الاحتيال (يزداد احتمال حدوثه): ما الأسباب وراء ازدياد التصيد الصوتي؟
بالنسبة إلى Stephanie Carruthers، رئيسة المجموعة الإلكترونية العالمية ورئيسة قسم القراصنة في IBM، هناك هجوم إلكتروني واحد دائم النجاح.
وهو ليس برنامجًا ضارًا مدعومًا بالذكاء الاصطناعي متطورًا أو ثغرة تنفيذ أوامر عن بُعد قوية للغاية.
إنها مكالمة هاتفية بسيطة.
توضِّح Carruthers: "نحن ننفِّذ حملات هندسة اجتماعية لعملائنا بهدف الاتصال بمكتب الدعم الفني لديهم ومحاولة انتحال شخصية موظف لإعادة تعيين كلمة المرور". "وحتى الآن، نجحنا في كل محاولة أجريناها".
كعضوة في فريق IBM® X-Force، تستخدِم Carruthers مهاراتها في الخير، حيث تُطلق هجمات تجريبية لمساعدة العملاء على اكتشاف ومعالجة نقاط الضعف الأمنية.
لكن الكثير من المتسللين الضارّين انضموا أيضًا في الأشهر الأخيرة إلى موجة التصيد عبر المكالمات الهاتفية أو ما يُعرَف باسم التصيد الصوتي. ارتفعت هجمات التصيد الصوتي، التي تستخدم مكالمات هاتفية احتيالية لخداع الأشخاص لكشف معلومات حساسة أو تنزيل برمجيات ضارة أو إرسال أموال للمجرمين، بنسبة 442% في عام 2024، وفقًا لتقرير حديث من CrowdStrike.
تتوقع Carruthers وخبراء الأمن الإلكتروني الآخرون استمرار ارتفاع حوادث التصيد الصوتي تزامنًا مع بحث عناصر التهديد عن طرق للتغلب على تشديد الإجراءات الأمنية في المؤسسات.
كما تقول Carruthers: "من الأسهل بكثير تصفية البريد الإلكتروني مقارنةً بمنع شخص من الرد على الهاتف".
تعزيز الذكاء الأمني لديك
ابقَ على اطلاع على التهديدات من خلال الأخبار والرؤى حول الأمن والذكاء الاصطناعي والمزيد، أسبوعياً في رسائل Think الإخبارية.
في عالم الأمن الإلكتروني، لطالما خاض المهاجمون والمدافعون سباق تسلح مستمرًا. يحدد المهاجمون ثغرة ويستغلونها. ويقوم المدافعون بتصحيح الثغرة وتعزيز الحماية لمنع حدوث هجمات مماثلة في المستقبل. كرِّر العملية مرارًا وتكرارًا.
لكن مع تقدُّم حلول الأمن وتحسُّن ممارسات الأمان، أصبح من الصعب على المتسللين العثور على ثغرات قابلة للاستغلال من الأساس.
ردًا على ذلك، حوَّل العديد من المهاجمين تركيزهم إلى أهداف أقل قابلية للتصحيح: الأشخاص.
وفقًا لتقرير IBM® X-Force Threat Intelligence Index، يُعَد التصيد الاحتيالي وسوء استخدام حسابات المستخدمين الصالحة من الطرق الثلاث الأكثر شيوعًا التي يستخدمها المجرمون الإلكترونيون لاختراق شبكات الشركات حاليًا.
من خلال اختطاف الحسابات الشرعية، يمكن للمهاجمين التظاهر بأنهم مستخدمون حقيقيون، متجاوزين العديد من إجراءات الأمان من خلال الحركة الجانبية وتصعيد الصلاحيات.
على الرغم من أن البريد الإلكتروني والرسائل النصية كانت سابقًا هي الوسائل الافتراضية للمخادعين، إلا أن فاعليتها أصبحت أقل بكثير مع تطوُّر عناصر تصفية الرسائل المزعجة.
أما بالنسبة إلى المكالمات الهاتفية، فالأمر مختلف.
