في 10 أبريل، نشرت شركة إدارة كلمات المرور LastPass مدونة تحتوي على تفاصيل محاولة هندسة اجتماعية فاشلة مدعوم من انتحال صوت عميق للرئيس التنفيذي للشركة.
تعرف الموظف المستهدف على أن الاتصال مشبوه وأبلغ عنه فريق الأمن الداخلي في LastPass. لم يحدث أي ضرر، لكن هذا الحادث بمثابة تذكير بأن تقنية التزييف العميق هي أداة أخرى في ترسانة جهة التهديد – وهي أداة سيتم استخدامها بشكل متزايد.
ما هي الدروس التي يمكن أن يتعلمها مدراء تكنولوجيا المعلومات وغيرهم من قادة أمن المؤسسات من حادث التزييف العميق هذا عندما يفكرون في المخاطر المتزايدة للتهديدات التي يغذيها الذكاء الاصطناعي التوليدي (GenAI)؟
تقنية التزييف العميق
التلاعب بالصور ليس جديدا لقد أصبح مصطلح “فوتوشوب” جزءًا من مفرداتنا منذ التسعينيات، كما يشير توبي لويس، رئيس قسم تحليل التهديدات. في شركة الأمن السيبراني Darktrace. “باعتباره ناقلًا، كتقنية، فهو ليس جديدًا. ما نراه مع الذكاء الاصطناعي التوليدي هو بالتأكيد القدرة على تعزيز ذلك، وفي نهاية المطاف، خفض حاجز المهارات للمهاجم.
يمكن الوصول إلى تقنية إنشاء التزييف العميق الصوتي والمرئي – غالبًا مجانًا – وسيعمل GenAI على جعلها أكثر قوة.
“نحن نوعًا ما على المسرح… خاصة مع مقاطع الفيديو العميقة حيث يوجد” ألقِ نظرة على الأيدي “. نلقي نظرة على الأذنين. يقول: “هناك كل هذه الأنواع من الإخبار المرئي الذي يمكنك مراقبته”. مايك كوساك، كبير محللي الاستخبارات الرئيسيين فيلاست باس ومؤلف مدونة الشركة عن الحادث. “مع تقدم التكنولوجيا، سيصبح هذا الأمر أكثر إقناعًا … وسوف تتلاشى هذه الحكايات.”
تلقى موظف LastPass المستهدف، وهو مسؤول تنفيذي للمبيعات، مكالمات ورسائل نصية وبريد صوتي على WhatsApp من شخص يتظاهر بأنه الرئيس التنفيذي للشركة. تعرف الموظف على ما حدث، وهو محاولة هندسة اجتماعية، وأبلغ عنه.
“الحقيقة أنهم [the threat actor] يقول كوساك: “لقد تمكنا من تجميع شيء كان مقبولًا على الأقل، وأعتقد أن هذا هو الشيء المثير للاهتمام حقًا ويمثل ذلك… الانتشار وهذا التصعيد الذي كنا قلقين بشأنه بشأن هذه التكنولوجيا لسنوات حتى الآن”.
تداعيات التزييف العميق
بالنسبة إلى LastPass، يعد هذا الحادث فرصة تعليمية جيدة، وليس كارثة مالية. “السبب الكامل وراء عدم تسبب هذا في خسارة تقدر بملايين الدولارات هو أن شخصًا ما قال “يبدو هذا غريبًا بعض الشيء.” يقول لويس: “سأقوم بإبلاغ الأمن الداخلي بالأمر، وكانت هذه الخطوة البسيطة هي كل ما يلزم لوقف هذا الأمر في مساراته المبكرة”.
لكن تقنية التزييف العميق لعبت دورًا في هجمات الهندسة الاجتماعية الناجحة ذات العواقب المدمرة. ومن الجدير بالذكر أن الجهات التهديدية نظمت مكالمة فيديو، وانتحلت شخصية المدير المالي باستخدام تقنية التزييف العميق. موظف مالي، يعتقد أنهم يتحدثون إلى زملائهم، دفع 25 مليون دولار للمحتالين، تقارير سي إن إن.
التحقق أولا
إن الجهات التهديدية التي تنتحل شخصية المديرين التنفيذيين تستغل رغبة الموظفين في اتباع توجيهات رؤسائهم وإحجامهم عن التشكيك في تلك التوجيهات.
“بعض الأشخاص معرضون بشدة لتهديدات الهندسة الاجتماعية والذكاء الاصطناعي. البعض عرضة للإلحاح أو الطاعة. إذا أرسل لك رئيسك شيئًا ما في الساعة 4:30، فهناك بعض الأشخاص [who] يقول شون ماكالمونت، الرئيس التنفيذي لشركة نينجيو، شركة تدريب للتوعية بالأمن السيبراني.
في LastPass، أدرك الموظف مدى إلحاح الرسائل التي تلقاها باعتبارها نموذجية لهجوم الهندسة الاجتماعية وشعر بالراحة الكافية لإخبار فريق الأمن الداخلي. يقول كوساك: “لقد بذلنا جهدًا كبيرًا في مجال التعليم والثقافة، وحاولنا حقًا تثقيف كل شخص نستطيع تثقيفه داخل الشركة حول هذا الأمر”.
