لم يعد التصيد الإلكتروني محصوراً في رسالة بريد مشبوهة تحمل أخطاء لغوية أو رابطاً غير مألوف. فالهجمات تنتقل اليوم إلى التقويمات الرقمية ومنصات الاجتماعات والمحادثات الداخلية، مستفيدة من أدوات يستخدمها الموظفون يومياً ويمنحونها قدراً أكبر من الثقة.
وحسب أحدث تقرير لاتجاهات التصيد الصادر عن «نو بي فور»، تضمنت 86 في المائة من الهجمات التي رُصدت خلال الأشهر الستة الماضية مستوى من المساعدة بالذكاء الاصطناعي.
وفي الفترة نفسها، ارتفعت هجمات التصيد المعتمدة على دعوات التقويم بنسبة 49 في المائة، مع استغلال أدوات مثل «مايكروسوفت تيمز» و«زوم» و«غوغل كالندر».
في لقاء خاص مع «الشرق الأوسط»، يقول مارتن كريمر، استشاري أمن المعلومات في شركة «نو بي فور»، إن تعريف الهجوم المدعوم بالذكاء الاصطناعي يشمل نطاقاً واسعاً من الأتمتة، بما في ذلك التعلم الآلي وتقنيات الذكاء الاصطناعي المختلفة، وإن تصنيف الحالات يعتمد أيضاً على تقييم خبراء التهديدات وخبرتهم في تتبع أنماط الهجوم.

التخصيص على نطاق واسع
لا تقتصر فائدة الذكاء الاصطناعي للمهاجمين على تحسين لغة الرسالة أو إزالة الأخطاء الإملائية. فهو يسمح لهم بجمع كميات كبيرة من البيانات المفتوحة وتحويلها رسائل مخصصة لعدد كبير من الأشخاص في وقت قصير. ويوضح كريمر أن جعل الرسائل أكثر إقناعاً وتوسيع نطاق التخصيص «أمران يمثلان في الواقع الشيء نفسه»؛ لأن الذكاء الاصطناعي يستطيع الاعتماد على مجموعات ضخمة من البيانات لبناء حملات تستهدف أشخاصاً محددين، مع الاحتفاظ بالقدرة على تنفيذها على نطاق واسع.
ويمتد استخدام الذكاء الاصطناعي إلى مراحل متعددة من الهجوم، حيث قد يُستخدم في جمع المعلومات من المصادر المفتوحة وتحديد الأهداف واختيار التكتيكات وكتابة رسائل التصيد وإدارة التفاعل مع الضحية، واختيار البرمجيات أو الروابط الخبيثة المناسبة، ثم إيصالها.
ويشير كريمر إلى أن الفجوات المتبقية في سلسلة الهجوم تضيق تدريجياً، مضيفاً أنه «ليس من المستبعد أن يصبح الذكاء الاصطناعي قادراً على إدارة دورة الهجوم كاملة»، بما يشمل البنية التحتية التقنية وصفحات الهبوط وأساليب التهرب الديناميكية من أنظمة الحماية.
اختفاء العلامات التقليدية
اعتمد كثير من برامج التوعية لسنوات على مجموعة ثابتة من العلامات التحذيرية، مثل الأخطاء النحوية واللغة الركيكة والتنسيق غير المهني أو الشعارات غير المتناسقة. لكن هذه المؤشرات تفقد قيمتها مع قدرة الأدوات التوليدية على إنتاج رسائل سليمة لغوياً ومصممة بصورة احترافية، ويمكنها تقليد أسلوب الشركات والموظفين والمديرين.
يعدّ كريمر أن العلامات التقليدية مثل «سوء القواعد، وضعف اللغة، وغياب التنسيق المهني لم تعد قابلة للاعتماد»؛ لأن الرسائل المصاغة بدقة والمقدمة بصورة جذابة يمكن توليدها بسهولة بواسطة الذكاء الاصطناعي. ويبرز انتحال الهوية بصفته أحد المخاطر المتصاعدة. فالمهاجم لا يحتاج دائماً إلى إنشاء قصة غريبة أو طلب غير معتاد، بل قد ينسخ أسلوب مدير أو زميل أو موظف في قسم الدعم، ويضع الرسالة في سياق يبدو مألوفاً للضحية.

