تزييف الصوت والوجه بالذكاء الاصطناعي: كيف يتجاوز الديب فيك منظومة KYC في البنوك السعودية

لم يعد الاحتيال الرقمي يعتمد على رسائل تصيّد بدائية أو كلمات مرور مسرّبة — فالجيل الجديد من المهاجمين يستخدم صوت مديرك التنفيذي بدقة 98%، ووجه موظف التحقق بمصداقية لا يكتشفها عقل بشري. منصات "Deepfake-as-a-Service" المتاحة اليوم تُمكّن أي مهاجم من اختراق منظومة KYC بتكلفة لا تتجاوز مئات الدولارات — وبنوكك السعودية في مرمى النيران المباشر.

الأرقام التي يجب أن يعرفها كل CISO سعودي

أشارت تقارير مركز ديلويت للخدمات المالية إلى أن خسائر الاحتيال المدعوم بالذكاء الاصطناعي في الولايات المتحدة وحدها بلغت 12.3 مليار دولار في 2023، ومن المتوقع أن تصل إلى 40 مليار دولار بحلول 2027، بمعدل نمو سنوي مركّب يبلغ 32%. وعلى مستوى الشركات، كشفت دراسة صادرة عن المنتدى الاقتصادي العالمي في مارس 2026 أن الديب فيك أسهم في أكثر من 30% من هجمات انتحال الهوية رفيعة التأثير خلال 2025. الأخطر من ذلك أن تقنيات استنساخ الصوت باتت تشتغل في الوقت الفعلي وبأجزاء ثوانٍ من المقاطع الصوتية المسرّبة — وهو ما وثّقه باحثو ECCU أوائل 2026 في تقريرهم عن هجمات الهندسة الاجتماعية المعزّزة بالذكاء الاصطناعي.

آليات الهجوم: من استنساخ الصوت إلى تجاوز التحقق بالوجه

تتخذ هجمات الديب فيك على المؤسسات المالية أشكالاً متعددة. في النمط الأول — "CEO Fraud 2.0" — يستنسخ المهاجم صوت الرئيس التنفيذي من مقاطع عامة على LinkedIn أو YouTube، ثم يتصل بموظف المدفوعات طالباً تحويلاً عاجلاً خارج الإجراءات الرسمية؛ وقد رصدت مؤسسات مالية خليجية حوادث من هذا النوع في 2025 بخسائر تجاوزت 3 ملايين ريال في حادثة واحدة. في النمط الثاني — "KYC Bypass" — تُستخدم وجوه مولّدة بأدوات مثل OnlyFake أو DeepFaceLab لاجتياز بوابات التحقق بالصورة الحية (Liveness Detection) أثناء فتح الحسابات الرقمية؛ وقد رصدت منظومة مراقبة حوادث الاحتيال عدداً متصاعداً من هذه المحاولات ضد تطبيقات الخدمات المصرفية في منطقة الخليج. أما النمط الثالث فهو "Board Meeting Spoofing"، حيث يعقد المهاجم اجتماع فيديو مع موظفين رئيسيين بهوية مسروقة لمسؤولين خارجيين، مستغلاً عمق التوهان الذي يصعب فيه التمييز بين الحقيقي والمزيّف.

لماذا تُشكّل المؤسسات المالية السعودية هدفاً مُفضَّلاً

القطاع المالي السعودي يجمع سمتين تجعلانه مستهدفاً بامتياز: حجم التدفقات المالية اليومية الضخمة، ووتيرة التحول الرقمي المتسارعة في ظل رؤية 2030. مبادرة الخدمات المصرفية المفتوحة (Open Banking) التي تفرضها SAMA تعني حسابات API أكثر وواجهات KYC رقمية أوسع — وكل واجهة جديدة هي سطح هجوم إضافي. يُضاف إلى ذلك أن كثيراً من إجراءات KYC الحالية في البنوك السعودية لا تزال تعتمد على بيانات بيومترية ثنائية الأبعاد تعجز عن التمييز بين وجه حقيقي وصورة متحركة بالذكاء الاصطناعي. وتكشف مراجعة ضوابط SAMA CSCC (الإصدار 2.0، الفصل الخامس) أن متطلبات التحقق من الهوية لم تواكب بعد مستوى الخطر الراهن للديب فيك، مما يُلقي على عاتق كل بنك مرخّص مسؤولية تجاوز الحد الأدنى التنظيمي.