تقول Carruthers: "إذا نظرت إلى العديد من اختراقات الأمن الكبيرة للبيانات الآن، فستجد أن المكالمة الهاتفية كانت في الواقع نقطة انطلاق الاختراق". "اتصَل شخص ينتحل صفة موظف بمكتب الدعم الفني لإعادة تعيين كلمة مرور الحساب. الآن أصبحت لديه السيطرة على ذلك الحساب، ويمكنه الدخول إلى العديد من الأنظمة".
لقد طوَّر مزودو الخدمة عناصر تصفية للمكالمات غير المرغوب فيها لمواجهة الاحتيالات الهاتفية، لكنها لا تضاهي دقة عناصر تصفية البريد الإلكتروني والرسائل النصية.
علاوةً على ذلك، وبفضل شعبية برامج أحضر جهازك معك (BYOD)، يستخدِم الموظفون غالبًا هواتفهم الشخصية في مهام العمل. غالبًا ما تكون لدى المؤسسات سيطرة أقل على أمان هذه الأجهزة مقارنةً بحسابات البريد الإلكتروني الخاصة بالشركة، على سبيل المثال.
لكن ربما أخطر ما في التصيد الصوتي هو أنه عندما يرد الضحية على المكالمة، يصبح من الصعب على أي شخص آخر التدخل.
لا توفِّر المكالمة الهاتفية نفس فرص التدقيق المتأنّي التي قد تتوفر في البريد الإلكتروني. يستغل المحتالون هذه الحقيقة لصالحهم، حيث يزيدون من إحساس الضحية بالإلحاح ويغمرونها بالطلبات والمعلومات. ولا يتوفر للضحية مجال للتوقف والتفكير فيما إذا كانت الأمور منطقية.
جميع هذه العوامل تجعل التصيد الصوتي فعّالًا بشكل ملحوظ. تُدرك Carruthers هذا الأمر عن قُرب، سواء من خلال تجربتها كخبيرة في اختراق السلوك البشري أو كإحدى المنسقات لمسابقة التصيد الصوتي لمجتمع الهندسة الاجتماعية (SECVC) في مؤتمر DEF CON.
يتنافس 14 فريقًا ضد بعضهم لمعرفة من يمكنه إتمام أكبر عدد من الأهداف خلال مكالمة تصيد صوتي مباشرةً يتم إجراؤها من كابينة عازلة للصوت أمام الجمهور.
توضِّح Carruthers: "الهدف ليس أن نقول: انظروا كم نحن بارعون في هذا النوع من الهندسة الاجتماعية". "الهدف هو إظهار مدى انتشار الهندسة الاجتماعية، وكيفية حدوثها فعليًا. يعتقد الكثير من الناس أن الأمر يتعلق فقط بالبريد الإلكتروني. وينسون أمر المكالمات الهاتفية ومدى نجاحها المذهل".
في آخر مسابقة، تقول Carruthers إن كل فريق تمكن من تحقيق بعض أهدافه على الأقل، أي أنه استطاع الحصول على نوع من المعلومات أو دفع الأشخاص إلى اتخاذ تصرفات محفوفة بالمخاطر.
بعبارة أخرى: يبدو أن هجمات التصيد الصوتي تنجح دائمًا في الحصول على شيء من ضحاياها. لا توجد تدابير مضادة مثالية لدى أي جهة.
بصفتها عضوة في فريق X-Force، ساعدت Carruthers العديد من المؤسسات على إعادة تصميم برامج التوعية الأمنية الخاصة بها. ومن خلال خبرتها، ترى Carruthers أن معظم برامج التدريب لا تتطرق إلى هجمات التصيد الصوتي إطلاقًا. وعندما تتناول هذه البرامج التصيد الصوتي، فإنها تكتفي بنصائح عامة مثل "لا تفصح عن كلمة المرور عبر الهاتف".
تقول Carruthers: "لدينا حيل لتجاوز ذلك". "لن أطلب منك كلمة المرور عبر الهاتف. سأقول لك: "اذهب إلى هذا الموقع الإلكتروني وأدخِل اسم المستخدم وكلمة المرور". لا تعطِني إياها. هذا ليس آمنًا".
