۲۵ میلیون دلار با یک ویدئو ناپدید شد/ فریب شرکت‌های بزرگ با دیپ فیک/ کلاهبرداری میلیونی با هوش مصنوعی

۱۰ آذر ۱۴۰۴ - ۲۲:۳۰

کدخبر : 113365

اکو ایران: با یک تصویر ساختگی و یک تماس ویدیویی میلیون‌ها دلار در یک شرکت چندملیتی جابه‌جا شد. آنچه پس از این پیام رخ داد نه یک فریب ساده اینترنتی بود و نه نفوذ متداول رایانه‌ای، بلکه نمونه‌ای پیچیده از توانایی فناوری بود. در تماس ویدئویی که برقرار شد افراد حاضر دقیقا همان چهره و صدا و حرکات مدیران ارشد شرکت را داشتند.

به گزارش اکو ایران به نقل از فارس، شرکتی چندملیتی با دفاتر متعدد در نقاط مختلف جهان، دفتر هنگ کنگی خود را به عنوان مرکز اتصال مالی و حسابداری در نظر گرفته بود. در دسامبر سال ۲۰۲۴ یکی از کارمندان بخش مالی این دفتر پیام الکترونیکی‌ای دریافت کرد که عنوانی مبهم داشت و در آن نوشته شده بود «معامله محرمانه و نیاز فوری به تایید». آنچه پس از این پیام رخ داد نه یک فریب ساده اینترنتی بود و نه نفوذ متداول رایانه‌ای، بلکه نمونه‌ای پیچیده از توانایی فناوری بود. در تماس ویدئویی که برقرار شد افراد حاضر دقیقا همان چهره و صدا و حرکات مدیران ارشد شرکت را داشتند.

حرکات صورت و واکنش‌ها منطقی و طبیعی به نظر می‌رسید و کارمند تصور کرد با مدیران واقعی گفتگو می‌کند. اما افراد حاضر در تماس واقعی نبودند و نسخه‌های جعلی ساخته شده با فناوری دیپ فیک بودند.کارمند مورد نظر در طول تماس تحت فشار محرمانه بودن موضوع قرار گرفت و به او گفته شد که انجام این پرداخت‌ها یک وظیفه فوری و ضروری است. او دستورات انتقال مالی بین‌المللی را صادر کرد و این دستورات در ۱۵ تراکنش جداگانه به حساب‌هایی در هنگ کنگ فرستاده شد. در پایان این روند، حواله‌ها انجام شدند و حدود ۲۰۰ میلیون دلار هنگ کنگی که برابر با حدود ۲۵ میلیون دلار آمریکایی بود از حساب شرکت خارج شد.

روزنامه «ساوت چاینا مورنینگ» و «گاردین» گزارش دادند که شرکت مذکور که به خاطر پروژه‌های بزرگ مهندسی شناخته می‌شود پس از مدتی رسما تایید کرد قربانی این حمله شده است. در بیانیه شرکت آمده بود که صداها و تصاویر جعلی مورد استفاده قرار گرفته‌اند و این امر عامل فریب بوده است.

وقتی اعتماد به چشم کافی نیست

به گفته پلیس هنگ کنگ این نخستین نمونه‌ای است که در آن از ترکیب تصویر و صدای دیجیتالی در یک تماس ویدئویی برای خارج کردن پول از یک شرکت بین‌المللی استفاده شده است. روزنامه ساوت چاینا مورنینگ پست در گزارش خود تاکید کرد که این حمله از جهات مختلف با نمونه‌های سنتی فریب الکترونیکی متفاوت بوده است.عامل اصلی این ماجرا فناوری هوش مصنوعی و شکل پیشرفته آن یعنی دیپ فیک بود. صدا و چهره و حرکت و حتی هماهنگی لب‌ها به اندازه‌ای دقیق بودند که کارمند هیچ شکی نسبت به واقعی بودن افراد حاضر در تماس به خود راه نداد.

مجله پژوهشی اد تک و چنج ژورنال نوشت که این سطح از دقت برای بسیاری از انسان‌ها به سادگی قابل تشخیص نیست.پس از فاش شدن این ماجرا پیامدها به سرعت آشکار شدند. هیئت مدیره شرکت مجبور شد سازوکارهای مالی و روندهای کنترل داخلی و روش‌های صدور اجازه پرداخت را به طور کامل بازنگری کند. یکی از مدیران ارشد امنیت سایبری شرکت گفت این پرونده مانند یک بیدارباش جهانی عمل می‌کند زیرا نشان می‌دهد اعتماد به چهره و تصویر کافی نیست.

دیپ فیک در فرهنگ شرکتی

در مارس سال ۲۰۲۵ نمونه مشابهی با دامنه‌ای متفاوت در کشور سنگاپور رخ داد. یک مدیر مالی در یک شرکت چندملیتی پیامی از طریق برنامه ارتباطی واتس اپ دریافت کرد که در ظاهر از سوی مدیر مالی ارشد شرکت فرستاده شده بود. مجرمان او را به یک نشست ویدئویی دعوت کردند و عنوان جلسه بازسازی ساختار منطقه‌ای شرکت بود.روز بعد جلسه به زمان نزدیک‌تری منتقل شد و این مدیر مالی وارد اتاق نشست ویدئویی‌ای شد که در آن چهره و صدای مدیرعامل و دیگر مدیران نمایش داده می‌شد. اما هیچ یک از این افراد واقعی نبودند و همگی نسخه‌های ساختگی بودند.

