يغيّر الذكاء الاصطناعي طريقة استهداف المجرمين الإلكترونيين للشركات، وأصبحت المؤسسات في الإمارات تواجه عمليات احتيال تبدو وتُسمع أكثر واقعية من أي وقت مضى. وكشفت دراسة عالمية جديدة صادرة عن شركة التأمين QBE أن 21% من المؤسسات في الإمارات تعرضت لحادث سيبراني مرتبط بالذكاء الاصطناعي خلال الأشهر الـ12 الماضية. ورغم أن هذه النسبة أقل من المتوسط العالمي البالغ 29%، يحذر خبراء الأمن السيبراني من أن الخطر الحقيقي لا يرتبط بعدد الحوادث فقط، بل بمدى تطور هذه الهجمات وقدرتها على الإقناع.
يساعد الذكاء الاصطناعي المحتالين على كتابة رسائل أفضل، وتقليد أصوات موثوقة، وإنشاء هويات مزيفة، وإنتاج مستندات تبدو قريبة جداً من السجلات التجارية الحقيقية. ونتيجة لذلك، لم تعد كثير من عمليات الاحتيال تحمل العلامات التحذيرية الواضحة التي كان الموظفون يعتمدون عليها سابقاً لاكتشاف الخطر.
عمليات الاحتيال بالذكاء الاصطناعي تبدو كأنها عمل طبيعي
بحسب سام تايان، نائب الرئيس الإقليمي لمنطقة الشرق الأوسط وتركيا وأفريقيا في شركة الأمن السيبراني Illumio، فإن أخطر عمليات الاحتيال المدعومة بالذكاء الاصطناعي أصبحت أصعب في الاكتشاف لأنها تظهر غالباً كأنها تواصل تجاري عادي. فبدلاً من رسائل مريبة مليئة بالأخطاء الإملائية أو الصياغات الغريبة، قد يتلقى الموظف اليوم رسالة احترافية ومنظمة، تطابق نبرة وتوقيت وأسلوب المحادثات المعتادة داخل بيئة العمل.
وهذا التحول خطير بشكل خاص في الشركات التي تتعامل فيها فرق المالية والمشتريات والموارد البشرية والإدارة العليا مع طلبات عاجلة، وموافقات دفع، ومستندات موردين، ومعلومات سرية بشكل يومي.
التصيد بالذكاء الاصطناعي من أكبر التهديدات
يُعد التصيد المدعوم بالذكاء الاصطناعي من أكثر المخاطر شيوعاً التي تواجه الشركات في الإمارات. في السابق، كان من السهل نسبياً اكتشاف رسائل التصيد بسبب الأخطاء اللغوية، أو التنسيق الغريب، أو العبارات العامة. لكن الذكاء الاصطناعي غيّر هذا الواقع. فقد أصبح بإمكان المحتالين إنشاء رسائل مخصصة، واحترافية، ومناسبة لأسلوب التواصل المعتاد داخل الشركة المستهدفة.
قد تبدو هذه الرسائل وكأنها واردة من زميل، أو مورد، أو عميل، أو مسؤول تنفيذي. وقد تشير إلى مشاريع حقيقية، وتستخدم لغة عمل مقنعة، وتصل في توقيت يبدو منسجماً مع النشاط الطبيعي للشركة. وبحسب Illumio، أصبحت رسائل التصيد المدعومة بالذكاء الاصطناعي مسؤولة عن أكثر من 90% من الاختراقات الرقمية في الإمارات، بينما ارتفعت حوادث التصيد بنسبة 32% خلال الربع الأول من عام 2026.
موردون وهميون واختراق البريد الإلكتروني التجاري
هناك تهديد خطير آخر يتمثل في اختراق البريد الإلكتروني التجاري، حيث ينتحل المجرمون الإلكترونيون صفة موردين أو شركاء أعمال أو مسؤولين تنفيذيين لخداع الموظفين ودفعهم إلى تحويل الأموال أو مشاركة معلومات حساسة. يجعل الذكاء الاصطناعي هذه الهجمات أكثر إقناعاً. فقد يتمكن المحتالون من إنشاء فواتير، وعقود، وسلاسل رسائل بريدية، ومستندات داعمة تبدو مشابهة جداً لمستندات الموردين الحقيقية.
