احتيال Zoom بالديب فيك لانتحال المدير التنفيذي في 2026: نمط Arup بـ 25 مليون دولار وكيف تُوقفه

الجمعة التي أرسل فيها دانيال الحوالة

يعمل دانيال في شركة هندسة معمارية متوسطة الحجم في شيكاغو، نحو 180 موظفاً موزّعين على ثلاثة مكاتب. عملاء القطاع العام في الغالب، وبعض العملاء التجاريين. عمره أربعة وثلاثون عاماً، وهو في الشركة منذ ست سنوات، ويتولى العمليات والشؤون المالية يومياً. يرفع تقاريره إلى ماريا، المديرة المالية. وماريا ترفع تقاريرها إلى كريم، الرئيس التنفيذي. سلسلة القيادة قصيرة وغير رسمية. الناس يتراسلون نصياً. الناس يتنادون على Slack. الناس يدخلون مكاتب بعضهم بعضاً. هذه ثقافة الشركة كاملةً.

في يوم جمعة من أواخر فبراير، عند الساعة 2:54 بعد الظهر بتوقيت وسط الولايات المتحدة، يصدر هاتف دانيال صفير Slack. الرسالة من ماريا. تقول: "مكالمة Zoom سريعة بخصوص تحويل بنكي لصفقة الاستحواذ في سنغافورة. ادخل الآن. كريم على المكالمة بالفعل. لازم نقفل قبل نهاية الدوام." يوجد رابط Zoom أسفل الرسالة. الرابط يبدأ بـ zoom.us/j/82547 ثم سلسلة طويلة من الأرقام. لم يتأمّل دانيال البادئة. الرسالة جاءت من حساب ماريا على Slack، بصورتها الشخصية، وبأسلوبها المختصر المعتاد ("ادخل الآن" بلا نقطة، تماماً كما تكتب دائماً).

ضغط دانيال على الرابط. فُتح Zoom. مربّعا فيديو. وجه ماريا، أعلى اليمين. وجه كريم، أعلى اليسار. كلاهما يُومئ برفق. يخرج صوت ماريا من السماعات، مضغوطاً قليلاً، ومكتوماً قليلاً، بالطريقة التي يبدو بها صوت Zoom دائماً. "أهلاً دانيال، شكراً لانضمامك. أمر سريع. الشركة الهندسية في سنغافورة التي كنا نتحدث عنها، الاستحواذ الصغير، حسم المحامون شأن الضمان عصر اليوم، والبائع يريد الدفعة قبل نهاية الدوام وإلا انسحب. كريم، تريد أن تضيف شيئاً؟"

يلتفت وجه كريم في المربع المقابل قليلاً. يفتح فمه ويصلنا الصوت. "نعم يا دانيال، هذا أمر مرتبط بالوقت. أعرف أنه غير اعتيادي، لكننا ناقشناه داخلياً منذ شهرين، ومجلس الإدارة وافق الأسبوع الماضي. ابعث الحوالة اليوم. خمسمئة وثمانون ألف دولار إلى وكيل الضمان. ماريا معها تعليمات التحويل، ستضعها في دردشة Zoom."

قال دانيال: "حسناً، لا مشكلة." أنجز عشرات الحوالات بإيعاز من ماريا من قبل. المبلغ غير معتاد، لكنه ليس خارج نطاق أعمال الشركة. لصقت ماريا تعليمات التحويل في الدردشة. اسم المستفيد. رمز SWIFT. رقم الحساب. بنك في سنغافورة. التقط دانيال لقطة شاشة للدردشة لسجلاته الخاصة، وقال: "تمام، أرسل الآن". وانتهى الاجتماع بعد نحو أربع دقائق فقط.

توجّه دانيال إلى مكتبه. دخل بوابة الشركة المصرفية. ملأ بيانات المستفيد. كتب 580,000.00 دولار. تجاوز خطوة التحقق الثنائي عبر SMS (الشركة تشترط ذلك لأي تحويل يتجاوز خمسين ألف دولار). خرجت الحوالة عند 3:11 بعد الظهر بتوقيت الوسط. وصل رقم التأكيد إلى بريده الإلكتروني. أعاد توجيهه إلى ماريا على Slack مع رمز إعجاب. ردّت بقلب. أغلق حاسوبه عند 5:30 وعاد إلى البيت في عطلة نهاية الأسبوع.

صباح الإثنين عند 9:08، مرّت ماريا الحقيقية بمكتب دانيال في طريقها إلى ماكينة القهوة. أطلّت برأسها. "أهلاً، كيف كانت العطلة؟ هل خرج شيء يوم الجمعة يجب أن أعلم به؟" قال دانيال: "نعم، حوالة سنغافورة، كل شيء تمام، التأكيد وصل إلى بريدك." حدث شيء صغير في وجه ماريا. أمالت رأسها. "حوالة سنغافورة؟" قال دانيال: "صفقة الاستحواذ. الدفعة. أنتِ وكريم كنتما على Zoom يوم الجمعة بعد الظهر." قالت ماريا: "أي Zoom؟"

شعر دانيال بأن الأرض تميل تحته. فتح Slack. عاد إلى رسالة الجمعة 2:54 بعد الظهر. الرسالة لا تزال هناك. رابط Zoom لا يزال هناك. ضغطه. ينتقل الرابط الآن إلى صفحة 404، الاجتماع اختفى، والغرفة لم توجد أصلاً في مساحة Zoom المرخّصة للشركة. تصفّح رسائل ماريا الفعلية المُرسَلة على Slack. رسالة 2:54 ليست في سجل رسائلها. تظهر فقط في عرض دانيال للمحادثة، أُرسلت من جلسة لا يستطيع تحديدها الآن.

