کلاهبرداری ۲۵ میلیون دلاری با دیپ‌فیک | وقتی مدیرعامل شرکت هم واقعی نیست!

این داستان یک فیلم علمی-تخیلی نیست؛ این واقعیتی هولناک است که اخیراً برای یک شرکت چندملیتی در هنگ‌کنگ رخ داد. ما در آلفاتک این پرونده را به عنوان زنگ خطری جدی برای تمام سازمان‌های ایرانی و مدیران کسب‌وکار تحلیل می‌کنیم. عصر “دیدن و باور کردن” به پایان رسیده است.

۱. شرح ماجرا: سرقت بزرگ چگونه رخ داد؟

پلیس هنگ‌کنگ جزئیات تکان‌دهنده‌ای از این پرونده منتشر کرد. همه چیز با یک پیام فیشینگ ساده شروع شد. کارمند مورد نظر که در بخش مالی شعبه هنگ‌کنگ کار می‌کرد، پیامی دریافت کرد که ظاهراً از سوی مدیر ارشد مالی شرکت در انگلستان ارسال شده بود. پیام حاوی دستوری برای انجام یک تراکنش مالی محرمانه بود.

کارمند ابتدا هوشیاری به خرج داد. او با خود فکر کرد که شاید این یک ایمیل فیشینگ باشد. اما کلاهبرداران یک قدم جلوتر بودند. آن‌ها برای از بین بردن شک کارمند، او را به یک کنفرانس ویدیویی دعوت کردند. وقتی کارمند وارد تماس شد، با چهره‌هایی آشنا روبرو شد: مدیر ارشد مالی و چند تن از اعضای دیگر تیم که آن‌ها را می‌شناخت.

در طول جلسه، مدیر جعلی دستوراتی را صادر کرد و از کارمند خواست تا فوراً مبالغی را به چندین حساب بانکی مختلف واریز کند. کارمند که حالا با دیدن تصویر زنده مدیران ارشد، تمام شک و تردیدش از بین رفته بود، دستورات را مو‌به‌مو اجرا کرد. او در مجموع ۱۵ تراکنش انجام داد و مبلغی معادل ۲۰۰ میلیون دلار هنگ‌کنگ (حدود ۲۵.۶ میلیون دلار آمریکا) را به حساب کلاهبرداران ریخت. حقیقت ماجرا زمانی فاش شد که کارمند روز بعد با دفتر مرکزی تماس گرفت و متوجه شد چنین جلسه‌ای هرگز برگزار نشده است.

۲. کالبدشکافی فنی: هکرها چگونه جلسه زنده را جعل کردند؟

بسیاری از کاربران می‌پرسند که جعل یک ویدیو به صورت “زنده” (Real-time) چقدر دشوار است؟ کارشناسان امنیت سایبری در آلفاتک معتقدند که این حمله نشان‌دهنده جهش تکنولوژیک در دنیای جرایم سایبری است.

استفاده از ویدیوهای آرشیوی و مدل‌سازی چهره

پلیس اعلام کرد که مهاجمان سایبری از تکنولوژی “Deepfake” (جعل عمیق) استفاده کردند. آن‌ها ویدیوها و مصاحبه‌های عمومی مدیران شرکت را که در یوتیوب و سایر رسانه‌ها موجود بود، دانلود کردند. سپس با استفاده از الگوریتم‌های هوش مصنوعی، مدل‌هایی ساختند که می‌توانست چهره و صدای این افراد را شبیه‌سازی کند.

تکنیک “عروسک‌گردانی دیجیتال”

در این نوع حملات، هکر جلوی دوربین خود می‌نشیند، اما نرم‌افزار به صورت آنی چهره او را با چهره قربانی (مثلاً مدیر شرکت) جایگزین می‌کند. وقتی هکر سرش را تکان می‌دهد یا لب می‌زند، کاراکتر جعلی در جلسه ویدیویی دقیقاً همان حرکات را تکرار می‌کند. هکرها با استفاده از ابزارهای تغییر صدا (Voice Cloning)، حتی تن صدای مدیر را هم بازسازی کردند.

۳. روانشناسی حمله: چرا کارمند قربانی فریب خورد؟

تکنولوژی تنها نیمی از معادله بود؛ نیم دیگر “مهندسی اجتماعی” (Social Engineering) بود. هکرها سناریویی چیده بودند که قربانی هیچ راه فراری نداشت.

اولین عامل، “فشار جمع” بود. کارمند تنها فرد واقعی در آن جلسه بود. وقتی شما می‌بینید ۵ یا ۶ نفر از همکاران ارشدتان در جلسه حضور دارند و همه یک موضوع را تایید می‌کنند، مغز شما به صورت ناخودآگاه تمایل به همراهی با جمع دارد. هکرها عمداً چندین کاراکتر جعلی ساختند تا حس “اعتبار گروهی” ایجاد کنند.

