مع الذكاء الاصطناعي التوليدي، تزداد خطورة الهندسة الاجتماعية وتصبح أصعب في الكشف.
"إذا كان هناك عمل واحد لا يستطيع الذكاء الاصطناعي التوليدي سرقته، فهو الاحتيال".
هكذا تتذكر Stephanie Carruthers، رئيسة المجموعة الإلكترونية العالمية ورئيسة قسم القراصنة في IBM، شعورها في عام 2022. لقد نجح ChatGPT مؤخرًا في نشر الوعي حول الذكاء الاصطناعي التوليدي بين الجمهور. فالمزيج الذي يتمتع به من مهارات اللغة الشبيهة بالبشر وقاعدة المعرفة العميقة جعل الكثيرين يتساءلون كيف يمكن أن يغيِّر العالم.
وكيف يمكن أن يغيّر وظائفهم.
تقول Carruthers: "عندما تم تقديمه لأول مرة، كان الناس يسألونني باستمرار: هل تخافين أن يأخذ الذكاء الاصطناعي وظيفتك؟" "كنت أعتقد أنه لا يستطيع ذلك. إذ يجب أن يصل الذكاء الاصطناعي إلى درجة فهم الشخص حقًا وبناء حملة مخصصة ضده قبل أن يحدث ذلك".
كجزء من IBM® X-Force، تُدير Carruthers محاكاة لهجمات الهندسة الاجتماعية والهجمات الإلكترونية لمساعدة الشركات على تعزيز دفاعاتها ضد الهجمات الحقيقية. كانت النماذج الأولى للذكاء الاصطناعي التوليدي قادرة على ابتكار بعض عمليات التصيد الاحتيالي العامة، لكنها لم تكن تستطيع تنفيذ الهجمات المعقدة التي تسبب أضرارًا جسيمة. وتتطلب هذه الخطط بحثًا متعمقًا، وتخطيطًا دقيقًا، وذرائع مستهدفة بدقة عالية.
لكن يمكن أن يحدث الكثير خلال عامين ونصف. اليوم، يستطيع العديد من النماذج اللغوية الكبيرة (LLMs) البحث في الويب في الوقت شبه الفعلي. كما يمكن لوكلاء الذكاء الاصطناعي، القادرين على تصميم سير عمل وأداء المهام بشكل مستقل، أن يخطوا خطوة إضافية باستخدام المعلومات التي يكتشفونها لتوجيه أفعالهم.
لم يَعُد من المبالغة تخيُّل وجود روبوت قائم على الذكاء الاصطناعي يمكنه تصميم هجمات الهندسة الاجتماعية بشكل مثالي لفرد معين. كل ما تحتاجه هو عنصر التهديد لتحريكها.
تقول Carruthers: "لقد وصلنا إلى نقطة أشعر فيها بالقلق". "وبقليل من التعليمات فقط، يمكن لنموذج الذكاء الاصطناعي كتابة رسالة تصيُّد موجهة خصيصًا لي. هذا مرعب".
تعزيز الذكاء الأمني لديك
ابقَ على اطلاع على التهديدات من خلال الأخبار والرؤى حول الأمن والذكاء الاصطناعي والمزيد، أسبوعياً في رسائل Think الإخبارية.
وفقًا لتقرير IBM® X-Force Threat Intelligence Index لعام 2025، تنفِّذ عناصر التهديد اليوم حملات أكبر وأكثر اتساعًا في المتوسط مقارنةً بالماضي. يرتبط هذا التطور جزئيًا بتغيُّر الأساليب، إذ إن العديد من المهاجمين قد حوَّلوا تركيزهم نحو هجمات سلاسل التوريد التي تؤثر في عدد كبير من الضحايا دفعة واحدة.
لكن الأمر يتعلق أيضًا بتغيُّر الأدوات. لقد اعتمد العديد من المهاجمين على الذكاء الاصطناعي التوليدي كمساعد أو متدرّب، لاستخدامه في إنشاء مواقع إلكترونية، وتوليد تعليمات برمجية خبيثة، بل وحتى كتابة رسائل تصيُّد. بهذه الطريقة، يساعد الذكاء الاصطناعي عناصر التهديد على تنفيذ المزيد من الهجمات في وقت أقل.
تقول Carruthers: "تساعد نماذج الذكاء الاصطناعي المهاجمين فعليًا على تحسين رسائلهم". "وذلك من خلال جعلها أكثر إيجازًا وإلحاحًا - لتتحول إلى شيء يسهل على مزيد من الناس الوقوع في فخه".