دخل كريم بعد دقيقتين لأن ماريا استدعته بسرعة. وقف الثلاثة في مكتب دانيال عند 9:14 صباح الإثنين يحاولون استرجاع ما حدث. قال كريم: "كنت على متن طائرة يوم الجمعة عند الثالثة، بلا إنترنت، قطعاً لم أكن على أي Zoom." فتحت ماريا لوحة إدارة Slack. هناك جلسة من بعد ظهر الجمعة، مسجَّلة الدخول من عنوان IP لا تعرفه. أمن Slack رصد ذلك وأرسل لها بريداً تحذيرياً، لكن البريد ذهب إلى تبويب العروض بسبب طريقة تنسيقه. ولم تره.

وصل مدير تقنية المعلومات في الشركة. بدأ يسحب السجلات. حساب Slack اختُرق يوم الثلاثاء السابق، أي قبل ستة أيام، عبر ما يبدو أنه رسالة تصيد بصلاحيات OAuth ضغطت عليها ماريا (طلب وهمي بعنوان "تأكيد ترحيل مساحة العمل في Slack"). كان المهاجم يقرأ بصمت محادثات Slack طوال ستة أيام، يتعلم نبرة الشركة، وأشخاص دائرة ثقة دانيال، وتوقيت إرسال الحوالات في الأسبوع، وطريقة كتابة ماريا، والمشاريع التي يذكرها كريم. وبحلول الجمعة، كان لدى المهاجم كل ما يحتاج لإخراج مكالمة فيديو مدتها أربع دقائق مع وجهين اصطناعيين يومئان بالموافقة على ملخّص الصفقة.

مكالمة Zoom يوم الجمعة استُضيفت على zoom-meet.us/j/82547 لا على zoom.us/j/82547. دماغ دانيال طابق الأحرف الأربعة الأولى وتوقّف عن النظر. فيديو الديب فيك لماريا وكريم أُنشئ من مقاطع فيديو متاحة للجمهور. كانت ماريا قد ألقت كلمة مدتها 12 دقيقة في مؤتمر مهني قبل ستة أشهر، على YouTube، بلقطات بالغة الوضوح لوجهها من ثلاث زوايا. وكان لكريم محاضرة TEDx قبل عامين. ولكليهما فيديوهات على LinkedIn. هذا كله أعطى المهاجم مادة مصدرية أكثر من كافية لتشغيل نموذج استبدال وجه آني. أما الأصوات، فقد استُنسخت من فيديوهات YouTube ذاتها خلال أقل من تسعين ثانية لكلٍّ منهما.

كان مبلغ 580 ألف دولار قد هبط في بنك مراسل في سنغافورة عند 3:12 بعد ظهر الجمعة بتوقيت الوسط، ثم حُوّل إلى بنك ثانٍ في ولاية قضائية أخرى بحلول 4:30 من المساء نفسه، ثم جُزِّئ إلى تسع تحويلات أصغر عبر ثماني ولايات قضائية إضافية خلال عطلة نهاية الأسبوع. حاول بنك الشركة استرجاع الحوالة صباح الإثنين. قال البنك الأول في سنغافورة إن الأموال قد تحرّكت. وسرعان ما تحوّل الموقف إلى "إبلاغ جهات إنفاذ القانون، تقديم مطالبة التأمين، إخبار مجلس الإدارة".

اجتماع المجلس كان يوم الأربعاء. الشريك في المجلس الذي كان يضغط على الشركة منذ عام لإقرار قاعدة معاودة اتصال إلزامية على الحوالات نظر إلى كريم وقال: "تحدثنا عن هذا في أبريل."

كيف يعمل هجوم Zoom بالديب فيك فعلياً

قضية Arup، ومحاولة WPP، وسيناريو دانيال المركّب، كلها تتبع السلسلة ذاتها بخطواتها الخمس. الميكانيكيا صارت معرفة عامة الآن. والأرقام ليست نظرية.

• الخطوة 1، الموطئ عبر حساب عمل مشترك. يخترق المهاجم حساب Slack أو Microsoft Teams أو Google Workspace يخصّ موظفاً في الفريق المالي أو التنفيذي. الناقل المعتاد هو رسالة تصيد بصلاحيات OAuth تبدو طلب نقل روتيني لمساحة العمل أو طلب أذونات تطبيق. يضغط المستخدم على "تفويض"، فيصبح للمهاجم رمز تحديث يقرأ به كل الرسائل والقنوات التي يصل إليها الضحية. الاختراق قد يبقى دون كشف من أسبوع إلى ثلاثة أسابيع.
• الخطوة 2، الاستطلاع. يراقب المهاجم أنماط التواصل بصمت. من يوافق على الحوالات. اللغة التي يستخدمها المدير المالي. أي أوقات الأسبوع تخرج فيها الحوالات. أي الصفقات حقيقية، وأيها مجرد إشاعات، وأي موافقات لمجلس الإدارة قائمة. كذلك يسحب المهاجم لقطات فيديو متاحة للجمهور للمديرين التنفيذيين من YouTube وLinkedIn وتسجيلات المؤتمرات والمقابلات الصحفية. ستون ثانية من لقطة وجه نظيفة وتسعون ثانية من صوت نظيف تكفي لتدريب ديب فيك آنيّ.
• الخطوة 3، المحفّز العاجل. يرسل المهاجم، متخفياً باسم المديرة المالية من داخل حساب Slack أو Teams المخترَق، رسالة إلى موظف في الفريق المالي: "مكالمة فيديو سريعة بشأن تحويل سرّي. ادخل الآن." ويرفق رابط Zoom أو Teams. الرابط نطاق شبيه قريب جداً (zoom-meet.us، zoorn.us، teams-microsoft-365.com، meet-google.us) يستضيف غرفة فيديو حقيقية يتحكم فيها المهاجم. ورسالة Slack ذاتها قادمة من حساب داخلي حقيقي مُتحقَّق منه، وهذا يُسكت معظم الشكوك حول "هل هذا فعلاً المدير المالي".
• الخطوة 4، مكالمة الفيديو. ينضمّ الهدف. يظهر مربع فيديو أو أكثر يُصيّر وجوهاً اصطناعية للمديرة المالية والرئيس التنفيذي أو أعضاء المجلس. الوجوه تومئ وترمش وتنظر بعيداً عن الكاميرا، وتتحدث بأصوات مستنسخة تطابق الخصائص الصوتية الحقيقية للمديرين. المكالمة قصيرة، من ثلاث إلى سبع دقائق. السيناريو مُحكَم. تُلصق تعليمات التحويل في الدردشة. يُطلب من الهدف أن يؤكّد شفهياً ويمضي قُدماً.
• الخطوة 5، الحوالة والتحرك الجانبي. ينفّذ الهدف الحوالة من بوابة الشركة المصرفية. تهبط الأموال في بنك مراسل في هونغ كونغ أو سنغافورة أو الإمارات أو ولاية قضائية أخرى يسهل فيها التحرك السريع. خلال ساعتين إلى أربع ساعات، تتجزأ الأموال إلى حسابات مستفيدين متعددة في ولايات أخرى، ثم تُغسل عبر شركات وهمية تبدو شرعية. وبحلول صباح الإثنين، يكون الأثر قد برد.

