موظف واحد في شركة هندسية بريطانية انضم إلى مكالمة فيديو روتينية مع مدير الشؤون المالية وخمسة زملاء في عام 2024

قام بتفويض تحويلات بقيمة 25.6 مليون دولار بناءً على ما نوقش، لكن ما لم يكن يعرفه هو أن كل شخص على تلك المكالمة باستثنائه كان عبارة عن تقنية deepfake تعتمد على الذكاء الاصطناعي
كانت الشركة هي أروب. شركة تصميم وهندسة بريطانية لديها 18,500 موظف عبر 34 مكتبًا
بدأت هذه الهجمة بأيميل واحد فقط
تلقى موظف مالي في مكتب أروب في هونغ كونغ رسالة تدعي أنها من مدير الشؤون المالية للشركة المقيم في المملكة المتحدة
وأشار البريد الإلكتروني إلى "صفقة سرية" تحتاج إلى المعالجة بشكل عاجل وسري
ظن الموظف أنها محاولة تصيد احتيالي. كان على حق في أن يكون مشككًا، لكن المهاجمين تصاعدوا الأمر
دعوه إلى مؤتمر فيديو للتحقق من صحة الطلب. انضم متوقعًا أن يثبت أنه عملية احتيال
كان مدير الشؤون المالية على المكالمة. وكان هناك العديد من الزملاء الكبار الذين يعرفهم. رحبوا به باسمه
ناقشوا الصفقة بالتفصيل باستخدام مصطلحات داخلية للشركة. أشاروا إلى مشاريع جارية فقط يعرفها المطلعون
تحركت وجوههم بشكل طبيعي، وأصواتهم كانت مطابقة تمامًا، وكان لديهم محادثات حقيقية مع بعضهم البعض ومعه
توقف عن الشك، واتباعًا للتعليمات على المكالمة، قام بـ 15 تحويلًا إلكترونيًا منفصلًا بمجموع 200 مليون دولار هونج كونج (25.6 مليون دولار) إلى خمسة حسابات بنكية مختلفة في هونغ كونغ خلال الأيام التالية
تم اكتشاف الاحتيال فقط عندما تواصل مع المكتب الرئيسي في المملكة المتحدة حول المشروع. المدير المالي الحقيقي لم يسمع أبدًا عن الصفقة. الزملاء الآخرون على المكالمة لم يكونوا على المكالمة أصلاً
كل وجه على تلك الشاشة كان عبارة عن deepfake
تحقيقات شرطة هونغ كونغ أظهرت أن المهاجمين أنشأوا نسخًا متقدمة من الذكاء الاصطناعي من جميع التنفيذيين من خلال جمع الفيديو والصوت المتاح علنًا من مؤتمرات عبر الإنترنت، واجتماعات افتراضية للشركة، ومكالمات الأرباح
كانت لدى أروب ساعات من الفيديوهات العامة لقيادتها
لم تكن الـ deepfakes مسجلة مسبقًا، بل كانت تعمل في الوقت الحقيقي. كل مشارك مزيف كان قادرًا على التحدث، والتفاعل، والرد، والمشاركة في حوار غير نصي مع الضحية
تُقبض على رسائل البريد الإلكتروني الاحتيالية بسهولة دائمًا. مكالمات الهاتف بنسخ الصوت لها معدل نجاح أعلى، لكنها لا تزال تفشل عندما يطلب الضحية تأكيدًا كتابيًا
مكالمات الفيديو متعددة الأشخاص باستخدام deepfake تحل كلا المشكلتين في آن واحد. لا يمكنك طلب التحقق عندما تكون تتحقق بالفعل بعينيك
في نفس التحقيق، اكتشفت شرطة هونغ كونغ عملية ذات صلة. تم استخدام ثمانية بطاقات هوية هونغ كونغ مسروقة لتقديم 90 طلب قرض و54 تسجيل حساب بنكي
نجحت تقنيات deepfake في تجاوز أنظمة التعرف على الوجه على الأقل 20 مرة للتحقق من صحة تلك الهويات
الآن أصبحت تقنية الذكاء الاصطناعي ناضجة بما يكفي لخداع كل من التحقق البشري (مكالمات الفيديو) والتحقق الآلي (التعرف على الوجه في عمليات التعرف على العملاء)
أكد روب غريغ، مدير المعلومات في أروب، لاحقًا أن الشركة تعرضت لهجمات "تتصاعد بشكل حاد"، وقدر أن التكلفة العالمية للاحتيال المدعوم بالذكاء الاصطناعي ستصل إلى 40 مليار دولار بحلول عام 2027
كانت خسارة أروب 25.6 مليون دولار من موظف مالي واحد على مكالمة واحدة. إنها أكثر عملية احتيال deepfake نجاحًا تم تسجيلها علنًا على الإطلاق
لا تزال التحقيقات مفتوحة ولم يتم القبض على أحد. تم توزيع الأموال عبر حسابات متعددة خلال ساعات من التحويلات، وتم غسل معظمها بالفعل خارج النظام المصرفي في هونغ كونغ
للبقاء آمنًا، من الأفضل أن:
تطلب من الشخص على الخط أن يدير رأسه ويظهر ملفه الشخصي بالكامل لأن نموذج الـ deepfake عادةً يتعطل عند الزوايا الحادة
تطلب منه تغيير إضاءة غرفته لأن الـ deepfakes تعاني من تغيرات الإضاءة المفاجئة
تطلب منه التقاط جسم عشوائي وعرضه على الكاميرا لأن النموذج غالبًا ما يتعطل عند دمج أشياء حقيقية في الوجه الاصطناعي
هذه الفحوصات تعمل اليوم. لكنها لن تعمل لفترة طويلة
القصة الأكبر هي ما تثبته هذه الهجمة عن العقد القادم من التمويل المؤسسي
كل مدير تنفيذي في كل شركة عامة لديه ساعات من الفيديو المسجل على يوتيوب، لينكدإن، مكالمات الأرباح، ولقاءات المؤتمرات. تلك اللقطات هي مجموعة البيانات التدريبية لأي مهاجم يرغب في بناء deepfake لهم
شيء يجب أن يقلق بشأنه