رأي .... ورؤية 35
جاهزة للاستغلال. في الواقع هي ليست مجرد ثغرة ، بل هي مقصد هجوم معروف للمخترقين.
<< هجماتSS7
بروتوكول الاتصالات العالمي( 7) Signalling System هو العصب المركزي لشبكات الاتصالات ، لكنه مليء بالثغرات الي تمكّن المهاجمين من اعتراض حركة البيانات ، وبالتالي اعتراض
ً، بل هورسائل OTP في لحظة وصولها. هذا ليس هجومً ا سهلا تكتيك متقدم يتطلب قدرات كبيرة ، لكن نتائجه مضمونة.
SIM SWAP <<
هذا ليس مجرد خداع ، بل هو اختراق للعمليات الإجرائية للمؤسسات. يقوم المهاجم هنا بإقناع مزوّد الخدمة بتحويل رقم هاتف الضحية إلى شريحة جديدة يمتلكها هو.
الهدف الاستيلاء على حساب الضحية بالكامل عبر استقبال جميع رموز. OTP
تحليل الموقف حتى لو كانت OTP طبقة أمان إضافية ، فهي ليست حاجقزًا يعتمد عليه. معايير OWASP MASVS صنفتها كآلية ضعيفة جقدً ا ، والاعتماد عليها اليوم هو مجازفة لا يمكن تحملها. الحل يكمن في مفاتيح الأمان( 2FIDO) أو التطبيقات المولدة للأكواد ، فهي خارج سيطرة المهاجمين.
ثانيًا: الروابط الخادعة .. أسلحة التصيّد المدعومة بالذكاء الاصطناعي
إذا كانت ثغرات OTP تكشف ضعف المصادقة ، فإن الروابط الخادعة تكشف هشاشة التصميم الأمني للأنظمة. لم يعد التصيّد مجرد رسالة عشوائية ، بل عملية هندسة اجتماعية متكاملة.
<< كيف يعمل الهجوم ؟
المهاجمون لا يرسلون رسائل مزيفة ، بل يًنشئون كيانات رقمية وهمية. يستخدمون الذكاء الاصطناعي لتوليد مواقع وهمية مطابقة تمامً ا للمواقع الأصلية( مثل مواقع البنوك أو الركات (. والأسوأ ، أن الذكاء الاصطناعي يصوغ الرسائل بناءً على تحليل عميق لبيانات الضحية ، مما يجعلها شخصية جقدً ا وتتجاوز أي شك.
<< الجانب التقني
وفق ، OWASP Top 10:2025 فإن فئة Insecure Design هي مؤشر رئيسي للخطر. الأنظمة الي تًصمّم بدون أخذ التهديدات بعين الاعتبار تكون أكثر عرضة لهجمات التصيّد. هذه ليست ثغرات برمجية ، بل ثغرات في الفكر الأمني للمؤسسة.
<< مثال عملي
في أوروبا ، استًخدمت نماذج لغوية ضخمة( LLMs) لإرسال رسائل تصيّد إلى موظفي بنوك. الرسائل كانت تتغير مع كل محاولة ، والروابط كانت ديناميكية بحيث تتجاوز أنظمة كشف الاحتيال. النتيجة هنا تشير إلى نسبة نجاح وصلت إلى % 60 ، وهو ما يؤكد أن الذكاء الاصطناعي هو قوة مضاعفة للمخترقين.
مشاركة البيانات في أدوات الذكاء الاصطناعي كارثة أمنية محتملة.
ثالثًا: الذكاء الاصطناعي كأداة هجوم في القطاعٍ المالي
المهاجم اليوم لا يكتب الشيفرات ، بل يأمر الذكاء الاصطناعي بفعل ذلك. الذكاء الاصطناعي لم يعد أداة مساعدة ، بل هو قوة ضاربة متعددة المهام ، من بينها:
<< توليد برمجيات خبيثة -Malware-as-a Service
اليوم ، أصبحت أدوات الذكاء الاصطناعي قادرة على توليد شيفرات ضارة تتجاوز برامج مكافحة الفيروسات التقليدية. هذا التطور جعل الهجمات المتقدمة متاحة حتى لغير المتخصصين.
<< هجمات Adversarial AI
هذه الهجمات تستغل نقاط الضعف في نماذج الذكاء الاصطناعي نفسها. على سبيل المثال ، يمكن تغيير تفاصيل صغيرة جدً ا في صورة شيك إلكتروني أو مستند ، KYC مما يخدع أنظمة التحقق الذكية ويسمح بمرور معاملات غير مروعة.