پس از پایان جلسه مدیر مالی تحت فشار حفظ محرمانگی قرار گرفت و دستور انتقال مبلغ قابل توجهی را دریافت کرد. مبلغ مورد نظر بیش از ۴۹۹ هزار دلار بود و دستور پرداخت اجرا شد. مقدار یاد شده تقریبا به طور کامل به حسابی منتقل شد که بعدا مشخص شد تحت کنترل افراد مجرم بوده است رسانه مادرشپ و رسانه اچ آر دی امریکا جزئیات این انتقال را منتشر کردند.گزارش پلیس سنگاپور نشان می‌دهد که این انتقال تقریبا به طور کامل به پایان رسیده بود. زمانی که مجرمان درخواست انتقال اضافی ۱.۴ میلیون دلار را مطرح کردند، مدیر مالی مشکوک شد و خود با بانک تماس گرفت. بانک در همان لحظه موضوع را به گروه ضدکلاهبرداری اطلاع داد و با همکاری پلیس سنگاپور و هنگ کنگ بخشی از مبلغ انتقال یافته مسدود و بازگردانده شد. رسانه سی ان ای و رسانه اسکَم اس جی این همکاری را نمونه‌ای از اقدام هماهنگ منطقه‌ای دانستند.

پلیس در بیانیه خود تاکید کرد که این نمونه بار دیگر ضرورت بررسی چندمرحله‌ای در تراکنش‌های حساس مالی را یادآوری می‌کند. روزنامه استریت تایمز نیز این هشدار را منتشر کرد.

چرا قربانیان باتجربه نیز فریب خوردند؟

در هر دو نمونه هنگ کنگ و سنگاپور عامل اصلی ضعف امنیتی پیچیده نبود بلکه اعتماد طبیعی کارکنان به چهره و صدا بود. آنها تصور کردند کسانی را می‌بینند و می‌شنوند که برایشان آشنا هستند و از این رو تصمیم را بدون تردید پذیرفتند. اما حقیقت این بود که افراد حاضر در تماس واقعی نبودند.گزارش فنی منتشر شده درباره نمونه سنگاپور توضیح می‌دهد که استفاده از تصویر یا صدای سرقت شده نبود بلکه مجموعه‌ای از چهره‌های دیجیتالی در همان لحظه تولید شده بود که با حرکت لب هماهنگ بود.

گروه توکیتاکی نوشت که این مدل‌ها به اندازه‌ای دقیق بودند که تشخیص آنها برای انسان بسیار دشوار است.ترکیب اعتماد بصری و دستور مالی فوری همان نقطه ضعفی است که مجرمان حرفه‌ای از آن بهره می‌برند. آنها می‌دانند که بسیاری از شرکت‌ها در شرایط فوری روندهای پیچیده تایید را کنار می‌گذارند به ویژه اگر تصور کنند دستور از سوی مقام ارشد صادر شده است.

شرکت‌های بزرگ نیز آسیب‌پذیر می‌شوند

هر دو شرکت یکی شرکت شناخته شده مهندسی و دیگری شرکت سنگاپوری ساختار پیچیده مدیریتی و روندهای دقیق تصمیم‌گیری داشتند. با این حال فناوری دیپ فیک توانست این ساختار امنیتی را دور بزند. تنها چیزی که لازم بود باور یک کارمند بود.در نمونه هنگ کنگ ۱۵ تراکنش در یک هفته به حساب‌های مختلف ارسال شد و روزنامه ساوت چاینا مورنینگ پست و نشریه فورچون این روند را گزارش کردند. در نمونه سنگاپور تنها یک تراکنش انجام شد اما مبلغ آن بزرگ بود و حساب مقصد تحت کنترل مجرمان قرار داشت. رسانه سی ان ای و مادرشپ این جزئیات را منتشر کردند.این رخدادها نشان می‌دهند که پیچیدگی ساختار شرکتی و اعتبار برند به تنهایی نمی‌تواند ضمانت کامل امنیت در برابر جعل پیشرفته دیجیتالی باشد.

پلیس و شرکت‌ها وارد عمل شدند

پس از افشای خبر، شرکت و نهادهای قانونی ناگزیر به واکنش شدند. شرکت اول که همان شرکت مهندسی است به طور رسمی تایید کرد که قربانی حمله شده است. سخنگوی شرکت اعلام کرد که با پلیس هنگ کنگ در تماس هستند و به دلیل ادامه تحقیقات امکان ارائه اطلاعات بیشتر وجود ندارد. رسانه ای تی وی ایکس و ساوت چاینا مورنینگ پست این بیانیه را بازتاب دادند.در سنگاپور نیز پلیس از همکاری با نهاد همتای هنگ کنگی خود برای ردیابی وجوه خبر داد..