تشير Carruthers إلى أن الأخطاء اللغوية والتراكيب الركيكة كانت منذ زمن من أبرز العلامات التحذيرية في محاولات التصيُّد. يميل المجرمون الإلكترونيون إلى عدم التدقيق الإملائي بدقة، وغالبًا ما يكتبون بلغات ليست لغتهم الأم، ما يؤدي إلى عدد أكبر من الأخطاء عمومًا.
لكن أدوات الذكاء الاصطناعي التوليدي قادرة على إنتاج نصوص خالية من الأخطاء تقريبًا بجميع اللغات الرئيسية، ما يخفي أبرز دلائل الهندسة الاجتماعية ويزيد من فرص خداع الضحايا.
كما يمكن للذكاء الاصطناعي كتابة تلك الرسائل بسرعة تفوق قدرة الإنسان. أجرت Carruthers وفريق X-Force بعض التجارب، ووجدوا أن الذكاء الاصطناعي التوليدي يمكنه كتابة رسالة تصيُّد فعَّالة في غضون خمس دقائق. من أجل أن يكتب فريق من البشر رسالة مماثلة، يستغرق الأمر نحو 16 ساعة، يذهب معظمها في البحث المتعمق عن الأهداف.
ضَع في الاعتبار أيضًا أن تقنية التزييف العميق تمكِّن نماذج الذكاء الاصطناعي من إنشاء صور ومقاطع صوتية وحتى مكالمات فيديو مزيفة، ما يُضفي مزيدًا من المصداقية على مخططاتهم.
في عام 2024 وحده، خسر الأمريكيون 12.5 مليار دولار أمريكي بسبب هجمات التصيُّد وأشكال الاحتيال الأخرى. قد يرتفع هذا الرقم مع تزايد استخدام المحتالين للذكاء الاصطناعي التوليدي في إنشاء رسائل تصيُّد أكثر إقناعًا، بلغات متعددة، وفي وقت أقصر.
ومع ظهور وكلاء الذكاء الاصطناعي، يستطيع المحتالون الآن توسيع نطاق أنشطتهم الاحتيالية إلى مستويات أعلى.
غالبًا ما يكون البحث هو العامل الفاصل بين الهجوم الإلكتروني الفاشل والهجوم الناجح. من خلال البحث عن أهدافها -سواء أكانت أفرادًا أم مؤسسات- تتمكَّن عناصر التهديد من إعداد خطط مصمَّمة بدقة، وصياغة روايات تؤثِّر في مشاعر الضحية، وتطوير برمجيات خبيثة تستغل الثغرات المناسبة.
ويمكن للمهاجمين العثور على الكثير من المعلومات التي يحتاجونها عبر الإنترنت.
تقول Carruthers: "يمكنك معرفة الكثير عن أي شخص بمجرد تصفح حساباته على وسائل التواصل الاجتماعي، أو موقع الشركة، أو أي مكان على الويب المفتوح فعلًا". "هناك قدر هائل من المعلومات يضعه الناس في منشورات المدونات، والبيانات الصحفية، ووسائل الإعلام، وحتى في إعلانات الوظائف".
تُعَد إعلانات الوظائف مثالًا جيدًا على كيفية استغلال المهاجمين لمعلومات تبدو غير ضارة ضد ضحاياهم.
توضِّح Carruthers: "من خلال قراءة إعلان وظيفتك، قد أتمكن من معرفة بنية تقنياتك ومن مزودوك". "والآن يمكنني تخصيص البرمجيات الخبيثة وفقًا لبيئتك التقنية. فأنا أعرف من مزوِّدي الخدمات الذين يمكنني انتحال صفتهم".
يخشى الخبراء مثل Carruthers من أن يتمكن المهاجمون، بفضل وكلاء الذكاء الاصطناعي القادرين على تصميم سير عمل واستخدام أدوات لتنفيذ أهداف معقدة، من أتمتة ما هو أكثر من رسائل التصيُّد والمواقع الإلكترونية المزيفة.
من الناحية النظرية، يمكن للمهاجمين استخدام وكلاء الذكاء الاصطناعي لجمع المعلومات، وتحليلها، ووضع خطة هجوم، وتوليد رسائل احتيالية ومواد مزيفة لاستخدامها في الهجوم.
