ليس سرًا أن التحول الرقمي السريع للمجتمع قد غير بشكل عميق العلاقات الشخصية والتجارية. تُظهر الدراسات أنه في عام 2024، بلغت الخسائر المالية الناتجة عن الاحتيالات عبر الإنترنت 10.1 مليار ريال، بزيادة قدرها 17٪ مقارنة بالعام السابق.
ومع ذلك، فإن هذا التحول زاد أيضًا من سطح الهجوم للمجرمين الإلكترونيين، الذين يعتمدون بشكل متزايد على الهندسة الاجتماعية لتنفيذ مخططات احتيال متطورة.
من بين الأكثر شيوعًا هي التصيد الاحتيالي عبر البريد الإلكتروني (فيشينغ)، والتصيد الاحتيالي عبر الرسائل النصية (سميشينغ)، والتصيد الاحتيالي عبر الهاتف (فيشينغ) — ممارسات، على الرغم من اختلاف الطرق المستخدمة، إلا أنها تشترك في الهدف نفسه: خداع الضحايا لسرقة المعلومات الحساسة، خاصة بيانات الاعتماد. على الرغم من ارتباطها التقليدي بالاحتيالات ضد المستهلكين، إلا أن هذه الأساليب من الهندسة الاجتماعية فعالة جدًا أيضًا في البيئة الشركاتية. المحتالون يستهدفون الشركات للوصول إلى الأنظمة الداخلية، واختراق سلاسل التوريد، وتنفيذ عمليات احتيال مالية على نطاق واسع.
هل هي نفس التهديدات: التصيد الاحتيالي، التصيد الاحتيالي عبر الرسائل النصية، والتصيد الاحتيالي عبر المكالمات الهاتفية؟
للبدء في الشرح، من المهم فهم أن مصطلح الهندسة الاجتماعية يشير إلى مجموعة من التقنيات التي يستخدمها المحتالون للتلاعب عاطفيًا واجتماعيًا بالضحايا، مما يدفعهم إلى التصرف ضد مصالحهم الخاصة ويعرض أمنهم للخطر.
الاحتيال عبر البريد الإلكتروني هو النوع الأكثر شهرة من هذا النوع من الاحتيال. مجموعات التصيد الاحتيالي عبر البريد الإلكتروني يمكن العثور عليها في الويب المظلم. بالنسبة لأولئك المحتالين الذين ليسوا خبراء في الموضوع، هناك من ينفذ الخدمة نيابة عنهم. عادةً ما ينطوي على إرسال رسائل بريد إلكتروني أو رسائل تدعي أنها من مؤسسات موثوقة، مثل البنوك أو تجار التجزئة أو الخدمات عبر الإنترنت.
الهدف هو خداع المستلم ليضغط على روابط خبيثة تؤدي إلى مواقع وهمية، تشبه إلى حد كبير المواقع الأصلية، بهدف سرقة كلمات المرور ومعلومات حساسة أخرى، مثل أرقام الوثائق أو بيانات بطاقات الائتمان. وفقًا لبيانات سيربرو، لا يزال التصيد الاحتيالي أحد أكثر أنواع الاحتيال تكرارًا في البرازيل، ويقوم المجرمون بتحسين استراتيجياتهم باستخدام الذكاء الاصطناعي (AI) والديب فيكس لإنشاء محتوى أكثر إقناعًا وتخصيصًا. حالة حديثة كانت اعتقال رجل بسبب مشاركته في مجموعة إجرامية كانت تنفذ عمليات احتيال باستخدام مقاطع فيديو معدلة بتقنية ديب فيك، تظهر صورة وصوت المقدم ماركوس ميون.
يقوم المحتالون أيضًا بارتكاب عمليات احتيال مثل اختراق البريد الإلكتروني للأعمال (BEC) وخداع المدير التنفيذي المزيف، من خلال رسائل بريد إلكتروني تتظاهر بأنها من التنفيذيين لإقناع الموظفين بتحويل الأموال أو تقديم بيانات الاعتماد.
من ناحية أخرى، يستخدم السميشنج (دمج بين الرسائل النصية والتصيد الاحتيالي) رسائل نصية لخداع الضحايا. مع انتشار تطبيقات المراسلة مثل واتساب وتيليجرام، اكتسبت هذه الطريقة قوة، مستغلة اتجاه الناس للرد بسرعة على الرسائل التي تبدو عاجلة أو مهمة.
أما الاحتيال عبر الهاتف (فيشينج الصوتي) فيتم من خلال مكالمات هاتفية يتظاهر فيها المحتال بأنه ممثل لشركة أو مؤسسة. نغمة إقناعية، مصحوبة باستخدام بيانات تم الحصول عليها مسبقًا من تسريبات، تجعل الضحايا أكثر عرضة لمشاركة معلومات سرية عبر الهاتف. هذا النوع من الاحتيال يضرب المزيد والمزيد من الشركات البرازيلية، خاصة الشركات الكبرى.