السلسلة كلها تستغرق من المهاجم نحو ثلاثة أسابيع من الاستطلاع وأربع دقائق من تمثيل أمام الكاميرا. أما الهدف، فيمضي نحو إحدى عشرة دقيقة من رسالة "ادخل الآن" على Slack إلى تأكيد الحوالة. ولا يستطيع البنك استعادة الحوالة بعد القفزة الأولى بين الولايات. التأمين يغطي بعضها أحياناً. واجتماع المجلس يكون مؤلماً دائماً.

لماذا تخفق الدفاعات الصوتية وحدها في صدّ فيديو الديب فيك

حتى عام 2023، كانت النصيحة القياسية لمواجهة التصيد الصوتي أو انتحال شخصية المدير التنفيذي بسيطة: إن بدا الأمر عاجلاً عبر مكالمة هاتفية، اتصل مرة أخرى على رقم تعرفه. تلك النصيحة لا تزال تنفع مع الانتحال الصوتي وحده. لكن قضية Arup أظهرت أنه في اللحظة التي تضيف فيها مربع فيديو لوجه مألوف يُومئ، يتوقف الدماغ عن طرح سؤال "هل هذا فعلاً مديري المالي".

تقرير Pindrop للذكاء الصوتي للربع الرابع 2024 وجد أن هجمات الديب فيك الصوتية ضد البنوك ارتفعت نحو 350 بالمئة مقارنة بالعام السابق، وأن متوسط تكلفة الهجوم الصوتي الناجح الواحد على مؤسسة مالية كان نحو 600 ألف دولار في 2024. وأشارت Pindrop كذلك إلى أن الهجمات لم تعد صوتية في الغالب. الديب فيك بالفيديو على Zoom أو Teams هو الآن المتغير الأخطر، لأن إشارات الثقة البشرية (التواصل البصري، حركة الرأس، تعابير الوجه الدقيقة) تحمل وزناً أكبر بكثير من الصوت وحده.

توقّع مركز Deloitte للخدمات المالية في توقعاته لعام 2024 أن الاحتيال المدفوع بالديب فيك قد يدفع الخسائر في الولايات المتحدة وحدها إلى نحو 40 مليار دولار بحلول 2027، ارتفاعاً من نحو 12 مليار دولار في 2023، بمعدل نمو سنوي مركّب يتجاوز 30 بالمئة. كما رصد تقرير اتجاهات مركز موارد سرقة الهوية لعام 2024 احتيال الهوية الاصطناعية (وهو وثيق الصلة بالاحتيال الذي يمكّنه الديب فيك) بوصفه إحدى أسرع الفئات نمواً خلال العام.

الدماغ يثق بالوجوه. هذه هي نقطة الضعف بكاملها. مربع فيديو بوجه مألوف يومئ يُعامَل بوصفه مصادقة، حتى حين لا تكون أي مصادقة قد جرت فعلاً.

للاطلاع على نظير هذا الهجوم القائم على الصوت وحده، راجع تغطيتنا عن احتيال الاعتقال المزيف بالاستنساخ الصوتي ومقال التصيد الصوتي باستنساخ الذكاء الاصطناعي للنسخة الاستهلاكية من التقنية ذاتها التي تُستخدم هنا على مستوى تنفيذي.

قضية Arup في هونغ كونغ وما تعلّمناه منها

في فبراير 2024، خسرت شركة Arup، شركة الهندسة البريطانية العالمية الأشهر بمشروعَي دار أوبرا سيدني والمركز المائي لأولمبياد بكين، ما يعادل نحو 25 مليون دولار (200 مليون دولار هونغ كونغي) من مكتبها في هونغ كونغ بسبب هجوم بمؤتمر فيديو من الديب فيك. القصة، التي نشرتها أولاً صحيفة South China Morning Post في فبراير 2024 ثم أكّدها لاحقاً متحدث باسم Arup لعدة منابر منها Financial Times وCNN، جرت كما يلي.