وبالطبع، يكون ذلك موقعًا إلكترونيًا تتحكم فيه Carruthers أو عنصر تهديد حقيقيًا، وبهذا يصبح لديهم بيانات اعتمادك.
رغم أن المكالمات الهاتفية قد تبدو وسيلة منخفضة التقنية بالنسبة للمتسللين، إلا أن بعض الأساليب التي يستخدمونها فيها تنتمي بوضوح إلى المستقبل.
مع ظهور أدوات الذكاء الاصطناعي التي يمكنها توليد مقاطع فيديو وأصوات بشرية، أصبح بإمكان المحتالين إنشاء تزوير عميق لأشخاص حقيقيين، ما يؤدي إلى هجمات موجَّهة بدقة عالية.
تقول Carruthers: "ربما تكون معتادًا على مشاهدة رسالة مصوَّرة أسبوعية من المدير التنفيذي". "الآن، يمكن للقراصنة إنشاء نسخة خاصة بهم من تلك الرسالة الأسبوعية، يطلبون فيها منك تنفيذ أمر معين". هل ستلاحظ الفرق؟"
في الصيف الماضي، حاول محتالون خداع باحث أمني في شركة Palo Alto Networks باستخدام الذكاء الاصطناعي لتقليد صوت ابنته.
مع تطوُّر الذكاء الاصطناعي التوليدي، يخشى البعض من أن يؤدي، في أسوأ الحالات، إلى عمليات تصيُّد صوتي مستقلة وقابلة للتوسع بشكل هائل.
هو افتراض، لكنه يستند إلى وقائع. واجهت Carruthers شخصيًا محتالًا مدعومًا بالذكاء الاصطناعي وتغلبت عليه، ولكن بصعوبة.
في مؤتمر DEF CON العام الماضي، مثلت Carruthers وشريكها الجانب البشري في أول نسخة من "مسابقة John Henry"، التي سُمّيت تيمنًا ببطل الفولكلور الأمريكي الذي تغلب على مثقاب صخري يعمل بالبخار في مسابقة لدقّ الفولاذ. وكان خصمهما: روبوت محادثة مدعومًا بالذكاء الاصطناعي، ومزوّدًا بقدرات محاكاة الصوت البشري، ومُصممًا خصيصًا لهجمات التصيد الصوتي.
كان هدف المسابقة هو تحديد من يستطيع جمع أكبر عدد من النقاط خلال سلسلة من مكالمات التصيد الصوتي المباشرة.
تتذكر Carruthers قائلة: "دخلتُ المنافسة بثقة مفرطة". "كنت أظن أننا سنفوز بسهولة، دون أدنى شك. الصوت الصادر من الذكاء الاصطناعي سيبدأ على الأرجح بالتلعثم، أو بطرح أسئلة غريبة. سيحدث خطأ ما".
وحدث خطأ بالفعل، لكن لصالح الروبوت، لا Carruthers.
تقول: "عندما سمعتُه يبدأ بإجراء المكالمات، قلت في نفسي: يا إلهي!"
وبحسب وصفها، فقد أدى روبوت المحادثة أداءً "رائعًا"، مستخدمًا أساليب وأصواتًا مختلفة في كل مكالمة. لقد تمكَّن من جمع معلومات حول أنظمة الأشخاص، بل وأقنعهم باتخاذ إجراءات مثل زيارة مواقع إلكترونية معينة.
تقول Carruthers: "فكِّر في الأمر من منظور مشغِّل بشري". "إذا كنت قادرًا على التراجع وترك الكمبيوتر يقوم بكل ذلك نيابةً عنك، فالأمر مرعب بالفعل".
كما في قصة جون هنري، فاز البشر في النهاية، وإن كان بفارق بسيط. (وعلى عكس هنري الأسطوري الذي مات من شدة الإجهاد بعد تغلّبه على المثقاب الآلي، لا تزال Carruthers وشريكها على قيد الحياة وبصحة جيدة).
ولكن ربما لا يستمر فوزهم إلى الأبد.
