في ربيع هذا العام اتصل كلايف كاباتزنيك، وهو مستثمر في فلوريدا، بممثل "بنك أوف أميركا" المحلي لمناقشة تحويل أموال كبيرة كان يخطط لإجرائها، ومن ثم قام مجدداً بالاتصال، إلا أن المكالمة الهاتفية الثانية لم تأتِ من كاباتزنيك، بل من برنامج حاسوبي قام بتوليد صوته بشكل مصطنع وحاول خداع المصرفي لنقل الأموال إلى مكان آخر.
كان كاباتزنيك والمصرفي الذي يتعامل معه هدفاً لمحاولة احتيال متطورة جذبت انتباه متخصصي الأمن السيبراني، وهي استخدام الذكاء الاصطناعي لإنشاء مقاطع صوتية مزيفة أو أداء صوتي يحاكي أصوات الأشخاص الحقيقيين.
المشكلة لا تزال حديثة بما فيه الكفاية بحيث لا يوجد رصد شامل لعدد مرات حدوثها، لكن أحد الخبراء الذي تراقب شركته "بين دروب" حركة الصوت لأكبر البنوك الأميركية، قالت إن هذا النوع من الحوادث شهد انتشارها قفزة هذا العام.
وفي تعقيد محاولات الاحتيال الصوتي التي يقوم بها المحتالون شهدت شركة "نيو آنس"، وهي إحدى الشركات الكبيرة الأخرى في مجال المصادقة الصوتية، أول هجوم ناجح للتزييف العميق على أحد عملاء الخدمات المالية أواخر العام الماضي.
البنوك و"حيل الصوت"
في حالة كاباتزنيك كان الاحتيال قابلاً للاكتشاف، لكن مع سرعة التطور التكنولوجي وانخفاض كلف برامج الذكاء الاصطناعي التوليدي والتوافر الواسع لتسجيلات أصوات الناس على الإنترنت فإن الظروف تبدو مثالية للذكاء الاصطناعي المرتبط بالاحتيال الصوتي.
بيانات العملاء مثل تفاصيل الحساب المصرفي التي سرقها المتسللون والمتوفرة على نطاق واسع في الأسواق السرية تساعد المحتالين على تنفيذ هذه الهجمات، بالتالي يصبح الأمر أكثر سهولة مع العملاء الأثرياء، والذين غالباً ما يكون لهم حضور عام، بما في ذلك الخطب المتاحة على نطاق واسع على شبكة الإنترنت.
في الوقت نفسه أصبح العثور على عينات صوتية للعملاء العاديين بنفس سهولة إجراء بحث عبر الإنترنت، فعلى سبيل المثال، في تطبيقات الوسائط الاجتماعية مثل "تيك توك" و"إنستغرام" يتاح اسم شخص ومعلومات حسابه المصرفي التي يمتلكها المحتالون بالفعل.
20 مكالمة احتيال أسبوعياً
قال الرئيس التنفيذي ومؤسس شركة "بين دروب" التي تقوم بمراجعة أنظمة التحقق الصوتي التلقائية لثمانية من أكبر 10 بنوك أميركية فيجاي بالاسوبرامانيان لصحيفة "نيويورك تايمز" إن "هناك كثيراً من المحتوى الصوتي".
وعلى مدى العقد الماضي قامت شركة "بين دروب" بمراجعة تسجيلات لأكثر من خمسة مليارات مكالمة واردة إلى مراكز الاتصال التي تديرها الشركات المالية التي تخدمهان كما تتعامل المراكز مع منتجات مثل الحسابات المصرفية وبطاقات الائتمان وغيرها من الخدمات التي تقدمها بنوك التجزئة الكبرى، فيما تتلقى جميع مراكزها الاتصالية مكالمات من المحتالين تتراوح عادة بين ألف و10 آلاف مكالمة سنوياً.
وقال بالاسوبرامانيان إنه من الشائع أن تصل 20 مكالمة من المحتالين كل أسبوع، مضيفاً أنه حتى الآن لا تمثل الأصوات المزيفة التي أنشأتها برامج الكمبيوتر سوى "حفنة" من هذه المكالمات، ولم تبدأ في الحدوث إلا خلال العام الماضي.