تلقّى موظف مالي في Arup مقرّه هونغ كونغ بريداً إلكترونياً يدّعي أنه من المدير المالي للشركة المقيم في المملكة المتحدة، ويطلب صفقة سرية. كان الموظف في البداية مرتاباً، ووضع البريد على أنه محاولة تصيد محتملة. ثم دعا المديرُ المالي المزعوم الموظفَ إلى مكالمة فيديو. وعلى المكالمة، رأى الموظف وسمع ما بدا أنه المدير المالي وعدد من كبار موظفي Arup، جميعهم أمام الكاميرا، جميعهم يتحدثون بأصواتهم المألوفة.

مضى الموظف بإجراء 15 معاملة عبر حسابات مصرفية متعددة في هونغ كونغ، بمجموع نحو 200 مليون دولار هونغ كونغي (حوالي 25 مليون دولار أمريكي حينها). وحين راجع الموظف المكتب الرئيسي لاحقاً، أكّدت Arup أنه لم يجرِ التصريح بأي من تلك المعاملات. كل "شخص" على مكالمة الفيديو غير الموظف نفسه كان نسخة ديب فيك.

أكّدت شرطة هونغ كونغ لاحقاً في إفادة صحفية أن هذه واحدة من أكبر قضايا الاحتيال المالي القائم على الديب فيك التي حقّقت فيها على الإطلاق. وشملت الاعتقالات التي تلت في هونغ كونغ عدداً قليلاً من بغال المال، أما المشغّلون التقنيون خلف الديب فيك فلم يُحدَّدوا علناً.

قال متحدث Arup لاحقاً إن "الاستقرار المالي وعمليات الشركة لم تتأثر" بالخسارة، لكنه اعترف بالدرس الأوسع: "كحال كثير من الشركات حول العالم، تتعرض عملياتنا لهجمات منتظمة، تشمل احتيال الفواتير، وعمليات التصيد، وانتحال الصوت على WhatsApp، والديب فيك." هذه الكلمة الأخيرة، في بيان شركة، كانت سابقة هادئة.

محاولة الديب فيك ضد رئيس WPP التنفيذي في مايو 2024

بعد ثلاثة أشهر من خسارة Arup، صار مارك ريد، الرئيس التنفيذي لـ WPP، هدفاً لمحاولة ديب فيك جرى ضبطها قبل تحرك أي مبلغ. ذكرت صحيفتا The Guardian وFinancial Times في مايو 2024 أن المهاجمين استنسخوا صورة متاحة للجمهور لريد، وأنشؤوا حساب WhatsApp مزيفاً يستخدم تلك الصورة، ثم رتّبوا اجتماع Microsoft Teams بين ريد المزيف، ومدير تنفيذي آخر كبير في WPP، وشخص ثالث "قائد وكالة" هدفاً.

وعلى مكالمة Teams، شغّل المهاجمون مقطعاً من YouTube لصوت ريد، واستخدموا نافذة دردشة منفصلة لكتابة رسائل تنتحل شخصيته. السيناريو حاول استدراج تفاصيل شخصية ومال من المدير التنفيذي المستهدف على خلفية مشروع تجاري وهمي. ارتاب المستهدَف خلال المكالمة وفشلت المحاولة. وبعدها أرسل مارك ريد مذكرة داخلية إلى الشركة يشكر فيها الفريق ويحذّر من تصاعد انتحال هويات المديرين التنفيذيين بالديب فيك.

تفصيلان مهمان عن قضية WPP يجعلانها مفيدة كدراسة حالة دفاعية. أولاً، الهجوم استخدم اجتماعاً حقيقياً في بيئة Microsoft Teams حقيقية. إشارة الثقة "الاجتماع على Teams الخاص بنا" لم تكتشف هذا. ثانياً، رصد الهدفُ الاحتيال عبر عدم تطابق نمطي (الرئيس التنفيذي "كان يطلب معلومات شخصية بطريقة لم يفعلها الحقيقي قط")، لا عبر أي كشف تقني. التعرف البشري على الأنماط يبقى أقوى طبقة دفاع حين تخفق الطبقات التقنية.

ماذا تقول تقارير 2024 و2025 عن احتيال الديب فيك على نطاق واسع

هذا ليس نمط هجوم نادراً يستثير الفضول. أحدث بيانات السلطات تُظهره يتوسّع بسرعة.

• تقرير مكتب التحقيقات الفيدرالي عن جرائم الإنترنت لعام 2024 (IC3، صدر في أبريل 2025): أنتج اختراق البريد التجاري (BEC) واحتيال انتحال المديرين التنفيذيين المتصل به خسائر مُبلَّغ عنها بنحو 2.9 مليار دولار في 2024 موزّعةً على 21,489 شكوى في هذه الفئة وحدها. وبلغ إجمالي خسائر IC3 المُبلَّغ عنها عبر كل الفئات 16.6 مليار دولار، بقفزة سنوية قدرها 33 بالمئة.
• Pindrop للذكاء الصوتي، الربع الرابع 2024: ارتفعت هجمات الديب فيك الصوتية ضد البنوك والمؤسسات المالية نحو 350 بالمئة سنوياً. ومتوسط الخسارة عن حادثة ناجحة كان نحو 600 ألف دولار. وأشار التقرير إلى أن ديب فيك الفيديو-والصوت على Zoom وTeams ينمو أسرع من الصوتي وحده.
• مركز Deloitte للخدمات المالية 2024: توقّع أن تبلغ خسائر احتيال الديب فيك في الولايات المتحدة نحو 40 مليار دولار بحلول 2027، ارتفاعاً من نحو 12 مليار في 2023، بمعدل نمو سنوي مركّب يتجاوز 30 بالمئة.
• تقرير اتجاهات مركز موارد سرقة الهوية 2024 (يناير 2025): رصد احتيال الهوية الاصطناعية (الطبقة الكامنة عادةً تحت انتحال الديب فيك) بوصفه إحدى أسرع الفئات نمواً في 2024، خصوصاً في حالات الاستيلاء على حسابات المؤسسات وانتحال المديرين التنفيذيين.
• تقارير Group-IB لاستخبارات التهديدات 2024 وتحليلات SentinelOne: وثّقت عدة عُدد "ديب فيك بوصفه خدمة" تُباع في المنتديات السرية خلال 2024، وتُخفض الحاجز التقني إلى حد أن مشغّلين بلا خبرة في تعلّم الآلة يستطيعون تنفيذ هجمات مكالمة فيديو ببضع مئات من الدولارات لكل هدف.

