۲۵ میلیون دلار با یک ویدئو ناپدید شد
یک تصویر ساختگی کافی بود تا میلیونها دلار جابهجا شود و هیچکس نفهمد که پشت آن چهره آشنا، مجرمان غریبه نشسته بودند.
شرکتی چندملیتی با دفاتر متعدد در نقاط مختلف جهان، دفتر هنگ کنگی خود را به عنوان مرکز اتصال مالی و حسابداری در نظر گرفته بود. در دسامبر سال ۲۰۲۴ یکی از کارمندان بخش مالی این دفتر پیام الکترونیکیای دریافت کرد که عنوانی مبهم داشت و در آن نوشته شده بود «معامله محرمانه و نیاز فوری به تایید». آنچه پس از این پیام رخ داد نه یک فریب ساده اینترنتی بود و نه نفوذ متداول رایانهای، بلکه نمونهای پیچیده از توانایی فناوری بود.در تماس ویدئویی که برقرار شد افراد حاضر دقیقا همان چهره و صدا و حرکات مدیران ارشد شرکت را داشتند. حرکات صورت و واکنشها منطقی و طبیعی به نظر میرسید و کارمند تصور کرد با مدیران واقعی گفتگو میکند. اما افراد حاضر در تماس واقعی نبودند و نسخههای جعلی ساخته شده با فناوری دیپ فیک بودند.کارمند مورد نظر در طول تماس تحت فشار محرمانه بودن موضوع قرار گرفت و به او گفته شد که انجام این پرداختها یک وظیفه فوری و ضروری است. او دستورات انتقال مالی بینالمللی را صادر کرد و این دستورات در ۱۵ تراکنش جداگانه به حسابهایی در هنگ کنگ فرستاده شد. در پایان این روند، حوالهها انجام شدند و حدود ۲۰۰ میلیون دلار هنگ کنگی که برابر با حدود ۲۵ میلیون دلار آمریکایی بود از حساب شرکت خارج شد.روزنامه «ساوت چاینا مورنینگ» و «گاردین» گزارش دادند که شرکت مذکور که به خاطر پروژههای بزرگ مهندسی شناخته میشود پس از مدتی رسما تایید کرد قربانی این حمله شده است. در بیانیه شرکت آمده بود که صداها و تصاویر جعلی مورد استفاده قرار گرفتهاند و این امر عامل فریب بوده است.
وقتی اعتماد به چشم کافی نیست
به گفته پلیس هنگ کنگ این نخستین نمونهای است که در آن از ترکیب تصویر و صدای دیجیتالی در یک تماس ویدئویی برای خارج کردن پول از یک شرکت بینالمللی استفاده شده است. روزنامه ساوت چاینا مورنینگ پست در گزارش خود تاکید کرد که این حمله از جهات مختلف با نمونههای سنتی فریب الکترونیکی متفاوت بوده است.عامل اصلی این ماجرا فناوری هوش مصنوعی و شکل پیشرفته آن یعنی دیپ فیک بود. صدا و چهره و حرکت و حتی هماهنگی لبها به اندازهای دقیق بودند که کارمند هیچ شکی نسبت به واقعی بودن افراد حاضر در تماس به خود راه نداد. مجله پژوهشی اد تک و چنج ژورنال نوشت که این سطح از دقت برای بسیاری از انسانها به سادگی قابل تشخیص نیست.پس از فاش شدن این ماجرا پیامدها به سرعت آشکار شدند. هیئت مدیره شرکت مجبور شد سازوکارهای مالی و روندهای کنترل داخلی و روشهای صدور اجازه پرداخت را به طور کامل بازنگری کند. یکی از مدیران ارشد امنیت سایبری شرکت گفت این پرونده مانند یک بیدارباش جهانی عمل میکند زیرا نشان میدهد اعتماد به چهره و تصویر کافی نیست.