تقول Carruthers: "أظن أنه إذا واصلنا هذه المسابقة عامًا بعد عام، فسيأتي وقت يتفوق فيه الذكاء الاصطناعي على البشر بلا شك".
مع توقُّع استمرار ارتفاع عدد حوادث التصيد الصوتي، تحتاج المؤسسات إلى تعزيز دفاعاتها. ونظرًا لطبيعة التصيد الصوتي، ينبغي التركيز على تمكين الموظفين الأفراد من اكتشاف المكالمات الاحتيالية والتعامل معها بفاعلية.
تقول Carruthers: "يعتمد المهاجمون على تصرفك بسرعة". "لذا، تمهّل قدر الإمكان وقيّم بعناية أي نوع من الرسائل أو الاتصالات التي تصلك".
غالبًا ما تأتي مكالمات التصيد الصوتي في صورة أمور طارئة يجب على الضحية التعامل معها بسرعة، وإلا فستحدث عواقب. وكما تشير Carruthers، فإن الأعمال المشروعة -حتى وإن كانت عاجلة- يمكنها في العادة أن تنتظر حتى يتم التحقق منها.
لن يقوم أي بائع بإنهاء حسابك إذا لم تدفع خلال الدقائق الخمس القادمة. ولن يحتاج الرئيس التنفيذي إلى بطاقات هدايا من Amazon بشدة تمنعك من طلب المزيد من التفاصيل.
بالحديث عن التحقق: أدى ظهور تقنيات استنساخ الصوت بالذكاء الاصطناعي إلى جعل التحقق الصوتي غير مجدٍ عمليًا.
تشرح Carruthers: "لنفترض أنني تلقيت مكالمة هاتفية من شخص يدَّعي أنه جدتي". "الرقم صحيح. حتى أن الصوت يشبه صوتها. لكن هناك شيئًا غير منطقي. تقول إنها بحاجة إلى مساعدة وتريد مني تحويل المال لها. ماذا أفعل؟"
تُوصي Carruthers بوضع كلمات سرية مع الأشخاص، سواء أصدقاء أو أقارب. يجب ألَّا تكون كلمة المرور رسمية. يمكن أن تكون معلومات شخصية لا يعرفها إلا الشخص الحقيقي، مثل كتاب أوصى به لك مؤخرًا. (تمكَّن أحد التنفيذيين في Ferrari من إحباط عملية احتيال صوتي باستخدام الذكاء الاصطناعي العام الماضي عبر استخدام هذا الأسلوب بالذات).
لا يمكن لفرق الأمن المؤسسي الاعتماد على وجود علاقة شخصية وثيقة بين كل موظف للتحقق عبر توصية كتاب لتكون فعَّالة على نطاق واسع. لكن يمكن للمؤسسات بناء عمليات تحقق متعددة الطبقات تستخدِم عدة نقاط إثبات للتحقق من هوية المتصلين لأي طلب، سواء أكان إعادة تعيين كلمة مرور أم دفع فاتورة.
تقول Carruthers: "كلما زادت الطبقات التي نستخدمها للتحقق من شخص ما، كان ذلك أفضل". "ولا تستخدم معلومات يمكن العثور عليها أو تزويرها بسهولة، مثل الصوت أو تاريخ الميلاد أو اسم الشارع الذي نشأ فيه الشخص".
من العوامل الفريدة وصعبة التزوير التي لاحظتها Carruthers: تغيير كلمات السر الخاصة بالشركة بانتظام، وتوكيل المديرين بالتحقق من الأشخاص، وإرسال كلمات مرور لمرة واحدة إلى الأجهزة المسجلة مسبقًا.
(التسجيل المسبق مهم، وإلا فسيتمكَّن المحتالون ببساطة من استخدام رقم يتحكمون به).
مهما كانت العوامل التي تستخدمها المؤسسة، يجب أن تستخدم أكثر من عامل واحد.
تقول Carruthers: مع أحد العملاء الذين يستخدمون كلمة سر متغيرة للشركة، تمكَّنا من استدراج الكلمة من شخص ما، فلم تمنعنا في النهاية". "لهذا السبب أنا من كبار المؤيدين لوجود عدة إجراءات معًا".