مؤخّراً وقع أحد البنوك في "هونغ كونغ" ضحية لعملية احتيال استُعمِلَتْ فيها تقنيات انتحال الشخصية. وجرى خداع أحد موظفي البنك لتحويل 25.6 مليون دولار إلى لصوص. وقد تلقى الموظف مكالمة فيديو مع المدير المالي للبنك وزملاء آخرين، لكن لم يكن أي منهم أشخاصًا حقيقيين بل كانوا جميعًا عبارة عن صور مولَّدَة بتقنية التزييف العميق Deep Fake بمساعدة الذكاء الاصطناعي التوليدي.
ربما سمعت عن الذكاء الاصطناعي التوليدي، وعرفت أن هذه التقنيات جلبت معها مخاوف جديدة بشأن الخصوصية، وسرقة الهوية، والمعلومات المضللة. يُطلق على أحد الأشكال الخبيثة من عمليات الاحتيال بواسطة الذكاء الاصطناعي اسم تقنية "التزييف العميق" Deep Fake.
وككل تقدم في مجال الأمن السيبراني فإن الأشرار وقراصنة الانترنت ليسوا متخلفين كثيراً عن مسار التطور التكنولوجي. ولنتذكر أن معظم الأشياء باتت عرضة لإمكانية صنع عينات رقمية منها والعمل على تزييفه باتقان عميق. واستُخدم الذكاء التوليدي في عمليات التزييف العميق للصور والفيديو والصوت، إضافة إلى تزييف النصوص عبر تقليد أسلوب الكاتب وغيرها.
واستطراداً، أدت حادثة سرقة بنك بواسطة التزييف العميق للأشخاص في مكالمات الفيديو، إلى تجدد المخاوف بشأن التهديدات التي تشكلها تقنية التزييف العميق. ويرجع ذلك إلى قدرتها على مخادعة أنظمة المصادقة البيومترية المستخدمة في مكالمات الفيديو للتحقق من هويات المتصلين، وبالتالي، خداع البشر وارتكاب عمليات الاحتيال والقرصنة.
وتتضمن هجمات التزييف العميق على أنظمة المصادقة نوعين يُعرفان باسم هجمات العرض التقديمي وهجمات الحقن. تتضمن الأولى تقديم صورة أو عرض تقديمي أو مقطع فيديو مزيف، إلى كاميرا أو جهاز استشعار بهدف تخطّي نظام المصادقة.
وتشمل تفاصيل هجمات العرض التقديمي، تزييف المطبوعات والصور الثنائية الأبعاد والأقنعة الورقية والصور الشخصية التي تُعرِّف عن صاحب الهاتف الذكي، وإعادة تشغيل مقطع فيديو للمستخدم الشرعي، وتبديل الوجه، ومزامنة الشفاه، واستنساخ الصوت وغيرها.
واستكمالاً، تُنفَّذ هجمات الحقن عبر استغلال المهاجمين لثغرة أمنية واستعمالها في إدخال تعليمات برمجية أو أوامر ضارة في نظام تشغيل أو تطبيق رقمي، إضافة إلى التلاعب بتدفق البيانات أو التحكم بالاتصال بين نظام المصادقة من جهة، وبين أجهزة رقمية مثل كاميرا المراقبة أو الماسح الضوئي أو أجهزة التعرف على البصمات وغيرها.
وفي لقاء مع "النهار العربي" يشرح كريستوف الزغبي المُؤسس والرئيس التنفيذي لشركة "ذكاء التكنولوجية" "Zaka"، أفضل الممارسات في التصدي للتزييف العميق. ووفق الزغبي،" من الضروري اتباع نهج متعدد الطبقات لمكافحة التزييف العميق بما في ذلك عمليات التحقق من الحيوية الإيجابية والسلبية". وتتطلب الأولى من المستخدم إجراء عمليات التحقق باستخدام تعبيرات عشوائية، فيما تعمل الثانية من دون مشاركة المستخدم المباشرة مما يضمن التحقق القوي من التزييف العميق.
ويكمل الزعبي: "هناك حاجة إلى وظائف الكاميرا التي تقدم صوراً بالأبعاد أو الأعماق الحقيقية، لمنع هجمات العرض التقديمي والحماية من التلاعب بالأجهزة المستخدمة في هجمات الحقن".
وبحسب الزعبي أيضاً، يجب على المؤسسات التفكير في الممارسات التالية للحماية من التزييف العميق.
خوارزميات مكافحة الانتحال
تستطيع الخوارزميات التمييز بين البيانات البيومترية الحقيقية والمزيفة، وأن تكتشف المنتجات المزيفة، وبالتالي، تتمكن من حماية نظام المصادقة على الهوية. وكذلك يمكنها تحليل عوامل مثل الملمس ودرجة الحرارة واللون والحركة وحقن البيانات، بهدف تحديد صحة العلامة البيومترية.
وتذكيراً، شهد استخدام العلامات البيومترية في التحقق من الهويات والوصول إلى الأنظمة الرقمية، زيادة هائلة في العقد الماضي ومن المتوقع أن ينمو بنسبة تزيد على 20% سنوياً حتى عام 2030.
تشفير البيانات
التأكد من تشفير البيانات البيومترية أثناء النقل والتخزين لمنع الوصول إليها من أطراف غير مصرح لها بذلك. ويمكن أن تؤدي ضوابط الوصول الصارمة وبروتوكولات التشفير إلى تجنب هجمات الحقن.
المصادقة التكيفية
استخدم إشارات إضافية للتحقق من هوية المستخدم بناءً على عوامل على غرار الشبكات والأجهزة والتطبيقات والسياق، لتقديم طرق المصادقة أو إعادة المصادقة بشكل مناسب.
الدفاع متعدد الطبقات
قد يؤدي الاعتماد على التحليل الثابت أو المتدفق لمقاطع الفيديو أو الصور للتحقق من هوية المستخدم، إلى لجوء جهات فاعلة سيئة للتحايل عليها. ومن خلال زيادة المعاملات العالية المخاطر (مثل التحويلات المصرفية النقدية) باستخدام بيانات اعتماد جرى التحقق منها وموقعة رقميًا، يمكن حماية العمليات الحساسة بهوية رقمية قابلة لإعادة الاستخدام. ومن خلال هذا النهج نفسه، يمكن استكمال مكالمات الفيديو بعلامة اختيار خضراء قد تنص على أن "التحقق من هذا الشخص جرى بشكل مستقل".
وللتصدي بشكل فعال للتهديدات المعقدة التي تشكلها تقنيات التزييف العميق، يجب على المؤسسات تعزيز أنظمة الوصول إلى بياناتها وآليات إدارة الهوية فيها، عبر اعتماد أحدث التطورات في تقنيات الكشف والتشفير. ويؤدي هذا النهج الاستباقي إلى تعزيز أمن الأنظمة البيومترية، مع تدعيم المرونة الشاملة للبنى التحتية الرقمية ضد التهديدات السيبرانية الناشئة. وسيكون تحديد أولويات هذه الاستراتيجيات أمرًا ضروريًا في الحماية من سرقة الهوية وضمان موثوقية المصادقة البيومترية على المدى الطويل.