دیپ فیک در فرهنگ شرکتی
در مارس سال ۲۰۲۵ نمونه مشابهی با دامنهای متفاوت در کشور سنگاپور رخ داد. یک مدیر مالی در یک شرکت چندملیتی پیامی از طریق برنامه ارتباطی واتس اپ دریافت کرد که در ظاهر از سوی مدیر مالی ارشد شرکت فرستاده شده بود. مجرمان او را به یک نشست ویدئویی دعوت کردند و عنوان جلسه بازسازی ساختار منطقهای شرکت بود.روز بعد جلسه به زمان نزدیکتری منتقل شد و این مدیر مالی وارد اتاق نشست ویدئوییای شد که در آن چهره و صدای مدیرعامل و دیگر مدیران نمایش داده میشد. اما هیچ یک از این افراد واقعی نبودند و همگی نسخههای ساختگی بودند. پس از پایان جلسه مدیر مالی تحت فشار حفظ محرمانگی قرار گرفت و دستور انتقال مبلغ قابل توجهی را دریافت کرد. مبلغ مورد نظر بیش از ۴۹۹ هزار دلار بود و دستور پرداخت اجرا شد. مقدار یاد شده تقریبا به طور کامل به حسابی منتقل شد که بعدا مشخص شد تحت کنترل افراد مجرم بوده است. رسانه مادرشپ و رسانه اچ آر دی امریکا جزئیات این انتقال را منتشر کردند.گزارش پلیس سنگاپور نشان میدهد که این انتقال تقریبا به طور کامل به پایان رسیده بود. زمانی که مجرمان درخواست انتقال اضافی ۱.۴ میلیون دلار را مطرح کردند، مدیر مالی مشکوک شد و خود با بانک تماس گرفت. بانک در همان لحظه موضوع را به گروه ضدکلاهبرداری اطلاع داد و با همکاری پلیس سنگاپور و هنگ کنگ بخشی از مبلغ انتقال یافته مسدود و بازگردانده شد. رسانه سی ان ای و رسانه اسکَم اس جی این همکاری را نمونهای از اقدام هماهنگ منطقهای دانستند.
پلیس در بیانیه خود تاکید کرد که این نمونه بار دیگر ضرورت بررسی چندمرحلهای در تراکنشهای حساس مالی را یادآوری میکند. روزنامه استریت تایمز نیز این هشدار را منتشر کرد.
چرا قربانیان باتجربه نیز فریب خوردند؟
در هر دو نمونه هنگ کنگ و سنگاپور عامل اصلی ضعف امنیتی پیچیده نبود بلکه اعتماد طبیعی کارکنان به چهره و صدا بود. آنها تصور کردند کسانی را میبینند و میشنوند که برایشان آشنا هستند و از این رو تصمیم را بدون تردید پذیرفتند. اما حقیقت این بود که افراد حاضر در تماس واقعی نبودند.گزارش فنی منتشر شده درباره نمونه سنگاپور توضیح میدهد که استفاده از تصویر یا صدای سرقت شده نبود بلکه مجموعهای از چهرههای دیجیتالی در همان لحظه تولید شده بود که با حرکت لب هماهنگ بود. گروه توکیتاکی نوشت که این مدلها به اندازهای دقیق بودند که تشخیص آنها برای انسان بسیار دشوار است.ترکیب اعتماد بصری و دستور مالی فوری همان نقطه ضعفی است که مجرمان حرفهای از آن بهره میبرند. آنها میدانند که بسیاری از شرکتها در شرایط فوری روندهای پیچیده تایید را کنار میگذارند به ویژه اگر تصور کنند دستور از سوی مقام ارشد صادر شده است.
شرکتهای بزرگ نیز آسیبپذیر میشوند
هر دو شرکت یکی شرکت شناخته شده مهندسی و دیگری شرکت سنگاپوری ساختار پیچیده مدیریتی و روندهای دقیق تصمیمگیری داشتند. با این حال فناوری دیپ فیک توانست این ساختار امنیتی را دور بزند. تنها چیزی که لازم بود باور یک کارمند بود.در نمونه هنگ کنگ ۱۵ تراکنش در یک هفته به حسابهای مختلف ارسال شد و روزنامه ساوت چاینا مورنینگ پست و نشریه فورچون این روند را گزارش کردند. در نمونه سنگاپور تنها یک تراکنش انجام شد اما مبلغ آن بزرگ بود و حساب مقصد تحت کنترل مجرمان قرار داشت. رسانه سی ان ای و مادرشپ این جزئیات را منتشر کردند.این رخدادها نشان میدهند که پیچیدگی ساختار شرکتی و اعتبار برند به تنهایی نمیتواند ضمانت کامل امنیت در برابر جعل پیشرفته دیجیتالی باشد.