التقويم كقناة مؤجلة للهجوم
يستفيد التصيد عبر التقويم من ثقة مختلفة عن الثقة الممنوحة للبريد الإلكتروني. فالمستخدم اعتاد النظر إلى التقويم بصفته سجلاً دقيقاً للاجتماعات والمواعيد، لا قناة يمكن أن تحمل تهديداً.
ويفسر كريمر أن هذه الثقة ترجع إلى فترة كان فيها المستخدم يضيف المواعيد يدوياً ويتحكم مباشرة فيما يظهر أمامه. لكن الواقع تغير مع إنشاء الأحداث تلقائياً واستخدام أنظمة الذكاء الاصطناعي لإدارة الجداول.
ويضيف أن العامل الثاني هو التأخير بين وصول التهديد ولحظة ظهوره أمام المستخدم. فقد تصل الدعوة عبر البريد، ثم تتحول تلقائياً حدثاً داخل التقويم ولا تصبح ذات صلة إلا بعد ساعات أو أيام.
وبذلك يبتعد المستخدم عن «سياق التنبيه» الذي يرافق فتح البريد الإلكتروني، حيث يكون أكثر استعداداً للبحث عن رابط مشبوه أو مرسل مجهول. وعندما يظهر الحدث لاحقاً في جدول يوم مزدحم، قد يتعامل معه بصفته موعداً مشروعاً ويضغط الرابط الموجود داخله من دون العودة إلى مصدره.
وتزيد بعض برامج البريد والتقويم من هذا الخطر عبر إضافة الأحداث تلقائياً. كما قد تستخدم المؤسسات أدوات مساعدة تعتمد على الذكاء الاصطناعي لإدارة الجداول؛ ما يسمح بإضافة الدعوات من دون تدخل يدوي واضح من الموظف.

منصات التعاون تجذب المهاجمين
انتقل جزء كبير من اتصالات العمل من البريد الإلكتروني إلى منصات المحادثة والاجتماعات؛ وهو ما يجعلها هدفاً طبيعياً للمهاجمين. ويفيد كريمر بأن زيادة حجم الحركة على هذه المنصات تعني أن الموظفين قد يكونون أكثر عرضة للتشتت أو الضغط أثناء استخدامها. كما أن المحادثة الخبيثة داخل تطبيق رسائل قد تتكون من رسائل قصيرة متعددة، بدلاً من طلب واحد واضح كما يحدث غالباً في البريد الإلكتروني.
وتتمتع قنوات المحادثة أيضاً بدرجة أعلى من الثقة. ويشير كريمر إلى أن الموظفين تلقوا تدريباً متكرراً على الحذر في البريد «لكنهم لم يتلقوا التدريب نفسه على الرسائل».
وتستفيد الهجمات من خصائص صُممت أساساً لتسهيل التعاون، حيث أتاحت بعض المنصات التواصل مع أشخاص من مؤسسات خارجية بصورة افتراضية. ومن وجهة نظر المستخدم هي ميزة مفيدة، لكن المهاجم قد يراها مدخلاً إلى الموظف من داخل بيئة تبدو مهنية وموثوقة.
هجوم واحد عبر قنوات متعددة
لا تعمل القنوات الجديدة بصورة منفصلة دائماً، فقد يبدأ الهجوم برسالة بريد، ثم ينتقل إلى التقويم، ويتبعه تواصل عبر منصة داخلية أو مكالمة هاتفية. ويصرح كريمر بأن الهجمات متعددة القنوات تتزايد لأنها فعالة في كسر تركيز الموظف. فكل انتقال من قناة إلى أخرى يقلل فرصة توقفه للتفكير في نية المرسل.
وقد يتلقى الموظف رسالة تدعي وجود مشكلة عاجلة، ثم تظهر دعوة اجتماع في تقويمه، وبعدها تصل رسالة عبر منصة العمل تؤكد الطلب. ويمنح هذا التسلسل أجزاء الحملة دعماً متبادلاً، حتى لو لم يكن أي منها مقنعاً بالدرجة نفسها عند فحصه منفرداً. ويلفت كريمر إلى أن نية المرسل هي ما يجب أن يركز عليه الموظف، لكن هذه النية «تتلاشى مع كل عملية تشتيت»، ما لم يكن الانتقال بين القنوات نفسه علامة تعلم الموظف أن يتعامل معها بحذر.