الحسابات القديمة هي الأصول الأكثر قيمة للمجرمين
نمو هذه الاحتيالات مرتبط مباشرة بالقيمة التي تمثلها النظم البيئية القائمة على الحسابات. حساب قديم وموثوق به هو أكثر قيمة للمجرمين من سرقة المال مباشرة. وذلك لأن الحسابات ذات سجل أنشطة شرعية لديها فرص أقل للكشف التلقائي من قبل أنظمة الكشف عن الاحتيال التقليدية.
يستخدم المحتالون الاحتيال الإلكتروني وتنوعاته معًا للوصول إلى هذه الحسابات، التي قد تكون لها سنوات من العلاقات والمعاملات التي تثبت سمعتها. بمجرد دخوله، يمكن للمجرم دراسة سجل المشتريات، أنماط السلوك، وفي بعض الحالات، حتى التفاعل مع خدمة العملاء، متظاهرًا بأنه صاحب الحساب الشرعي.
وفقًا للتقرير الصادر عن نيثون، يصل بعض المحتالين إلى بناء علاقات مع موظفي الدعم، وخداعهم لإجراء تغييرات على الحساب تسهل تنفيذ الاحتيال — عملية تعرف باسم الاستيلاء على الحساب. هذا النوع من الهجمات لا يسبب فقط خسائر مالية مباشرة، بل يهدد أيضًا الثقة في المنصات والخدمات الرقمية.
تأثير الذكاء الاصطناعي والأتمتة على الاحتيالات
تاريخياً، كانت حملات الهندسة الاجتماعية تتطلب تخطيطًا ووقتًا ودرجة معينة من التخصيص اليدوي. ومع ذلك، فإن الاعتماد على نطاق واسع على نماذج اللغة التوليدية (LLMs) غير المشروطة غيرت تمامًا هذا المشهد.
اليوم، باستخدام أدوات آلية تعتمد على الذكاء الاصطناعي التوليدي، يستطيع المجرمون إنشاء وإطلاق حملات تصيد خلال دقائق. نصوص مكتوبة بشكل جيد، كانت تتطلب سابقًا طلاقة أو وقتًا لإعدادها، تُنتج الآن تلقائيًا بمستوى عالٍ من التطور. نتيجة لذلك، زاد حجم وتكرار هذه الهجمات بشكل مقلق.
هذا النمو يعكس ليس فقط الانتشار الأوسع للحملات الاحتيالية، بل أيضًا كفاءة التقنيات الجديدة المبنية على الذكاء الاصطناعي والأتمتة.
من يعتقد أن التصيد الاحتيالي، والرسائل النصية الاحتيالية، والمكالمات الاحتيالية هي مخاطر حصرية للمستهلكين الأفراد فهو مخطئ. الشركات أيضًا ضحايا متكررة لهذه الاحتيالات، خاصة عندما تُعرض بيانات الاعتماد الخاصة بالشركات على الويب المظلم. وفقًا لتحليل نيثون، يمكن للمحتالين الحصول على بيانات مسربة من الموظفين، مما يمنحهم وصولاً مميزًا إلى الأنظمة الداخلية وقواعد البيانات الحساسة.
من هناك، يقومون بحركات دقيقة: يدرسون سلوك الشراء أو عمليات الشركة، يخلقون تفاعلات مع الدعم الفني أو التجاري، وي manipulون تدريجيًا العمليات الداخلية لتنفيذ معاملات احتيالية دون إثارة الشكوك الفورية. هذه الممارسة لا تضر فقط بأمان المؤسسة، بل تؤثر أيضًا على علاقة الثقة مع العملاء والشركاء.
كيف تحمي نفسك من هذه التهديدات؟
الحماية من التصيد الاحتيالي، والرسائل النصية الاحتيالية، والمكالمات الاحتيالية تتطلب مزيجًا من التكنولوجيا والعمليات والتوعية.
التعليم والتوعية:الخط الدفاعي الأول دائمًا هو الشخص. يحتاج كل من الشركات والمستخدمين إلى التوعية للتعرف على العلامات الشائعة لهذه الاحتيالات، مثل الأخطاء الإملائية، والإلحاح المفرط في الرسائل، وطلبات المعلومات الحساسة، وقنوات الاتصال غير المعتادة.
المصادقة متعددة العوامل (MFA):حتى لو تم اختراق بيانات الاعتماد، فإن استخدام طبقات متعددة من المصادقة يصعب الوصول غير المصرح به.
مراقبة الاعتمادات:الأدوات التي تراقب تعرض البيانات على الويب المظلم ضرورية لكي يتم تنبيه الشركات والأفراد بسرعة حول التسريبات.
أنظمة كشف الاحتيال المعتمدة على الذكاء الاصطناعي:تمامًا كما يفعل المجرمون، تحتاج الشركات إلى الاعتماد على الذكاء الاصطناعي للكشف عن أنماط سلوك غير طبيعية تشير إلى احتمالية الاختراقات أو محاولات الاحتيال.
في أوقات تكون فيها الثقة عملة ثمينة، فإن حماية البيانات والحفاظ على موقف يقظ أمر ضروري للحفاظ على النزاهة الرقمية للأفراد والشركات.
