تحقق خارج النطاق للمعاملات الكبيرة تعمل بثغرة معروفة وقابلة للاستغلال. لا تكلّف التقنية اللازمة لسدّ هذه الثغرة شيئاً. تتطلب فحسب الانضباط لتطبيقها وإنفاذها.

المصادر والقراءات الإضافية

• شركة في هونغ كونغ تخسر 200 مليون دولار هونغ كونغي في عملية احتيال بمؤتمر فيديو deepfake — South China Morning Post
• FBI IC3: مجرمون يستخدمون الذكاء الاصطناعي التوليدي لتسهيل الاحتيال المالي — FBI Internet Crime Complaint Center
• مواجهة الواقع: أجهزة إنفاذ القانون وتحدي الـ deepfakes — Europol
• تقرير الجرائم على الإنترنت لعام 2023 — FBI Internet Crime Complaint Center
• الـ deepfakes الصوتية تتصل بك — Krebs on Security