قد يتلقى موظف في قسم المالية طلب دفع يبدو عادياً من مورد موثوق. وقد تتلقى فرق المشتريات تحديثاً مزيفاً لعقد. وقد يُطلب من قسم الحسابات تغيير بيانات الحساب البنكي لمورد قائم. ولأن المستندات تبدو احترافية، ولأن أسلوب التواصل قد يشبه الرسائل السابقة، قد لا يدرك الموظفون أنهم يتعاملون مع محاولة احتيال إلا بعد تحويل الأموال بالفعل.
انتحال صوت المديرين التنفيذيين بالتزييف العميق
أصبحت تقنية التزييف العميق مصدر قلق متزايد للشركات في الإمارات. يمكن للمجرمين الآن استخدام أصوات مولدة بالذكاء الاصطناعي لانتحال صفة قادة الشركات عبر المكالمات الهاتفية أو الرسائل الصوتية أو الاجتماعات عبر الإنترنت. فقد يتلقى مدير ما طلباً يبدو صادراً من الرئيس التنفيذي أو مسؤول كبير، يطالبه بتحويل عاجل للأموال، أو إرسال ملف سري، أو إعادة تعيين كلمة مرور، أو مشاركة رمز تحقق لمرة واحدة.
الخطر هنا أن الصوت قد يبدو مألوفاً بما يكفي لتقليل الشك، خصوصاً إذا كان الطلب عاجلاً أو وصل خلال يوم عمل مزدحم. وتكون هذه الهجمات فعالة بشكل خاص في الشركات التي اعتاد فيها الموظفون تنفيذ تعليمات الإدارة العليا بسرعة.
مرشحون وظيفيون وهميون يخلقون مخاطر للموارد البشرية
تواجه إدارات الموارد البشرية نوعاً جديداً من الاحتيال المدعوم بالذكاء الاصطناعي: المرشحون الوظيفيون الوهميون. يمكن استخدام أدوات الذكاء الاصطناعي لإنشاء هويات مهنية واقعية، وسير ذاتية مصقولة، وتواريخ عمل مزيفة، وحتى ظهور مرئي مقنع في مقابلات الفيديو المباشرة. وفي بعض الحالات، قد تجري الشركات مقابلات أو توظف أشخاصاً لا يمثلون هويتهم الحقيقية.
وقد يؤدي ذلك إلى مخاطر أمنية كبيرة، خصوصاً إذا حصل الشخص على وصول إلى الأنظمة الداخلية، أو بيانات العملاء، أو المنصات المالية، أو المعلومات التجارية السرية. وبالنسبة للشركات في الإمارات التي تعتمد على التوظيف عن بُعد أو التوظيف عبر الحدود، أصبحت عملية التحقق من الهوية أكثر أهمية من أي وقت مضى.
احتيال الفواتير والعقود يستهدف فرق المالية
تُعد فرق المشتريات والمالية من أكثر الأهداف جذباً للاحتيال القائم على الذكاء الاصطناعي. يمكن للمجرمين إنشاء فواتير وعقود مزيفة تشبه إلى حد كبير مستندات الموردين الحقيقية. وقد يقومون بنسخ الهوية البصرية، والتنسيق، والتوقيعات، ولغة الدفع لجعل الطلب يبدو أصلياً.
غالباً ما يكون الهدف هو تحويل المدفوعات إلى حساب مصرفي احتيالي أو التلاعب بعمليات الشراء قبل أن تلاحظ الشركة الفرق. وبما أن الذكاء الاصطناعي قادر على إنتاج مستندات مقنعة على نطاق واسع، لم يعد بإمكان الشركات الاعتماد فقط على شكل الوثيقة لتحديد ما إذا كانت حقيقية أم لا.
لماذا أصبح اكتشاف هذه العمليات أصعب؟
أكبر تحدٍ في عمليات الاحتيال المدعومة بالذكاء الاصطناعي هو اختفاء كثير من العلامات التحذيرية التقليدية. في الماضي، كان يُطلب من الموظفين الانتباه إلى الأخطاء الإملائية، والصياغات الغريبة، والتحيات غير المعتادة، والتنسيق الضعيف. ولا تزال هذه العلامات مهمة، لكنها لم تعد كافية وحدها.