هذه العملية تتجاوز بكثير مجرد توليد نسخ مختلفة من رسالة التصيُّد نفسها بصيغ كتابية متنوعة لتناسب أهدافًا متعددة. وهي نسخة موسَّعة من التصيُّد بالرمح فائق الاستهداف، والذي يُعَد على نطاق واسع أكثر أشكال الهندسة الاجتماعية فاعلية.
لم يرصد خبراء الأمن الإلكتروني حتى الآن وكلاء ذكاء اصطناعي خبيثين بأعداد تُذكر على أرض الواقع، لكن المسألة قد تكون مسألة وقت فقط. نقل تقرير حديث من MIT Technology Review عن Mark Stockley من شركة Malwarebytes قوله: "أعتقد أننا سنعيش في نهاية المطاف في عالم يتم تنفيذ فيه الأغلبية العظمى من الهجمات الإلكترونية بواسطة الوكلاء. والمسألة الحقيقية هي مدى السرعة التي سنصل بها إلى تلك المرحلة".
في عصر الذكاء الاصطناعي التوليدي، أصبحت العديد من الدفاعات التقليدية الموثوق بها ضد هجمات الهندسة الاجتماعية غير فعَّالة.
تقول Carruthers: "أول ما نعلّمه لموظفينا هو الانتباه للأخطاء اللغوية، والأخطاء الإملائية، وما شابه ذلك". "لم يَعُد هذا قائمًا مع المهاجمين المتقدمين الذين يستخدمون الذكاء الاصطناعي".
إذا لم تَعُد هذه العلامات التحذيرية الأسلوبية ناجحة، يمكن توجيه تدريبات التوعية الأمنية لتتناول بشكل أعمق أساليب الهندسة الاجتماعية.
يعتمد المهندسون الاجتماعيون بشكل كبير على انتحال الهوية، ونشر المعلومات المضللة، والتلاعب العاطفي، كما أوضحت Carruthers من قبل. قد تحتوي عمليات الاحتيال المدعومة بالذكاء الاصطناعي على أخطاء إملائية أقل، لكنها لا تزال تعتمد على الأساليب والنماذج التقليدية نفسها لهجمات الهندسة الاجتماعية. وإذا تعلَّم الموظفون كيفية التعرُّف على هذه العلامات الدالة، فبإمكانهم إحباط المزيد من الجرائم الإلكترونية.
العلامة التحذيرية الأولى: العواطف القوية
يستغل مهندسو الاحتيال الاجتماعي السمات النفسية لدى البشر، مثل الفضول، والخوف، والرغبة في المساعدة، والرغبة في الانتماء. يعدِّل المحتالون رسائلهم بعناية لتحفيز مشاعر مثل الخوف، مستخدمين عبارات مثل: "أرسل المال حالًا، وإلا فستحدث كارثة".
غالبية التفاعلات المشروعة في بيئة العمل تخلو من الشحنة العاطفية المبالغ فيها. بيئة العمل قد تكون مليئة بالضغوط، والزملاء أحيانًا يتصرفون بعدوانية غير مباشرة، والمديرون قد يبالغون في مطالبهم. لكن معظم الناس يحاولون الحفاظ على قدر من اللباقة على الأقل.
حتى الطلبات العاجلة عادةً ما تتم صياغتها بنبرة متزنة، كأن يُقال: "مرحبًا، هل تتأكد من سداد هذه الفاتورة اليوم؟ لقد تأخرنا بسبب خطأ إداري، ولا أريد أن أُغضب المزوِّد".
الطلب المهم الذي يُقدَّم بنبرة عاطفية شديدة يجب أن يكون إشارة للتوقف والتفكير.
العلامة التحذيرية الثانية: السيناريوهات المكررة
يُجيد المهندسون الاجتماعيون سرد القصص، ويميلون إلى الالتزام بعدد من الحبكات المجربة والمضمونة. ومن أكثرها شيوعًا ما يلي:
أنا رئيسك في العمل، وأحتاج إلى مساعدتك. لا أريد أي استفسارات.
أنا من قسم تكنولوجيا المعلومات/الأمن الإلكتروني/أحد مزوِّدي التكنولوجيا، ونظامك مخترق. يجب علينا التصرُّف الآن.
أنا مزوِّد خدمة، وسأنهي الخدمة فورًا إذا لم تفعل ما أطلبه.