در بیانیه منتشر شده در هفتم آپریل ۲۰۲۵ گفته شد که استرداد و توقیف وجوه انجام شده است و این همکاری نمونه‌ای موثر از اقدام مشترک در برابر کلاهبرداری‌های پیچیده با استفاده از دیپ فیک است. روزنامه استریت تایمز و رسانه اسکَم اس جی این خبر را منتشر کردند.اگرچه این دو پرونده بیشترین توجه را جلب کردند اما کارشناسان هشدار می‌دهند که این موارد آغاز موج گسترده‌تری هستند. استفاده از دیپ فیک برای فریب شرکت‌ها و افراد رو به افزایش است و تنها شرکت‌های بزرگ هدف نیستند بلکه واحدهای کوچک و متوسط نیز آسیب‌پذیر شده‌اند. مجله اد تک و چنج ژورنال و رسانه اینوستینگ دات کام نسخه بریتانیا این هشدارها را تکرار کرده‌اند.در پرونده سنگاپور پلیس تاکید کرد که بررسی چندمرحله‌ای باید جدی گرفته شود و تماس تصویری به تنهایی کافی نیست. رسانه اچ آر دی امریکا نیز این نکته را برجسته کرد. در پرونده هنگ کنگ سخنگوی شرکت با اشاره به اینکه زیرساخت فناوری شرکت آسیب ندیده است گفت که بازنگری در سیستم‌های کنترل داخلی ضروری است. رسانه ای تی وی ایکس و اچ آر دی امریکا این بیانیه را منتشر کردند.

اعتماد ممکن است هزینه سنگینی داشته باشد

دو واقعه هنگ کنگ و سنگاپور به روشنی نشان می‌دهند که تصویر و صدا که همیشه نشانه تایید هویت قابل اعتماد محسوب می‌شدند امروز دیگر به تنهایی کافی نیستند. شرکت‌های بزرگ نیز اگر روندهای تایید را سختگیرانه دنبال نکنند ممکن است توسط نسخه‌های جعلی فریب بخورند.تنها توصیه مشترک پلیس و نهادهای مقابله با کلاهبرداری این است که تایید مستقل و چندمرحله‌ای باید رعایت شود. این روند شامل تماس تلفنی دوباره، تایید با پیام الکترونیکی رسمی و روش‌هایی مانند امضای آفلاین است. این تهدید فراتر از یک فریب ساده اینترنتی است و از چند لایه تشکیل شده است که شامل جعل تصویر و صدا و هویت و ساختار شرکت و حتی قالب‌های رسمی است.

دستور کار گسترده‌تر برای شرکت‌ها و نظام مالی جهان یادآوری می‌شود

اگر می‌خواهیم از موج بعدی جلوگیری کنیم باید اقدامات فراتر از هشدار رسانه‌ای انجام شود. شرکت‌ها باید پروتکل‌های داخلی خود را بازبینی کنند و تراکنش‌های حساس نباید تنها با تایید تصویری انجام شوند. سیستم بانکی و مالی جهانی نیز باید روش‌های تایید مستقل طراحی کند مانند کد امنیتی دوم یا تماس تلفنی تاییدی یا تایید از طریق شخص ثالث.در سطح جهانی باید همکاری نظارتی و پلیسی گسترده‌تر شود. نمونه‌های هنگ کنگ و سنگاپور نشان داده‌اند که همکاری فرامرز موثر است. همچنین شرکت‌ها و کارکنان باید درباره توانایی دیپ فیک در جعل صدا و چهره آگاه‌تر شوند.

تصویر جعلی می‌تواند واقعیتی گران رقم بزند

در سال‌های ۲۰۲۴ و ۲۰۲۵ دو پرونده مهم در هنگ کنگ و سنگاپور با جابه‌جایی مالی چندمیلیارد دلاری نشان دادند که فناوری دیپ فیک دیگر تنها ابزار سرگرمی یا تقلید نیست بلکه به سلاحی پیچیده در اختیار مجرمان تبدیل شده است. یک تماس ویدئویی که برای بسیاری نشانه‌ای قابل اعتماد است کافی بود تا میلیون‌ها دلار جابه‌جا شود.

آنچه واقعی بود زیان مالی و اعتماد شکسته و هشدار برای شرکت‌ها بود و آنچه جعلی بود چهره و صدا و هویت اما اثر آن کاملا واقعی و گسترده بود.این پرونده‌ها نباید استثنا تلقی شوند بلکه باید زنگ خطری گسترده به شمار بیایند. اگر شرکت‌ها و بانک‌ها و نظام مالی جهانی با جدیت عمل نکنند دیپ فیک می‌تواند به ستون اصلی کلاهبرداری در نسل جدید تبدیل شود. نویسندگان و مدیران مالی و مسئولان امنیت سایبری باید این درس را جدی بگیرند که هر تصویری را نباید باور کرد مگر آنکه با منبع مستقل تایید شود و در عصر دیپ فیک این منبع باید فراتر از چشم و گوش باشد.#فناوری#دیپ_فیک#امنیت_سایبری#شرکت‌ها#هشدار