ليس سرا أن الرقمنة السريعة للمجتمع قد أحدثت تحولا عميقا في العلاقات الشخصية والتجارية. تشير الدراسات إلى أنه في عام 2024، وصلت الخسائر المالية الناجمة عن عمليات الاحتيال عبر الإنترنت إلى 10.1 مليار راند، بزيادة قدرها 171 تيرابايت3 مقارنة بالعام السابق.
ومع ذلك، أدى هذا التحول أيضًا إلى توسيع سطح الهجوم لمجرمي الإنترنت، الذين يعتمدون بشكل متزايد على الهندسة الاجتماعية لإدارة مخططات احتيال متطورة.
ومن بين الممارسات الأكثر شيوعًا التصيد الاحتيالي والتحطيم والتصيد الاحتيالي، والتي، على الرغم من اختلاف الأساليب المستخدمة، تشترك في نفس الهدف: خداع الضحايا لسرقة المعلومات الحساسة، وخاصة الوصول إلى بيانات الاعتماد. على الرغم من ارتباطها تقليديًا بعمليات الاحتيال ضد المستهلكين، إلا أن هذه الأشكال من الهندسة الاجتماعية فعالة للغاية أيضًا في بيئة الشركات. يستهدف المحتالون الشركات للوصول إلى الأنظمة الداخلية، وتسوية سلاسل التوريد وتنفيذ عمليات احتيال مالي واسعة النطاق.
هل التصيد الاحتيالي والتصيد الاحتيالي والتصيد الاحتيالي هو نفس التهديدات؟
في البداية، من المهم أن نفهم أن مصطلح الهندسة الاجتماعية يشير إلى مجموعة من التقنيات التي يستخدمها المحتالون للتلاعب بالضحايا عاطفيًا واجتماعيًا، مما يدفعهم إلى التصرف ضد مصالحهم الخاصة والمساس بسلامتهم.
التصيد الاحتيالي هو النوع الأكثر شهرة من هذا النوع من الاحتيال. يمكن العثور على مجموعات التصيد الاحتيالي عبر البريد الإلكتروني على الويب المظلم. بالنسبة للمحتالين الذين ليسوا خبراء في هذا الموضوع، هناك من يدير الخدمة لهم. يتضمن عادةً إرسال رسائل بريد إلكتروني أو رسائل تظهر كمؤسسات موثوقة مثل البنوك أو تجار التجزئة أو الخدمات عبر الإنترنت.
الهدف هو خداع المستلم للنقر على الروابط الضارة التي تؤدي إلى مواقع ويب مزيفة، تشبه إلى حد كبير المواقع الأصلية، من أجل التقاط كلمات المرور والمعلومات الحساسة الأخرى، مثل أرقام المستندات أو بيانات بطاقة الائتمان. وفقًا لبيانات Serpro، يظل التصيد الاحتيالي أحد أكثر أنواع الاحتيال شيوعًا في البرازيل، وقد قام المجرمون بتحسين استراتيجياتهم باستخدام الذكاء الاصطناعي (AI) والتزييف العميق لإنشاء محتوى أكثر إقناعًا وشخصية. وكانت إحدى القضايا الأخيرة هي اعتقال رجل لمشاركته في جماعة إجرامية طبقت مقاطع فيديو تم التلاعب بها باستخدام التزييف العميق، بصورة وصوت المقدم ماركوس ميون.
يقوم المحتالون أيضًا بتنفيذ عمليات احتيال مثل تسوية البريد الإلكتروني للأعمال (BEC) واحتيال الرئيس التنفيذي المزيف، حيث تتظاهر رسائل البريد الإلكتروني بأنها مديرين تنفيذيين لخداع الموظفين لتحويل الأموال أو تقديم بيانات الاعتماد.
من ناحية أخرى، يستخدم التصيد الاحتيالي (الجمع بين الرسائل القصيرة والتصيد الاحتيالي) الرسائل النصية لخداع الضحايا. ومع انتشار تطبيقات المراسلة مثل WhatsApp وTelegram، اكتسبت هذه الطريقة قوة جذب، مستغلة ميل الأشخاص إلى الاستجابة بسرعة للرسائل التي تبدو عاجلة أو مهم.
يتم التصيد الاحتيالي (التصيد الصوتي) من خلال المكالمات الهاتفية، حيث ينتحل المحتال شخصية ممثل شركة أو مؤسسة. إن اللهجة المقنعة، إلى جانب استخدام البيانات التي تم الحصول عليها مسبقًا في التسريبات، تجعل الضحايا أكثر عرضة لمشاركة المعلومات السرية عبر الهاتف. وقد ضرب هذا النوع من الاحتيال بشكل متزايد الشركات البرازيلية، وخاصة الشركات الكبيرة.
الحسابات القديمة هي الأصول الأكثر قيمة للمجرمين
ويرتبط نمو عمليات الاحتيال هذه ارتباطًا مباشرًا بالقيمة التي تمثلها النظم البيئية القائمة على الحسابات. يعد الحساب القديم الموثوق به أكثر قيمة بالنسبة للمجرمين من سرقة الأموال المباشرة. وذلك لأن الحسابات التي لها تاريخ من النشاط المشروع من غير المرجح أن يتم اكتشافها تلقائيًا بواسطة أنظمة الكشف عن الاحتيال التقليدية.