أنا ضابط في جهة إنفاذ القانون أو مسؤول حكومي، وستُسجن اليوم إذا لم تدفع هذه الغرامة.
أنا شخص غريب تمامًا، لكن لدي فرصة استثمارية مذهلة لك.
أنا من خدمة البريد، وقد حدثت مشكلة في تسليم الطرد الخاص بك. انقر فوق هذا الرابط لحل المشكلة.
أنا من جهة خدمة أو علامة تجارية تثق بها، وتم اختراق حسابك. اتخِذ إجراءً على الفور لإصلاح المشكلة.
أنا من جهة خدمة أو علامة تجارية تثق بها، ولدينا عرض مذهل لك. بادِر الآن للمطالبة به.
ومع ذلك، فإن أذكى المهاجمين يخصصون رواياتهم إلى أقصى درجة ممكنة. بدلًا من الاكتفاء بنظرة عامة عالية المستوى، توصي Carruthers بأن تُوجِّه المؤسسات تدريباتها الأمنية لمعالجة أنواع التهديدات الإلكترونية التي من المرجَّح أن يواجهها الموظفون.
تقول Carruthers: "أعِد تقييم شكل برنامج التوعية الأمنية لديك في ضوء الهجمات التي تحدث فعليًا في مؤسستك اليوم". هل تتلقى أنواعًا محددة من مكالمات الاحتيال؟ أدرِج هذه المكالمات ضمن برنامج التدريب".
إلى جانب إعادة صياغة محتوى التدريب، توصي Carruthers بتقديم التدريب بشكل أكثر تكرارًا. سيساعد ذلك على ترسيخ الدروس في الأذهان والحفاظ على النصائح المهمة حاضرة في ذاكرة الناس، ما يزيد من احتمالية تطبيقهم للإجراءات الأمنية التي يتعلمونها.
تقول Carruthers: "عادةً يتم استهداف الموظفين أولًا لاختراق المؤسسة بأكملها". "فإذا كنا نقدِّم لهم ساعة تدريب واحدة في السنة، فهل هذا كافٍ فعلًا؟"
يمكن للأشخاص اكتشاف المزيد من الهجمات أثناء وقوعها من خلال الانتباه إلى العلامات التحذيرية. لكن يمكنهم منع بعض الهجمات تمامًا من خلال الحدّ مما ينشرونه.
تقول Carruthers: "من المهم جدًا أن يكون كلٌّ من الأفراد والمؤسسات واعين لما يتم نشره على الإنترنت".
في سياق الهندسة الاجتماعية، تكمن قوة تقنيات الذكاء الاصطناعي والنماذج اللغوية الكبيرة في قدرتها على استخراج وتحليل كميات هائلة من المعلومات عن الأهداف. وإذا لم تتوفر مثل هذه المعلومات، فلن تتمكن أدوات الذكاء الاصطناعي من تصميم هجمات مخصصة، ما يجعل من الصعب خداع الضحايا، مهما كانت صياغة الرسائل متقنة.
تُشير Carruthers إلى أن "تجنُّب الإفراط في المشاركة" نصيحة شائعة، لكنها غالبًا ما تُفسَّر على أنها "لا تنشر معلومات سرية على الإنترنت". ومع ذلك، يمكن للمحتالين استخدام بعض المعلومات غير الحساسة لجعل هجماتهم أكثر إقناعًا.
توضِّح Carruthers: "العديد من إعلانات الوظائف توضِّح جزءًا من الهيكل التنظيمي: (هذا الدور يتبع لهذا المنصب، ويشرف على هذه الأدوار)". "هذه معلومات قيّمة. أصبحت أملك تصوُّرًا عن هيكل مؤسستك. أعلم ما الألقاب التي يمكنني استخدامها، وأي دور يمكنني التظاهر به".
بينما يمكن للأفراد الحفاظ على إعدادات خصوصية صارمة في حساباتهم على وسائل التواصل الاجتماعي، إلا أن هذا الأسلوب غير عملي جدًا بالنسبة إلى المؤسسات. ولكن يمكن للشركات أن تكون أكثر حذرًا بشأن ما تنشره، مثل طمس شارات الموظفين في الصور.
تقول Carruthers: "معظم الناس لا يرون أن العثور على صورة لشارة موظف أمر مهم". "من منظور الهندسة الاجتماعية، يمكنني الآن تقليد شكل تلك الشارة، ما يجعل من السهل جدًا دخول مبنى لا يُفترض أن أكون فيه".