پلیس و شرکتها وارد عمل شدند
پس از افشای خبر، شرکت و نهادهای قانونی ناگزیر به واکنش شدند. شرکت اول که همان شرکت مهندسی است به طور رسمی تایید کرد که قربانی حمله شده است. سخنگوی شرکت اعلام کرد که با پلیس هنگ کنگ در تماس هستند و به دلیل ادامه تحقیقات امکان ارائه اطلاعات بیشتر وجود ندارد. رسانه ای تی وی ایکس و ساوت چاینا مورنینگ پست این بیانیه را بازتاب دادند.در سنگاپور نیز پلیس از همکاری با نهاد همتای هنگ کنگی خود برای ردیابی وجوه خبر داد. در بیانیه منتشر شده در هفتم آپریل ۲۰۲۵ گفته شد که استرداد و توقیف وجوه انجام شده است و این همکاری نمونهای موثر از اقدام مشترک در برابر کلاهبرداریهای پیچیده با استفاده از دیپ فیک است. روزنامه استریت تایمز و رسانه اسکَم اس جی این خبر را منتشر کردند.اگرچه این دو پرونده بیشترین توجه را جلب کردند اما کارشناسان هشدار میدهند که این موارد آغاز موج گستردهتری هستند. استفاده از دیپ فیک برای فریب شرکتها و افراد رو به افزایش است و تنها شرکتهای بزرگ هدف نیستند بلکه واحدهای کوچک و متوسط نیز آسیبپذیر شدهاند. مجله اد تک و چنج ژورنال و رسانه اینوستینگ دات کام نسخه بریتانیا این هشدارها را تکرار کردهاند.در پرونده سنگاپور پلیس تاکید کرد که بررسی چندمرحلهای باید جدی گرفته شود و تماس تصویری به تنهایی کافی نیست. رسانه اچ آر دی امریکا نیز این نکته را برجسته کرد. در پرونده هنگ کنگ سخنگوی شرکت با اشاره به اینکه زیرساخت فناوری شرکت آسیب ندیده است گفت که بازنگری در سیستمهای کنترل داخلی ضروری است. رسانه ای تی وی ایکس و اچ آر دی امریکا این بیانیه را منتشر کردند.
اعتماد ممکن است هزینه سنگینی داشته باشد
دو واقعه هنگ کنگ و سنگاپور به روشنی نشان میدهند که تصویر و صدا که همیشه نشانه تایید هویت قابل اعتماد محسوب میشدند امروز دیگر به تنهایی کافی نیستند. شرکتهای بزرگ نیز اگر روندهای تایید را سختگیرانه دنبال نکنند ممکن است توسط نسخههای جعلی فریب بخورند.تنها توصیه مشترک پلیس و نهادهای مقابله با کلاهبرداری این است که تایید مستقل و چندمرحلهای باید رعایت شود. این روند شامل تماس تلفنی دوباره، تایید با پیام الکترونیکی رسمی و روشهایی مانند امضای آفلاین است. این تهدید فراتر از یک فریب ساده اینترنتی است و از چند لایه تشکیل شده است که شامل جعل تصویر و صدا و هویت و ساختار شرکت و حتی قالبهای رسمی است.
دستور کار گستردهتر برای شرکتها و نظام مالی جهان یادآوری میشود
اگر میخواهیم از موج بعدی جلوگیری کنیم باید اقدامات فراتر از هشدار رسانهای انجام شود. شرکتها باید پروتکلهای داخلی خود را بازبینی کنند و تراکنشهای حساس نباید تنها با تایید تصویری انجام شوند. سیستم بانکی و مالی جهانی نیز باید روشهای تایید مستقل طراحی کند مانند کد امنیتی دوم یا تماس تلفنی تاییدی یا تایید از طریق شخص ثالث.در سطح جهانی باید همکاری نظارتی و پلیسی گستردهتر شود. نمونههای هنگ کنگ و سنگاپور نشان دادهاند که همکاری فرامرز موثر است. همچنین شرکتها و کارکنان باید درباره توانایی دیپ فیک در جعل صدا و چهره آگاهتر شوند.
تصویر جعلی میتواند واقعیتی گران رقم بزند
در سالهای ۲۰۲۴ و ۲۰۲۵ دو پرونده مهم در هنگ کنگ و سنگاپور با جابهجایی مالی چندمیلیارد دلاری نشان دادند که فناوری دیپ فیک دیگر تنها ابزار سرگرمی یا تقلید نیست بلکه به سلاحی پیچیده در اختیار مجرمان تبدیل شده است. یک تماس ویدئویی که برای بسیاری نشانهای قابل اعتماد است کافی بود تا میلیونها دلار جابهجا شود. آنچه واقعی بود زیان مالی و اعتماد شکسته و هشدار برای شرکتها بود و آنچه جعلی بود چهره و صدا و هویت اما اثر آن کاملا واقعی و گسترده بود.این پروندهها نباید استثنا تلقی شوند بلکه باید زنگ خطری گسترده به شمار بیایند. اگر شرکتها و بانکها و نظام مالی جهانی با جدیت عمل نکنند دیپ فیک میتواند به ستون اصلی کلاهبرداری در نسل جدید تبدیل شود. نویسندگان و مدیران مالی و مسئولان امنیت سایبری باید این درس را جدی بگیرند که هر تصویری را نباید باور کرد مگر آنکه با منبع مستقل تایید شود و در عصر دیپ فیک این منبع باید فراتر از چشم و گوش باشد.