مع تزايد الإقناع باستخدام تقنية التزييف العميق، قد تحتاج العديد من المنظمات إلى تبني تحول ثقافي. “كنا نقول: “ثق ولكن تحقق”.” يقول ماكالمونت: “أعتقد أننا ندفع هذا الظرف الآن لنقول إنه يتعين علينا التحقق من كل شيء قبل أن نثق”.
التدريب والتوعية حول Deepfake
يتطلب الدفاع ضد تهديدات التزييف العميق استراتيجية متعددة الأوجه. ويقول كوساك: “هناك نهج ثلاثي المحاور، حيث يوجد التعليم، وهناك الثقافة، وهناك التكنولوجيا”.
تركز NINJIO على تثقيف الأشخاص حول مخاطر الأمن السيبراني، مثل التزييف العميق، من خلال مقاطع فيديو قصيرة وجذابة. “إذا كان بإمكانك التزييف العميق لصوت ووجه أو صورة بناءً على القليل من المعلومات أو ربما ثلاث إلى أربع ثوانٍ من نغمة الصوت تلك، فهذا يرسلنا إلى مسار سيتطلب الكثير من التحقق والانضباط من يقول ماكالمونت: “منظور الفرد”.
ويقول إن ساعة أو ساعتين من التدريب السنوي غير كافية مع استمرار تصاعد التهديدات. يمكن أن يساعد التدريب المتكرر في زيادة يقظة الموظفين وبناء ثقافة الحديث عن مخاوف الأمن السيبراني.
عندما يتعلق الأمر بالتدريب حول التزييف العميق، فإن الوعي هو المفتاح. وستستمر هذه التهديدات قادمة. كيف يبدو صوت التزييف العميق أو كيف يبدو؟ (مقنع جدًا في كثير من الحالات.) ما هي بعض العلامات الشائعة التي تشير إلى أن الشخص الذي تسمعه أو تراه ليس هو الشخص الذي يقال عنه؟ (الشعور بالإلحاح والتواصل عبر قنوات غير متوقعة). ما هي العواقب المحتملة للوقوع في فخ التزييف العميق؟ (مالية في كثير من الأحيان).
يقول ماكالمونت: “عندما تستعرض ما يمكن أن تكون عليه التداعيات المحتملة أو تظهرها فعليًا حتى يشعر شخص ما بصدمة حقيقة أن ذلك كان مزيفًا تمامًا، فإن ذلك يجذب انتباه الناس حقًا”.
وحتى لو كان الناس مجهزين بالوعي بهذه التهديدات، فإنهم ما زالوا عرضة لمحاولات الهندسة الاجتماعية التي تستخدم التزييف العميق للتنكر بشكل مقنع كرئيس. هذا التحول الثقافي إلى “التحقق أولاً” يعني أن الموظفين بحاجة إلى الشعور بالراحة في التواصل مع رؤسائهم، ولكن يجب أن يكون المديرون التنفيذيون وفرق الأمن على دراية بذلك أيضًا. يقول كوساك: “إن جعل الناس يشعرون بالارتياح عند مواجهة التحدي… وهذا أمر مهم أيضًا”.
في حين أن للناس دورًا يلعبونه بلا شك في مكافحة تهديدات التزييف العميق، إلا أنه لا ينبغي أن يكونوا خط الدفاع الوحيد، وفقًا للويس. ويقول: “بينما يمكن تدريب الإنسان إلى حد ما على اكتشاف هذه الأنواع من الهجمات، إلا أن هناك الكثير من المتغيرات التي تتسلل إلى داخلنا”. يتشتت انتباه الناس. الناس يخطئون. قد يكون الضغط من أجل طاعة الرئيس المفترض أكبر من اللازم.
يجادل لويس بأن التكنولوجيا والعملية عنصران ضروريان للدفاع. يمكن للأنظمة التي تعمل بالذكاء الاصطناعي أن تساعد في اكتشاف السلوكيات الشاذة والإبلاغ عنها. ويوضح قائلاً: “يتعلق الأمر بالقدرة على أخذ كميات هائلة من البيانات وتحديد الأنماط التي قد لا يتمكن الإنسان من اكتشافها بنفس السرعة وعلى نفس المستوى”.
يعد تنفيذ الضوابط والتوازنات التي تزيد من صعوبة نجاح عمليات الاحتيال العميق بمثابة استراتيجية مفيدة أيضًا. “يجب أن يكون هناك بعض الأشياء التي تدخل [the] يقول لويس: “بغض النظر عما إذا كان شخص ما ينقر على الرابط أو … يعتقد شخص ما أن هذا شخص حقيقي”. على سبيل المثال، يمكن للمؤسسات وضع بروتوكولات متعددة الخطوات عندما يحاول شخص ما تغيير التفاصيل المصرفية أو السماح بمعاملة مالية كبيرة.
الوعي بتكنولوجيا التزييف العميق، وقوتها القوية في التلاعب، ليست مهمة فقط لفرق المؤسسات التي تعمل على الدفاع عن مؤسساتها. كما أنه مهم على المستويين الفردي والوطني، خاصة أنه سيغذي المعلومات المضللة والمضللة خلال عام الانتخابات في الولايات المتحدة والعديد من البلدان الأخرى.
يقول كوساك: “نحن فقط… في طليعة هذا التهديد الذي يستمر في التطور والتقدم”.