تسجيل الدخول بدلاً من الاختراق
يعتمد انتحال الموظفين والمديرين على معلومات دقيقة عن المؤسسة وعلاقات العمل داخلها. وقد يحصل المهاجمون على هذه البيانات بعد شراء بيانات دخول مسروقة في الأسواق غير المشروعة.
يرى كريمر أن المهاجمين «يسجلون الدخول بصورة متزايدة بدلاً من اقتحام الأنظمة». وبعد الدخول، يمكنهم قراءة الملفات والرسائل وقواعد البيانات، ورسم خريطة للأقسام والأدوار والعلاقات الداخلية. لكن الوصول الكامل ليس ضرورياً دائماً. فقد تكفي الشبكات المهنية ومواقع الشركات والبيانات المسربة والمعلومات المتاحة على الإنترنت لتحديد أسماء الموظفين ومسؤولياتهم. وقد يجمع المهاجم، على سبيل المثال، أسماء أعضاء فريق الدعم الفني، ثم ينتحل هوية أحدهم عند التواصل مع موظف آخر، ويطلب منه تنفيذ خطوة تمنح المهاجم مدخلاً إلى الشبكة.
الإرهاق يضعف الحكم
يصعب قياس أثر ضغط العمل وكثرة الإشعارات بدقة، لكن كريمر يؤكد أنه «من المستحيل إنكار» دورهما في زيادة قابلية الموظف للاستجابة لهجوم تصيد.
وتشير الأبحاث، حسب حديثه، إلى أن التشتت والإرهاق من العوامل التي ترفع احتمال الوقوع في الخطأ. وتصبح المشكلة أكثر وضوحاً في بيئات العمل الهجين، حيث قد يعمل الموظف من المنزل وسط مقاطعات إضافية وتركيز أقل استقراراً. وتعتمد الهجمات الحديثة على هذه اللحظات. فدعوة اجتماع عاجلة أو رسالة قصيرة تبدو صادرة عن مدير قد تصل أثناء انتقال الموظف بين مهام متعددة، فيستجيب لها قبل أن يفحص مصدرها أو هدفها.

تدريب يتجاوز البريد
لا يعني صعود التقويمات ومنصات المحادثة أن المؤسسات تبالغ بالضرورة في حماية البريد. فالبريد الإلكتروني يظل، وفق كريمر، قناة الهجوم الأولى، لكن المنصات الأخرى تزداد أهمية.
وتتمثل المشكلة في أن التدريب المصمم للبريد لا ينتقل تلقائياً إلى القنوات الأخرى. فالتركيز على عنوان المرسل أو الأخطاء اللغوية أو شكل الرابط لا يساعد كثيراً عندما يظهر الطلب داخل تقويم أو محادثة داخلية. وينوّه كريمر بأن التدريب المطلوب يجب أن يكون محايداً تجاه القناة، وأن يركز على الإجراءات والتفكير النقدي والحكم البشري. ومع اختفاء الأخطاء الواضحة، ينبغي للتوعية أن تدرب الموظفين على البقاء هادئين تحت الضغط، وتجنب الاختصارات الذهنية التي تستغلها أساليب الهندسة الاجتماعية، وفهم أنماط مثل الهجمات متعددة القنوات.
كما ينبغي تقديم المحتوى المناسب للشخص المناسب في الوقت المناسب، لتقليل إرهاق التدريب وزيادة ارتباطه بالعمل الفعلي. ويقول كريمر إن البرامج الفعالة تستخدم لغة وصوتاً موحدين لبناء ارتباط الموظف بالمؤسسة وتعزيز ثقافة الأمن.
التدريب عند لحظة الخطر
لا يكفي إكمال دورة توعية مرة كل شهر من دون ممارسة أو تذكير. فالمعلومات قد تُنسى ولا تنشط عندما تصل الرسالة الحقيقية. ويدعو كريمر إلى ضرورة امتداد التوعية من الوقاية العامة إلى «التفعيل عند نقطة الخطر»، بحيث تتاح للموظف فرصة تطبيق المعرفة واتخاذ الإجراء الصحيح في ظروف قريبة من الواقع. وقد يشمل ذلك محاكاة هجمات تصل عبر البريد والتقويم والمحادثات، أو تذكيرات تظهر عند تنفيذ إجراء عالي الخطورة، أو إجراءات واضحة للتحقق من الطلبات الحساسة عبر قناة منفصلة.
دفاع جماعي
لا توجد طبقة واحدة تستطيع وقف جميع الهجمات. فمرشح البريد يقلل التعرض، لكنه لن يمنع كل رسالة، والموظف يستطيع اكتشاف السلوك المشبوه، لكنه قد يخطئ، والسياسات تفرض التحقق، لكنها لا تغطي جميع السيناريوهات. ويقول كريمر إن «التدريب وحده أو السياسة وحدها أو التقنية وحدها ليست كافية»، وإن المخاطر العالية تحتاج إلى تطبيق المجموعات الثلاث معاً.
وتبدأ الحماية برفع وعي الموظفين بالهجمات وشرح صلتها بأدوارهم، ثم منحهم فرصاً متكررة للممارسة. وفي الوقت نفسه، تحتاج المؤسسات إلى ضوابط تقنية تقلل وصول التهديدات، وإجراءات عمل تمنع تنفيذ الطلبات الحساسة من دون تحقق مستقل. وتصبح الحاجة إلى هذا التكامل أكثر إلحاحاً مع توسع الذكاء الاصطناعي في سلسلة الهجوم. فالتحدي لم يعد اكتشاف رسالة سيئة الصياغة، بل تقييم طلب يبدو مهنياً ويصل عبر أداة موثوقة وفي لحظة يكون فيها الموظف مشغولاً.