يستخدم المحتالون التصيد الاحتيالي وأشكاله المختلفة معًا للوصول إلى هذه الحسابات، والتي يمكن أن يكون لها سنوات من العلاقات والمعاملات التي تؤكد صحة سمعتهم. بمجرد دخوله، يمكن للمجرم دراسة تاريخ الشراء وأنماط السلوك، وفي بعض الحالات حتى التفاعل مع خدمة العملاء من خلال التظاهر بأنه صاحب الحساب الشرعي.
وكما أشار تقرير Nethone، فإن بعض المحتالين يبنون علاقات مع وكلاء الدعم، ويخدعونهم لإجراء تغييرات على الحساب تسهل تنفيذ الانقلاب (الاستيلاء على الحساب). ولا يتسبب هذا النوع من الهجمات في خسائر مالية مباشرة فحسب، بل يعرض الثقة في المنصات والخدمات الرقمية للخطر أيضًا.
تأثير الذكاء الاصطناعي والأتمتة على الاحتيال
تاريخيًا، تطلبت حملات الهندسة الاجتماعية التخطيط والوقت ودرجة معينة من التخصيص اليدوي. ومع ذلك، فإن اعتماد نماذج اللغة التوليدية (LLMs) على نطاق واسع قد غيّر هذا المشهد تمامًا.
اليوم، باستخدام الأدوات الآلية القائمة على الذكاء الاصطناعي التوليدي، يمكن للمجرمين إنشاء وإطلاق حملات التصيد الاحتيالي في دقائق. النصوص المكتوبة جيدًا، والتي كانت تتطلب في السابق طلاقة أو وقتًا لصياغتها، يتم الآن إنشاؤها تلقائيًا بدرجة عالية من التطور. ونتيجة لذلك، زاد حجم وتواتر هذه الهجمات بشكل مثير للقلق.
ولا يعكس هذا النمو النطاق الأكبر للحملات الاحتيالية فحسب، بل يعكس أيضًا كفاءة التقنيات الجديدة القائمة على الذكاء الاصطناعي والأتمتة.
من يعتقد أن التصيد الاحتيالي والتحطيم والتصيد الاحتيالي هي مخاطر تقتصر على المستهلكين الأفراد هو أمر خاطئ. كما أن الشركات هي أيضًا ضحايا متكررين لعمليات الاحتيال هذه، خاصة عندما يتم الكشف عن بيانات اعتماد الشركة على شبكة الإنترنت المظلمة. وفقًا لتحليل أجرته شركة Nethone، يمكن للمحتالين الحصول على بيانات الموظفين المسربة، والحصول على امتياز الوصول إلى الأنظمة الداخلية وقواعد البيانات الحساسة.
ومن هناك، يقومون بحركات خفية: فهم يدرسون سلوك الشراء أو التشغيل للشركة، ويخلقون تفاعلات مع الدعم الفني أو التجاري ويتلاعبون تدريجيًا بالعمليات الداخلية لتنفيذ معاملات احتيالية دون إثارة شكوك فورية. ولا تؤدي هذه الممارسة إلى المساس بأمن المنظمة فحسب، بل أيضًا بعلاقة الثقة مع العملاء والشركاء.
كيف يمكنك حماية نفسك من هذه التهديدات؟
تتضمن الحماية من التصيد الاحتيالي والتصيد الاحتيالي والتصيد الاحتيالي مزيجًا من التكنولوجيا والعمليات والوعي.
التعليم والتوعية: تحتاج كل من الشركات والمستخدمين إلى التثقيف للتعرف على العلامات الشائعة لعمليات الاحتيال هذه، مثل الأخطاء الإملائية، والإلحاح المفرط في الرسائل، وطلبات المعلومات الحساسة، وقنوات الاتصال غير العادية.
المصادقة متعددة العوامل (MFA): حتى لو تم اختراق بيانات الاعتماد، فإن استخدام طبقات متعددة من المصادقة يجعل الوصول غير المصرح به أمرًا صعبًا.
مراقبة الاعتماد: تعد الأدوات التي تراقب التعرض لبيانات الاعتماد على الويب المظلم ضرورية للشركات والأفراد ليتم تنبيههم بسرعة إلى التسريبات.
أنظمة كشف الاحتيال القائمة على الذكاء الاصطناعي: تمامًا مثل المجرمين، تحتاج الشركات إلى اللجوء إلى الذكاء الاصطناعي للكشف عن أنماط السلوك الشاذة التي تشير إلى التدخلات المحتملة أو محاولات الاحتيال.
في الأوقات التي تكون فيها الثقة عملة قيمة، تعد حماية أوراق الاعتماد والحفاظ على موقف يقظ أمرًا ضروريًا للحفاظ على السلامة الرقمية للأفراد والشركات.