رقم واحد يستحق التذكّر: 25 مليون دولار خسرتها شركة واحدة في فترة بعد ظهر واحدة. هذا الرقم العلني لـ Arup. الحالة التالية ربما لا تحمل اسم شركة واحدة، لكنها على الأرجح ستنطوي على حساب Slack أو Teams اختُرق قبل أسابيع ومكالمة فيديو بدت طبيعية تماماً.

ثبّت SafeBrowz ليحجب روابط Zoom وTeams الشبيهة

طبقة الدفاع الأولى هي ألا يفتح رابط الاجتماع المزيف أصلاً. رابط Zoom حقيقي يبدأ بـ zoom.us أو بنطاق Zoom الفرعي الخاص بشركتك. ورابط Teams حقيقي يبدأ بـ teams.microsoft.com. أي شيء آخر (zoom-meet.us، zoorn.us، zoom-conf.com، teams-microsoft-365.com، microsoft-teams-meeting.org، meet-google.us) شبيه.

SafeBrowz إضافة متصفح مجانية لـ Chrome وFirefox وEdge، تفحص كل رابط تضغط عليه مقابل قاعدة بيانات تضم أكثر من 550 علامة تجارية، وواجهات استخبارات تهديدات لحظية، وطبقة محتوى بالذكاء الاصطناعي للنطاقات الشبيهة الجديدة كلياً التي لم تلتقطها أي قائمة حجب بعد. علامات Zoom وMicrosoft Teams وGoogle Meet وWebex وغيرها من علامات مؤتمرات الفيديو الكبرى مدرجة في القاعدة. حين يصل صفير Slack بدعوة "ادخل الآن" إلى zoom-meet.us، تعترض الإضافة الضغطة وتُظهر شاشة حمراء قبل أن تُحمَّل غرفة Zoom المزيفة. ومكالمة الديب فيك التي مدتها أربع دقائق لا تحدث أبداً.

هذه هي الطبقة الرخيصة السريعة. تعمل في المتصفح، لا تكلّف شيئاً، وتغطّي كل رابط تضغطه في Slack أو Teams أو البريد أو أي مكان آخر.

تحقّق من أي تحويل عاجل عبر قناة ثانية

طبقة الرابط تلتقط معظم الروابط الشبيهة. لكن "معظم" تترك ثغرة. مهاجم متطور قد يخترق حساباً حقيقياً داخل شركتك ويرسل رابط Zoom حقيقياً تماماً إلى غرفة حقيقية يتحكم فيها، تحتوي مربعات فيديو ديب فيك في داخلها. طبقة الرابط لا تستطيع المساعدة بعد أن صرت داخل غرفة Zoom حقيقية تحوي وجوهاً اصطناعية.

الطبقة الثانية إجرائية. لأي طلب تحويل بنكي عاجل، أياً كان الطالب، وأياً كانت قوة الفيديو في الإقناع، أغلق الخط أو أنهِ الاجتماع، واتصل بالطالب على رقم هاتف محفوظ مسبقاً في جهات اتصالك. ليس الرقم الذي ورد في الدردشة. ليس الرقم في توقيع البريد. الرقم نفسه الذي كنت ستستخدمه الأسبوع الماضي قبل أن يبدأ كل هذا.

هذه أعلى الضوابط قيمةً على الإطلاق. كل قضية ديب فيك موثّقة لانتحال المدير التنفيذي في 2024 كانت ستتوقف عند مكالمة معاودة لثلاثين ثانية على رقم هاتف معروف. موظف Arup. سلسلة التحويل في هونغ كونغ. محاولة WPP (التي أوقفها فعلاً جزئياً تحقق على غرار معاودة الاتصال). والسبب أن المهاجم بالديب فيك يتحكم بالقناة الواردة، لكنه لا يتحكم بدفتر جهات اتصالك. لا يستطيع اعتراض مكالمة تصدر أنت إلى رقم محفوظ.

أدرج معاودة الاتصال في سياسة الحوالات في شركتك. أي تحويل يتجاوز 25 ألف دولار، أياً كان الطالب، يستوجب على المنفّذ معاودة الاتصال بالطالب على رقم من دليل الشركة. وثّقها. درّب عليها. اجعلها مملّة وروتينية. الإملال هو الهدف بأكمله. مكالمة معاودة تستغرق 90 ثانية هي الفرق بين صفر دولار خسارة و580 ألف دولار حوالةً إلى سنغافورة.

قاعدة الثلاث دقائق لمعاودة الاتصال

لأي طلب مالي عاجل يصل من أي قناة (Slack، Teams، بريد، مكالمة فيديو، WhatsApp، رسالة نصية، هاتف) القاعدة هي: توقّف ثلاث دقائق، اتصل على رقم محفوظ، وبعدها فقط امضِ قُدماً.

