يشكل التشفير مخاطر الأمن السيبراني على القطاع المالي في الهند: تقرير التهديد الرقمي 2024 | أخبار التكنولوجيا
تم وضع علامة على العملة المشفرة كحدود جديدة للتهديدات الإلكترونية في تقرير جديد صُنع بمدخلات من وكالات العقدي الهندية مثل فريق الاستجابة للطوارئ الهندية (CERT-IN) وفريق استجابة لحوادث أمان الكمبيوتر في قطاع التمويل (CSIRT-FIN).
“لقد غيرت العملة المشفرة بشكل كبير من المشهد التهديد السيبراني ، مما أدى إلى تمكين المتسللين بطرق لا تستطيع التقنيات السابقة […] لقد ظهرت الخدمات والمنصات لتسهيل تبادل الأموال ، والغسل ، والتشويش على صناديق العملة المشفرة ، مما يسهل على المتسللين أن يستمروا في أنشطتهم دون مغادرة مسار يمكن تتبعه “، اقرأ تقرير التهديد الرقمي 2024 الذي نشرته شركة Cert-In و Csirt-Fin و Global Cybersecurity SISA يوم الاثنين ، 7 أبريل.
يهدف هذا التقرير إلى تعيين مشهد التهديدات الإلكترونية في عام 2024 ، خاصة فيما يتعلق بقطاع الخدمات المصرفية والخدمات المالية والتأمين (BFSI).
وينص على أنه على الرغم من أن الجهات الفاعلة في التهديد تستخدم في البداية بيتكوين للمعاملات غير المشروعة ، فقد هاجروا منذ ذلك الحين إلى عملات مشفرة أخرى مثل Monero (XMR). وذكر التقرير: “تقنيات التشفير المتقدمة من Monero تحجب تفاصيل المعاملة ، مما يجعل من الصعب بشكل استثنائي بالنسبة لوكالات إنفاذ القانون تتبع الأموال وتحديد الأفراد المعنيين”.
تبرز التشفير الذي تم تسميته على أنه تهديد للأمن السيبراني المتوقع في عام 2025 ضمن التقرير ، خاصة وأن الحكومة الهندية تعيد النظر في موقفها التنظيمي الصعب على الأصول الرقمية وسط تحولات السياسة العالمية بقيادة مبادرات الرئيس الأمريكي دونالد ترامب المؤيد للربح.
اعترف التقرير أيضًا باستهداف تبادل التشفير من قبل الجهات الفاعلة التهديد كاستراتيجية جديدة. “من خلال مهاجمة هذه البورصات ، يهدف المتسللين إلى سرقة كميات كبيرة من العملة الرقمية ، واستغلال نقاط الضعف الأمنية داخل هذه المنصات” ، كما تقول.
تعرض Wazirx ، أحد تبادل التشفير الرئيسي في الهند ، إلى هجوم إلكتروني حيث سرق المتسللين ما يقرب من نصف احتياطيات التشفير في المنصة أكثر من 230 مليون دولار. في الآونة الأخيرة ، سرق المتسللون الأصول الرقمية بقيمة تزيد عن 1.5 مليار دولار من Crypto Exchange ومقرها دبي ، فيما يقال إنه أكبر سرقة تشفير حتى الآن.
تستمر القصة أسفل هذا الإعلان
أشار تقرير التهديد الرقمي أيضًا إلى متغير جديد للبرامج الضارة يقوم بمسح “البيئات المصابة” لمحافظ التشفير أو المفاتيح التي تؤمنها. “من خلال استخراج هذه المفاتيح ، يمكن للمتسللين الحصول على وصول غير مصرح به إلى أصول تشفير الضحايا ، مما يؤدي إلى خسائر مالية كبيرة” ، كما قال.
Deepfakes التي تم إنشاؤها من الذكاء الاصطناعى ، LLM موجه
حدد التقرير DeepFakes والمحتوى الذي تم إنشاؤه بواسطة الذكاء الاصطناعى بأنه “أدوات قوية للتسلل ، وخاصة في هجمات الهندسة الاجتماعية”.