ما يقوله SAMA وPDPL وNCA عن هذا التهديد

لا يوجد حتى الآن تعميم صريح من SAMA يُعالج الديب فيك بالاسم، غير أن ثلاثة إطارات تنظيمية قائمة تُلزم المؤسسات بالتعامل مع هذا التهديد: أولاً، ضوابط SAMA CSCC المتعلقة بإدارة هوية الوصول (IAM) تُوجب ضمان أن آليات المصادقة مقاومة لتقنيات الانتحال المتقدمة. ثانياً، نظام حماية البيانات الشخصية (PDPL) الصادر بالمرسوم الملكي م/19 يُلزم المؤسسات بضمان صحة هوية أصحاب البيانات قبل الإفصاح عنها أو تعديلها — وهو ما يتعارض مع سيناريو اختراق KYC عبر الديب فيك. ثالثاً، متطلبات NCA ECC-1 المتعلقة بالتحقق متعدد العوامل تُعدّ خط الدفاع الأول إذا طُبّقت بصورة صحيحة وشملت عوامل مادية لا يمكن استنساخها رقمياً.

التوصيات والخطوات العملية

1. ترقية Liveness Detection إلى الجيل الثالث: استبدل حلول الكشف عن الحيوية ثنائية الأبعاد بأدوات تعمل بالأشعة تحت الحمراء وتحليل العمق ثلاثي الأبعاد (مثل iProov أو FaceTec)؛ فهذه التقنيات أثبتت قدرتها على كشف وجوه Generative AI بدقة تتجاوز 99.7%.
2. تطبيق بروتوكول التحقق الصوتي خارج النطاق: أي تحويل يتجاوز قيمة محددة (يُنصح بـ 50,000 ريال أو أكثر) يجب التحقق منه عبر قناة مستقلة وآمنة — وليس عبر المكالمة الواردة ذاتها — لكسر حلقة الهجوم الصوتي.
3. تدريب الموظفين على إشارات التحذير الدقيقة: رصد التأخير غير المعتاد في استجابة الفيديو (Video Latency)، والحركة المنتظمة للعيون بصورة مفرطة، والصوت الخالي من تأثيرات الخلفية الطبيعية — وهي علامات يصعب محاكاتها حتى في أجود نماذج الديب فيك.
4. مراجعة اتفاقيات مزودي KYC الخارجيين: تأكد أن عقود الطرف الثالث لإدارة الهوية تشترط صراحةً معايير مقاومة الديب فيك وتحديثاً دورياً للنماذج لا يقل عن ربع سنوي — وإلا فاستعراض التوافق مع متطلبات إدارة مخاطر الطرف الثالث في SAMA CSCC.
5. تفعيل مراقبة سلوكية للجلسات: دمج أدوات تحليل سلوك المستخدم (UBA) مع بيانات الجلسة البيومترية (معدل ضربات المفاتيح، حركة الفأرة، نمط التمرير) للكشف عن التناقضات التي تُشير إلى جلسة محتالة حتى بعد اجتياز KYC بنجاح.
6. إجراء تمارين Red Team متخصصة في الديب فيك: طلب اختبار اختراق يشمل محاولات اجتياز KYC بالذكاء الاصطناعي واستنساخ أصوات المسؤولين التنفيذيين — نتائج هذه التمارين مطلوبة كجزء من ملف أدلة الامتثال لدى SAMA.

الخلاصة

الديب فيك ليس تهديداً مستقبلياً — هو جزء من مشهد الهجمات الآن، وأدواته متاحة لأي مهاجم يملك بضعة مئات من الدولارات. المؤسسات المالية السعودية التي لا تزال تعتمد على التحقق البصري أو الصوتي التقليدي وحده تُحصي الوقت حتى الحادثة التالية وليس احتمالية حدوثها. الاستثمار في تقنيات مكافحة الديب فيك وتحديث إجراءات KYC ليس رفاهية — إنه متطلب امتثال ضمني في ظل SAMA وPDPL وNCA، وواجب أخلاقي نحو عملائك وحماية أموالهم.

هل مؤسستك محصّنة ضد الجيل الجديد من هجمات الهوية؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتحديد الثغرات في منظومة KYC لديك.