يمكن لعمليات الاحتيال الحديثة أن تكون مكتوبة بشكل جيد، ومناسبة للسوق المحلي، وموقوتة بعناية. وقد تشير إلى نشاط تجاري حقيقي وتستخدم لغة طبيعية تناسب الشركة أو القطاع. لهذا السبب، تحتاج الشركات إلى أنظمة تحقق أقوى بدلاً من الاعتماد فقط على حدس الموظفين.
كثير من شركات الإمارات لا تزال تفتقر إلى خطط استجابة
تشير دراسة QBE أيضاً إلى أن عدداً من المؤسسات قد لا يكون مستعداً بالكامل للتعامل مع الحوادث السيبرانية المرتبطة بالذكاء الاصطناعي. فما يقرب من ثلث الشركات التي شملها الاستطلاع في الإمارات لا تمتلك تأميناً سيبرانياً، بينما لا تملك 27% منها خطة واضحة للاستجابة للحوادث.
وهذا مهم لأن حتى الموظفين المدربين قد يرتكبون أخطاء عندما تكون عمليات الاحتيال واقعية جداً. لذلك تحتاج الشركات إلى افتراض أن بعض الهجمات قد تنجح، والتركيز على تقليل الضرر عند حدوثها.
كيف يمكن لشركات الإمارات تقليل مخاطر الاحتيال بالذكاء الاصطناعي؟
يقول الخبراء إن على الشركات تقوية الضوابط الداخلية وجعل التحقق جزءاً أساسياً من العمليات اليومية. بالنسبة لطلبات الدفع، يجب اعتماد موافقات متعددة المراحل، والتحقق من أي تغيير في بيانات الحساب البنكي عبر قناة منفصلة وموثوقة. كما يجب تدريب الموظفين على تأكيد الطلبات غير المعتادة مباشرة، خصوصاً عندما تتعلق بالأموال، أو كلمات المرور، أو البيانات الحساسة.
ويمكن أن يساعد التحقق متعدد العوامل في تقليل المخاطر، لكن لا ينبغي الاعتماد فقط على رموز التحقق لمرة واحدة إذا كان من الممكن خداع الموظفين لمشاركتها. ينبغي أيضاً لفرق المالية والمشتريات مراجعة بيانات الموردين بعناية، بينما تحتاج إدارات الموارد البشرية إلى تعزيز التحقق من الهوية أثناء عمليات التوظيف.
وتُعد صلاحيات الوصول مهمة أيضاً. يجب أن يحصل كل موظف فقط على الوصول إلى الأنظمة والبيانات التي يحتاجها لأداء عمله، ما يقلل حجم الضرر إذا تم اختراق حسابه.
الاحتيال بالذكاء الاصطناعي أصبح خطراً تجارياً لا تقنياً فقط
لم تعد الجرائم السيبرانية المرتبطة بالذكاء الاصطناعي مسألة تقنية تخص فرق تكنولوجيا المعلومات وحدها. إنها أصبحت خطراً تجارياً يمس فرق المالية، والمشتريات، والموارد البشرية، والإدارة، والعمليات اليومية. ومع زيادة واقعية الأصوات المزيفة، والموردين الوهميين، والهويات المصطنعة، ورسائل التصيد المكتوبة بالذكاء الاصطناعي، تحتاج شركات الإمارات إلى تحديث عاداتها الأمنية.
وتأتي أقوى حماية من مزيج يجمع بين الوعي، والتحقق، والتحكم في صلاحيات الوصول، وخطط الاستجابة، والتأمين السيبراني. وبالنسبة للشركات في الإمارات، الرسالة واضحة: عمليات الاحتيال بالذكاء الاصطناعي أصبحت أصعب في الاكتشاف، لذلك تحتاج المؤسسات إلى أنظمة قادرة على إيقاف الاحتيال حتى عندما تبدو الرسالة حقيقية تماماً.