ثلاث دقائق تبدو مصطنعة حين يكون "المدير المالي" في مربع الفيديو يخبرك بأن البائع سينسحب إن لم تصل الدفعة قبل نهاية الدوام. لكن هذه الوقفة التي تبدو مصطنعة هي الدفاع بأكمله. العمل العاجل الحقيقي لا يستلزم فعلاً أقل من ثلاث دقائق للتحقق. مدير مالي حقيقي، حين يُقال له إن المنفّذ يتوقف ليعاود الاتصال ويؤكّد، سيقول "حسناً، بالتأكيد، اتصل بي". أما مدير مالي مزيف بالديب فيك، فإما يقطع الاتصال أو يضغط عليك للمضي قُدماً، أو الاثنين معاً. الضغط لتخطّي معاودة الاتصال هو إشارة الإنذار الأوضح للهجوم بأكمله.

قاعدة الثلاث دقائق تنسجم طبيعياً مع النصائح المعتادة لأنماط هجوم وثيقة الصلة. لاحتيال التحويلات البنكية بانتحال المديرين التنفيذيين عموماً، راجع صيد الحيتان والتحويلات البنكية باسم الرئيس التنفيذي. ولاستطلاع LinkedIn الذي يسبق هجوم الديب فيك دائماً تقريباً، راجع التصيد الموجَّه على LinkedIn.

الإشارات الحمراء أثناء مكالمة الفيديو

إن كنت بالفعل على مكالمة فيديو وبدأت تتساءل عن واقعية الوجوه، هذه الإشارات تستحق المعرفة. لا واحدة منها كاملة بمفردها. اثنتان أو ثلاث منها معاً إشارة قوية.

• تأخر طفيف في مزامنة الشفاه. تحسّن فيديو الديب فيك كثيراً، لكن نماذج استبدال الوجه الآنية لا تزال تنحرف بمقدار 30 إلى 80 ميلي ثانية على الحروف الساكنة الصعبة. إن شعرت بأن توقيت الكلام غير منضبط، فثق بهذا الشعور.
• محدودية اللقطة الجانبية. معظم نماذج الديب فيك تُصيّر الوجه نظيفاً من الأمام، لكنها تتعثر حين يدور الرأس أكثر من نحو 30 درجة عن المنتصف. اطلب من الشخص أن يلتفت برأسه وينظر إلى شيء على يمينه أو يساره.
• اليد أمام الوجه. الديب فيك الآني ينكسر أو يرتعش حين تمر يد أمام الوجه. اطلب من الشخص أن يلوّح بيده، أو يحكّ أنفه، أو يرفع إصبعاً.
• الأسطح العاكسة والنظارات. الانعكاسات على النظارات والأقراط اللامعة لا تزال صعبة على نماذج الديب فيك. إن بدت النظارات مطفأة بشكل غريب، أو لم تتطابق إضاءتها مع إضاءة الغرفة، فخذ ذلك بجدية.
• غياب السلوك التلقائي خارج السيناريو. الديب فيك يعمل بأفضل حالاته مع كلام مكتوب مسبقاً. اطرح سؤالاً خارج السيناريو يعرف إجابته الشخص الحقيقي فقط. "كيف موسم الكرة الطائرة لابنتك؟" أفضل بكثير من "ما اسم شركتنا؟".
• المكالمة لا يمكن نقلها. إن اقترحت إنهاء المكالمة وإعادة الاتصال على منصة مختلفة، أو الانتقال إلى مكالمة هاتفية على رقم محفوظ، ودافع الشخص بشدة، فهذا الإصرار على البقاء داخل القناة التي يتحكم بها هو في حد ذاته أقوى إشارة حمراء.
• الضغط للمضي قُدماً. المديرون الماليون والرؤساء التنفيذيون الحقيقيون يقبلون معاودة الاتصال. مهاجمو الديب فيك لا يحتملون الوقت. إن بدت العجالة مهندَسةً لمنع معاودة الاتصال، فهي كذلك على الأرجح.

ماذا تفعل إن وقعتَ ضحيةً

إن كنت تقرأ هذا وتتذكر لحظةً من الأسابيع القليلة الماضية في شركتك، هذه خطة الـ 24 ساعة الأولى.

• اتصل ببنك شركتك فوراً. أخبرهم بوجود حوالة احتيالية وأنك تحتاج إلى فتح طلب استرجاع الآن. السرعة عامل حاسم. الساعات الأربع إلى الثماني الأولى هي النافذة الواقعية الوحيدة لأي استرداد.
• جمّد الحساب المصدر. أوقف أي حوالات أخرى من الحساب الذي خرجت منه الحوالة الاحتيالية إلى أن يؤكد فريق تقنية المعلومات لديك ما الذي اخترَق من بيانات الاعتماد.
• أعد ضبط كل بيانات اعتماد منصات العمل المشترك. افرض إعادة كلمات السر وتسجيل الخروج من كل الجلسات على Slack وMicrosoft Teams وGoogle Workspace وأي منصة مشتركة أخرى. ألغِ رموز OAuth لكل تطبيقات الطرف الثالث، لأن الموطئ الأصلي كان على الأرجح طلب موافقة OAuth.
• أشرك شركة التأمين السيبراني. معظم بوالص التأمين السيبراني المؤسسية تشترط الإخطار خلال نافذة قصيرة (غالباً 24 إلى 72 ساعة) من أي حادث معلوم. التأخر في الإخطار قد يُبطل التغطية.
• أبلِغ مركز شكاوى جرائم الإنترنت لدى FBI على ic3.gov. يمكن للـ FBI أحياناً تفعيل عملية "كسر سلسلة الاحتيال المالي" مع البنوك المراسلة إذا وصل البلاغ خلال 72 ساعة. وقد أعادت هذه العملية أموالاً في قضايا BEC سابقة. قدّم البلاغ في اليوم نفسه.
• أشرك فريق استجابة حوادث خارجياً. إن لم يكن لدى شركتك فريق DFIR داخلي، فاستعن بفريق خارجي (مثل Mandiant أو CrowdStrike Services أو Unit 42 أو Kroll، أو ما يشابهها) لإجراء مراجعة جنائية كاملة للحساب المخترَق. فهم البيانات الأخرى التي وصل إليها المهاجم أمر ضروري.
• أبلغ المجلس والشؤون القانونية. وثّق كل شيء كتابةً. المجلس يحتاج للعلم خلال 24 ساعة. والشؤون القانونية تحتاج تقييم أي التزامات إفصاح بموجب قواعد SEC (للشركات المدرجة)، أو إخطارات GDPR، أو قوانين خروقات البيانات على مستوى الولايات.