الذكاء الاصطناعي واستهداف بطاقات الائتمان
تقول شركة "بين دروب" إن معظم الهجمات الصوتية المزيفة التي رصدتها وصلت إلى مراكز الاتصال الخاصة بخدمة بطاقات الائتمان، حيث يتعامل الممثلون البشريون مع العملاء الذين يحتاجون إلى المساعدة فيما يتعلق ببطاقاتهم.
وقدم بالاسوبرامانيان تجربة حية للصحيفة، باستخدام أحد مراسليها لتسجيل مجهول لأحد هذه المكالمات التي جرت في شهر مارس (آذار) الماضي، وعلى رغم أن المثال بدائي للغاية فإن الصوت في تلك الحالة يبدو آلياً، وكان أشبه بقارئ إلكتروني أكثر من كونه شخصاً، وتوضح المكالمة كيف يمكن أن تحدث عمليات الاحتيال عندما يقوم الذكاء الاصطناعي باختراقها، حيث يسهل تقليد الأصوات البشرية.
وسمع المراسل أحد المصرفيين وهو يحيي العميل، ومن ثم يقول الصوت المشابه للصوت الآلي "تم رفض بطاقتي"، ثم يقول الصوت المصرفي "هل لي أن أسأل مع من أتحدث؟"، فيرد المصرفي، ومن ثم يقول مرة أخرى "لقد تم رفض بطاقتي".
اقرأ المزيد
يحتوي هذا القسم على المقلات ذات صلة, الموضوعة في (Related Nodes field)
يسأل المصرفي عن اسم العميل مرة أخرى، ويعقب ذلك صمت يمكن خلاله سماع صوت خافت لضغطات المفاتيح، وفقاً لبالاسوبرامانيان، فإن عدد ضغطات المفاتيح يتوافق مع عدد الأحرف الموجودة في اسم العميل، ومن ثم يقوم المحتال بكتابة الكلمات في برنامج يقرؤها بعد ذلك.
وقال بالاسوبرامانيان في هذه الحالة "أدى الكلام الاصطناعي للمتصل بالموظف إلى تحويل المكالمة إلى قسم مختلف ووضع علامة عليها باعتبارها احتيالية محتملة".
وتعد المكالمات مثل تلك التي اختبرتها الشركة، والتي تستخدم تقنية تحويل النص إلى نص من أسهل الهجمات التي يمكن الدفاع عنها، حيث يمكن لمراكز الاتصال استخدام برامج الفحص لالتقاط الأدلة الفنية التي تشير إلى أن الكلام يتم إنشاؤه آلياً.
الكلام الاصطناعي يترك آثاراً وراءه
من جانبه قال الرئيس التنفيذي لـ"إنجين أي دي"، وهي شركة متخصصة في مجال تكنولوجيا القياسات الحيوية الصوتية، بيتر سوفليريس إن "الكلام الاصطناعي يترك آثاراً وراءه، وعديد من خوارزميات مكافحة الانتحال تكتشفها".
ولكن، كما هو الحال مع عديد من التدابير الأمنية، فإن الأمر بمثابة سباق تسلح بين المهاجمين والمدافعين، وهو سباق تطور أخيراً، حيث يمكن للمحتال الآن ببساطة التحدث عبر الميكروفون أو كتابة مطالبة وترجمة هذا الكلام بسرعة كبيرة إلى صوت الهدف.
وأشار بالاسوبرامانيان إلى أنه يمكن لنظام (VALL-E) من "مايكروسوفت" إنشاء صوت مزيف عميق يقول ما يرغب فيه المستخدم باستخدام ثلاث ثوانٍ فقط من عينات الصوت.
وفي برنامج "60 دقيقة" في شهر مايو (أيار) الماضي، استخدمت المستشارة الأمنية لشركة "سوشيال بروف سيكيوريتي" راشيل توباك برنامجاً لاستنساخ صوت شارين ألفونسي، وهي إحدى مراسلات البرنامج بشكل مقنع، لدرجة أنها خدعت موظفة في البرنامج وأعطتها رقم جواز سفر ألفونسي.
وقالت توباك إن الهجوم استغرق خمس دقائق فقط، فيما أصبح البرنامج الذي استخدمته متاحاً للشراء في يناير (كانون الثاني) الماضي.