“يتيح الصوت والفيديو المزيف العميق مرتكبي الإنترنت محاكاة أصوات ومظاهر المديرين التنفيذيين أو الموظفين أو الشركاء الموثوق بهم. على سبيل المثال ، قد يستخدم المهاجم مقطع فيديو مزيفًا عميقًا خلال اجتماع افتراضي لخداع فريق مالي في التصريح بنقل غير مصرح به أو توظيف صوت مزيف عميق لخداع الأفراد في الكشف عن كلمات المرور لمرة واحدة (otps)”.
وقالت إن تهديد الاختراق السريع (نموذج اللغة الكبير) كان أكثر انتشارًا في التطبيقات التي تستضيف LLMs محليًا بدلاً من واجهات برمجة تطبيقات المطورين من قبل مقدمي الخدمات مثل Openai و Deepseek.
تستمر القصة أسفل هذا الإعلان
ومع ذلك ، نجحت محاولات كسر الحماية ضد chatgpt من Openai في الماضي. على سبيل المثال ، في عام 2023 ، اكتشف مستخدمو ChatGPT أنه يمكنهم تجاوز ضمانات AI chatbot من خلال مطالبةها بالتظاهر بأنها جدة ميتة. أصبحت هذه التقنية معروفة باسم “استغلال الجدة”.
إلى جانب كسر الحماية ، أشار التقرير إلى أن LLMs الخبيثة مثل Wormgpt و Fraudgpt قادرون على كتابة رسائل البريد الإلكتروني للتصيد القنص ، وترميز برامج البرامج الضارة الفعالة للغاية ، وأتمتة تطوير المآثر.
وجاء في التقرير: “تعني الطبيعة المتعددة الأشكال للكود الذي تم إنشاؤه من الذكاء الاصطناعي أن طرق الكشف القائمة على التوقيع أقل فعالية ، حيث يمكن أن يبدو كل تكرار فريدًا مع الحفاظ على وظائفه الضارة”. تقوم أدوات الذكاء الاصطناعى أيضًا بمساعدة المتسللين في تنويع تنسيقات الملفات المستخدمة في حملات التصيد للتهرب من مرشحات أمان البريد الإلكتروني ، وفقًا للتقرير.
التوصيات
في اقتراحاتها لصالح صانعي السياسات ، يوصي التقرير بتنفيذ لوائح الذكاء الاصطناعى الواضحة والشاملة لضمان النشر المسؤول لـ AI و ML في قطاع BFSI.
تستمر القصة أسفل هذا الإعلان
“إن تزويد الصناعة بمبادئ توجيهية واضحة حول الجوانب الهامة مثل خصوصية البيانات ، واستخدام الذكاء الاصطناعي الأخلاقي ، والشفافية الخوارزمية سيشجع على اعتماد AI المسؤول ، ودعم النمو مع حماية سلامة القطاع المالي وحماية مصالح المستهلك”.
كجزء من توصياتها لبناء دفاعات إلكترونية مرنة ، اقترح التقرير أصحاب المصلحة في الصناعة للاستثمار في أدوات الكشف عن الشذوذ التي تعمل بمنظمة العفو الدولية. وقالت: “يمكن لهذه الأنظمة تحديد الانحرافات الدقيقة في سلوك المستخدم ، مما يؤدي إلى تحديد الأنشطة الضارة المخبأة في العمليات العادية”.
كما أوصت بأن تضع الشركات في قطاع BFSI واجهات برمجة التطبيقات ضمن التطبيقات الأصلية منظمة العفو الدولية للاختبار الأمني من أجل الكشف عن نقاط الضعف الخفية. “من خلال توسيع نطاق اختبار أمان التطبيق الديناميكي (DAST) لتغطية نقاط نهاية واجهة برمجة التطبيقات ، تعالج المؤسسات الفجوات التي قد تفوتها المسح التقليدي. الاختبارات الاستباقية ضد نقاط الضعف في AWASP Top 10 API يضمن حماية أنظمة الذكاء الاصطناعى على نطاق واسع” ، كما ذكر التقرير.
اكتشاف المزيد من موقع تجاربنا
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