كيف تُبلّغ عن محاولة احتيال بالديب فيك

حتى لو لم يتحرك أي مال، أبلغ عن المحاولة. كل بلاغ يقوّي السجل العام ويُعين الشركة التالية.

• FBI IC3 على ic3.gov. قدّم بلاغاً كاملاً. ضمّنه رابط Zoom أو Teams المزيف، والطوابع الزمنية، وعينات فيديو الديب فيك إن حفظتها، والحساب المخترَق، وتفاصيل الحوالة إن وُجدت.
• FTC على reportfraud.ftc.gov. يُغذّي شبكة Consumer Sentinel التي تستعلم منها جهات إنفاذ القانون.
• مكتب FBI المحلي. للخسائر التي تتجاوز بضع مئات من آلاف الدولارات، قد يحرّك اتصال مباشر بفرقة السايبر في مكتب FBI المحلي القضية أسرع من بلاغ IC3 الإلكتروني وحده.
• CISA على cisa.gov/report. إن كانت شركتك في قطاع بنية تحتية حرجة (طاقة، مياه، مالية، دفاع، رعاية صحية).
• APWG على reportphishing@apwg.org. إن كان الاختراق الأول رسالة تصيد OAuth، فأعد توجيه الرسالة الأصلية. يضيف الرابط إلى قائمة الحجب العالمية لمكافحة التصيد.
• فرق إساءة الاستخدام في Microsoft وZoom. أبلغ عن رابط الاجتماع الشبيه إلى abuse@zoom.us وإلى Microsoft عبر تدفق إبلاغ مسؤول Teams. الموزّعان يُسقطان فعلياً غرف المؤتمرات الشبيهة.

آخر تحديث 2026-05-30

كيف يصدّ SafeBrowz هذا التهديد

يعتمد SafeBrowz على بنية كشف ثلاث طبقات: محلي + واجهات + ذكاء اصطناعي.

• الطبقة الأولى، الكشف المحلي: أكثر من 60 نمطاً لعناوين URL وأكثر من 550 توقيعاً مرتبطاً بعلامات تجارية محددة، تعمل مباشرةً داخل متصفحك. هذه الطبقة تلتقط zoom-meet.us وzoorn.us وteams-microsoft-365.com وmeet-google.us وغيرها من نطاقات مؤتمرات الفيديو الشبيهة لحظة الضغط، قبل أن تُحمَّل غرفة الاجتماع المزيفة. علامات Zoom وMicrosoft Teams وGoogle Meet وWebex وGoToMeeting وغيرها من علامات مؤتمرات الفيديو الكبرى مدمجة في الإضافة ذاتها.
• الطبقة الثانية، فحوصات الواجهات: Google Safe Browsing وPhishTank وURLhaus تتقاطع مرجعياً على جانب الخادم. تلتقط روابط الاجتماعات الخبيثة المعروفة في اللحظة التي يُبلَّغ عنها فيها في أي مكان من العالم، بما في ذلك النطاقات الشبيهة المؤقتة التي تُحرَق وتُعاد بناؤها كل بضع ساعات.
• الطبقة الثالثة، الفحص العميق بالذكاء الاصطناعي (Premium): تحليل محتوى يضع علامة على صفحات Zoom وTeams الشبيهة الجديدة كلياً التي لم ترصدها أي قائمة حجب بعد. شاشة موافقة OAuth الوهمية على Microsoft 365 التي أُطلقت قبل ساعتين والتي تُستخدم موطئاً لهجوم الديب فيك على المدير التنفيذي الشهر القادم. وصفحة "ترحيل مساحة Slack" الجديدة. تعمل بأكثر من 100 لغة.

توقيعات الكشف مشتقّة من أبحاث استخبارات التهديدات وقاعدة العلامات التجارية الداخلية لدينا، لا من بيانات تصفح المستخدمين. SafeBrowz لا يُخزِّن سجلات تصفح للمستخدمين.

الأسئلة الشائعة

هل يمكن فعلاً تزييف وجه رئيس تنفيذي على مكالمة Zoom حيّة في 2026؟

نعم. نماذج استبدال الوجه واستنساخ الصوت الآنية صارت جيدة بما يكفي منذ أواخر 2023 لإخراج انتحال تنفيذي مقنع على مكالمات فيديو قصيرة. خسارة Arup في فبراير 2024 (نحو 25 مليون دولار) ومحاولة رئيس WPP التنفيذي في مايو 2024 تأكيدان علنيان. ستون ثانية من فيديو وجه نظيف وتسعون ثانية من صوت نظيف تكفي كمادة تدريب لديب فيك آني. ومعظم المديرين التنفيذيين العامين لديهم أكثر من ذلك بكثير على YouTube وLinkedIn وتسجيلات المؤتمرات. الجزء الصعب لم يعد الديب فيك ذاته، بل الحصول على موطئ في منصة العمل المشترك بالشركة المستهدفة أولاً.