وقال المدير العام للأمن والقياسات الحيوية في "نيوآنس" بريت بيرانيك، والشركة تبيع التكنولوجيا الصوتية الذي استحوذت عليها "مايكروسوفت" في عام 2021، إنه في حين أن العروض التوضيحية المخيفة للتزييف العميق تعد عنصراً أساساً في المؤتمرات الأمنية، إلا أن الهجمات الواقعية لا تزال نادرة للغاية، حيث حاول مهاجم " نيوآنس" خلال أكتوبر (تشرين الأول) الماضي أكثر من 12 مرة الانسحاب من عملية الاحتيال التي كان يحاول تنفيذها ضد الشركة.
الهجمات على مراكز الاتصال أو الأنظمة الآلية، مثل أنظمة القياسات الحيوية الصوتية التي نشرها عديد من البنوك ليست أكبر مخاوف بيرانيك تجاه عمليات الاحتيال، وإنما ماذا لو اتصل المحتال بالشخص مباشرة؟
وقال بيرانيك "لقد أجريت محادثة في وقت سابق من هذا الأسبوع مع أحد عملائنا"، مضيفاً "كانوا يقولون مرحباً بريت، من الرائع أن يكون لدينا مركز اتصال مؤمن، ولكن ماذا لو اتصل شخص ما بالرئيس التنفيذي لدينا مباشرة على هاتفه المحمول ويتظاهر بأنه شخص آخر؟".
وهذا ما حدث في قضية كاباتزنيك، وبحسب وصف المصرفي، بدا أن المحتال باستخدام الصوت المزيف يحاول إقناع كاباتزنيك بتحويل الأموال إلى موقع جديد، لكن الصوت كان متكرراً، ويستخدم عبارات مشوشة، وفي النهاية أغلقت المكالمة. وقال كاباتزنيك إنه أخبره "كان الأمر كما لو كنت أتحدث مع المصرفي، لكن الأمر لم يكن له أي معنى".
من جانبه رفض المتحدث باسم "بنك أوف أميركا" إتاحة المصرفي الحقيقي لإجراء مقابلة. وأشار إلى أنه بعد إجراء مكالمتين أخريين من هذا القبيل في تتابع سريع، أبلغ المصرفي الفريق الأمني في البنك بالأمر، نظراً لقلقه في شأن أمان حسابه، كما توقف عن الرد على مكالماته ورسائل البريد الإلكتروني حتى تلك التي كانت حقيقية، واستغرق الأمر نحو 10 أيام حتى يتمكن الاثنان، أي كاباتزنيك والمصرفي الحقيقي في البنك من التواصل مجدداً بعد ترتيب زيارة لمقر البنك.
وقال المتحدث باسم "بنك أوف أميركا" وليام هالدين "نحن نقوم بتدريب فريقنا بانتظام على التعرف على عمليات الاحتيال ومساعدة عملائنا على تجنبها"، مشيراً إلى أنه لا يستطيع التعليق على عملاء محددين أو تجاربهم.
الهجمات أصبحت أكثر تعقيداً
وعلى رغم أن الهجمات أصبحت أكثر تعقيداً، فإنها تنبع من تهديد أساس للأمن السيبراني كان موجوداً منذ عقود من خلال خرق البيانات الذي يكشف المعلومات الشخصية لعملاء البنوك، في الفترة من 2020 إلى 2022 وقعت أجزاء من البيانات الشخصية لأكثر من 300 مليون شخص في أيدي المتسللين، مما أدى إلى خسائر بقيمة 8.8 مليار دولار، وفقاً للجنة التجارة الفيدرالية.
وبمجرد حصولهم على مجموعة من الأرقام، يقوم المتسللون بفحص المعلومات ومطابقتها مع أشخاص حقيقيين، في حين أن أولئك الذين يسرقون المعلومات لا يكونون أبداً نفس الأشخاص الذين ينتهي بهم الأمر إلى الحصول عليها، بالتالي فهم عرضة للصوص البيع، كما يمكن استخدام أي واحد من مجموعة من البرامج التي يمكن الوصول إليها بسهولة لانتحال أرقام هواتف العملاء المستهدفين، وهو ما حدث على الأرجح في حالة كاباتزنيك، حيث يسهل العثور على تسجيلات صوته، والتي توجد على الإنترنت أو مقاطع فيديو له وهو يتحدث في مؤتمر ويشارك في حملة لجمع التبرعات.
وقال كاباتزنيك "أعتقد أن الأمر مخيف للغاية"، مضيفاً "المشكلة هي أنني لا أعرف ماذا أفعل حيال ذلك هل أذهب تحت الأرض وأختفي؟".