دومین عامل، “فوریت و محرمانگی” بود. مدیر جعلی تاکید می‌کرد که این معامله بسیار حساس است و باید قبل از پایان وقت اداری انجام شود. ایجاد حس اضطراب و عجله، مکانیزم تفکر انتقادی مغز را خاموش می‌کند و قربانی را به سمت اطاعت کورکورانه سوق می‌دهد.

۴. پایان عصر اعتماد به تماس‌های تصویری

تا پیش از این، تماس تصویری (Video Call) به عنوان “استاندارد طلایی” احراز هویت شناخته می‌شد. مدیران می‌گفتند: “اگر شک داری، با من تماس تصویری بگیر تا مطمئن شوی.” اما پرونده هنگ‌کنگ نشان داد که این استاندارد دیگر معتبر نیست.

اکنون سازمان‌ها با چالش بزرگی به نام “بحران اعتماد دیجیتال” روبرو هستند. وقتی نمی‌توانید به چشم و گوش خود اعتماد کنید، چگونه می‌توانید تجارت کنید؟ این موضوع به ویژه برای شرکت‌هایی که سیاست دورکاری دارند یا تیم‌های بین‌المللی دارند، بسیار خطرناک است.

۵. دیپ‌فیک سازمانی چیست و چه خطراتی دارد؟

دیپ‌فیک سازمانی (Corporate Deepfake) نسل جدیدی از تهدیدات است که مستقیماً فرآیندهای تجاری را هدف می‌گیرد. برخلاف دیپ‌فیک‌های عمومی که معمولاً افراد مشهور را هدف قرار می‌دهند، در اینجا هدف “افراد کلیدی سازمان” هستند. این افراد شامل مدیرعامل (CEO)، مدیر مالی (CFO) و مدیران فنی هستند که دسترسی‌های سطح بالا دارند.

خطر اصلی اینجاست که ابزارهای ساخت دیپ‌فیک روز‌به‌روز ارزان‌تر و در دسترس‌تر می‌شوند. اگر تا دیروز فقط گروه‌های هکری دولتی توانایی اجرای چنین حملاتی را داشتند، امروز یک تیم کوچک با دانش فنی متوسط و دسترسی به سخت‌افزار مناسب، می‌تواند چنین سناریویی را پیاده‌سازی کند.

۶. راهکار عملیاتی آلفاتک برای مدیران و سازمان‌ها

ما در آلفاتک معتقدیم که ترسیدن راه حل نیست؛ باید استراتژی دفاعی خود را تغییر دهید. برای مقابله با حملات دیپ‌فیک، سازمان شما باید پروتکل‌های امنیتی زیر را همین امروز اجرا کند:

۲. تعیین “کلمه رمز” برای شرایط اضطراری:
مدیران ارشد باید با تیم‌های مالی خود یک “کلمه عبور صوتی” یا یک سوال امنیتی خاص داشته باشند. مثلاً در شرایطی که درخواست انتقال وجه سنگین وجود دارد، کارمند باید بپرسد: “اسم پروژه سال ۹۸ چه بود؟” هوش مصنوعی هنوز نمی‌تواند به سوالاتی که نیاز به دانش زمینه‌ای و غیرعمومی دارند، بلادرنگ پاسخ دهد.

۳. آموزش شکاکیت سالم به کارمندان:
به پرسنل خود بیاموزید که در جلسات ویدیویی به دنبال نشانه‌های غیرطبیعی باشند. حرکات غیرطبیعی چشم، ناهماهنگی صدا و تصویر (Lip-sync error)، کیفیت پایین تصویر در اطراف موها یا گردن، و عدم پاسخگویی به سوالات پیچیده، همگی می‌توانند نشانه دیپ‌فیک باشند.

۴. بازنگری در فرآیندهای انتقال وجه:
هیچ فردی در سازمان نباید به تنهایی اجازه انتقال مبالغ کلان را داشته باشد. سیستم‌های تایید چندمرحله‌ای (Multi-signature) را فعال کنید تا حتی اگر یک نفر فریب خورد، نفر دوم یا سوم بتواند تراکنش را متوقف کند.

دنیای تکنولوژی با سرعتی باورنکردنی در حال تغییر است و متاسفانه، ابزارهای کلاهبرداری هم همگام با آن پیشرفت می‌کنند. سازمان‌های ایرانی باید بدانند که فاصله آن‌ها با این نوع حملات، تنها یک کلیک است.