كيف عمل هجوم Arup بالديب فيك فعلياً؟

وفقاً لما نشرته South China Morning Post في فبراير 2024 وأكّدته Arup لـ Financial Times وCNN، تلقّى موظف مالي مقرّه هونغ كونغ في Arup بريد تصيد يدّعي أنه من المدير المالي المقيم في المملكة المتحدة. كان الموظف مرتاباً في البداية. ثم دعاه المدير المالي المزعوم إلى مؤتمر فيديو. وعلى المكالمة، رأى الموظف وسمع المدير المالي وكبار الموظفين، جميعهم أمام الكاميرا، جميعهم يتحدثون. أجرى الموظف 15 معاملة بمجموع نحو 200 مليون دولار هونغ كونغي (حوالي 25 مليون دولار أمريكي). كل "شخص" على مكالمة الفيديو غير الموظف نفسه كان ديب فيك. أكدت شرطة هونغ كونغ لاحقاً أن هذه واحدة من أكبر قضايا الاحتيال القائم على الديب فيك التي حقّقت فيها.

هل كانت معاودة الاتصال ستوقف هجوم Arup؟

نعم، بشكل شبه مؤكد. الموظف في قضية Arup كان قد وضع علامة على البريد الأولي بوصفه مريباً قبل الانضمام إلى مكالمة الفيديو. مكالمة معاودة بسيطة لستين ثانية إلى المدير المالي البريطاني الفعلي على رقم من دليل الشركة كانت ستثبت أن المدير المالي ليس على أي مكالمة من هذا النوع. السبب أن معاودة الاتصال تنجح هو أن المهاجم بالديب فيك يتحكم بالقناة الواردة التي عرضها (رابط Zoom، اجتماع Teams)، لكنه لا يتحكم بقائمة جهات اتصالك. لا يستطيع اعتراض مكالمة تخرج منك إلى رقم محفوظ. كل قضية موثّقة لانتحال المدير التنفيذي بالديب فيك في 2024 كانت ستتوقف عند معاودة اتصال لثلاثين ثانية على رقم هاتف معروف.

ما هي محاولة الديب فيك ضد رئيس WPP التنفيذي؟

في مايو 2024، كان مارك ريد، الرئيس التنفيذي لـ WPP، هدفاً لمحاولة انتحال بالديب فيك جرى ضبطها قبل أي خسارة مال أو بيانات. استنسخ المهاجمون صورة عامة لريد، وأنشؤوا حساب WhatsApp مزيفاً يستخدم تلك الصورة، ثم رتّبوا اجتماع Microsoft Teams مع مدير تنفيذي آخر كبير في WPP. وعلى المكالمة، شغّل المهاجمون مقطعاً من YouTube لصوت ريد واستخدموا نافذة دردشة منفصلة لكتابة رسائل تنتحل شخصيته. ارتاب المدير المستهدَف خلال المكالمة ("الرئيس التنفيذي" كان يطلب معلومات شخصية بطريقة لم يفعلها ريد الحقيقي قط) وفشلت المحاولة. أكدت WPP الحادثة لـ The Guardian وFinancial Times. وأرسل مارك ريد بعدها مذكرة داخلية على مستوى الشركة يحذّر من انتحال هويات المديرين التنفيذيين بالديب فيك.

كم سرعة نمو هجمات الديب فيك؟

سريعة. تقرير Pindrop للذكاء الصوتي للربع الرابع 2024 وجد أن هجمات الديب فيك الصوتية ضد البنوك ارتفعت نحو 350 بالمئة سنوياً. وتوقّعت Deloitte أن تبلغ خسائر احتيال الديب فيك في الولايات المتحدة 40 مليار دولار بحلول 2027، ارتفاعاً من نحو 12 مليار في 2023، بمعدل نمو سنوي مركّب يتجاوز 30 بالمئة. وسجّل تقرير IC3 الصادر عن FBI لعام 2024 (أبريل 2025) نحو 2.9 مليار دولار خسائر اختراق البريد التجاري للعام، مع حصة متنامية ومعنوية لمكوّن الديب فيك في الفيديو والصوت. كما وثّقت Group-IB وSentinelOne عُدد "ديب فيك بوصفه خدمة" تُباع في المنتديات السرية خلال 2024، وتُخفض الحاجز التقني لتنفيذ هذه الهجمات.

هل يستطيع SafeBrowz كشف ديب فيك فيديو داخل مكالمة Zoom؟

لا. SafeBrowz فاحص أمان روابط. يوقف غرفة الاجتماع المزيفة من التحميل عبر حجب روابط Zoom وTeams وGoogle Meet الشبيهة (zoom-meet.us، zoorn.us، teams-microsoft-365.com، meet-google.us) قبل أن تضغط للدخول. ويحجب أيضاً صفحات تصيد موافقة OAuth التي يستخدمها المهاجمون للحصول على موطئ أولي في منصة العمل المشترك للشركة قبل أسابيع. SafeBrowz لا يحلل إطارات الفيديو داخل مكالمة Zoom حيّة. لذلك تحتاج إلى الدفاعات الإجرائية: معاودة الاتصال على رقم محفوظ، وقاعدة الثلاث دقائق، والإشارات الحمراء داخل المكالمة المذكورة أعلاه (تأخر مزامنة الشفاه، محدودية اللقطة الجانبية، مقاومة الأسئلة خارج السيناريو، الضغط للمضي قُدماً).