قطاع مالي تحت ضغط هجومي متصاعد
يظهر تقرير حديث حول مشهد التهديدات في الخدمات المالية أن هذا القطاع ما يزال من بين أكثر القطاعات استهدافاً على مستوى العالم، إذ يستحوذ على 12% من النشاط المرصود. وتستقطب المؤسسات المالية جهات إجرامية وجهات مرتبطة بدول لأسباب متعددة، أبرزها امتلاكها أصولاً عالية القيمة، وارتباطها بمعلومات استراتيجية، ودورها المباشر في حركة الاقتصاد العالمي.
ويرصد التقرير، الذي يغطي الفترة من 1 أبريل 2025 حتى 31 مارس 2026، تحولاً واضحاً في طبيعة الهجمات، مع تركيز متزايد على الوصول الخفي إلى الأنظمة، واستغلال الأجهزة المعرضة للثغرات، وتنفيذ عمليات اختراق تهدف إلى سرقة البيانات أو الابتزاز أو جمع المعلومات. كما يشير إلى أن عدد الاختراقات التي تعتمد على التفاعل اليدوي المباشر مع الأنظمة ارتفع 43% عالمياً و48% في أميركا الشمالية خلال العامين الماضيين.
هذا النوع من الهجمات لا يعتمد فقط على البرمجيات الخبيثة التقليدية، بل يستند إلى قدرات متقدمة في التسلل، واستخدام صلاحيات مشروعة، والتحرك داخل البيئة الرقمية للمؤسسة دون إثارة الانتباه مبكراً. ويجعل ذلك المؤسسات المالية أمام تحدٍ مزدوج: حماية الأنظمة الأساسية، ورصد النشاط غير المعتاد قبل أن يتحول إلى خرق واسع النطاق.
هجمات الابتزاز وسرقة البيانات تتسارع
يشير التقرير إلى أن نشاط الجريمة الإلكترونية ضد الخدمات المالية ارتفع بوضوح خلال 2025. فقد أدرجت جماعات الهجوم واسعة النطاق 423 كياناً من القطاع المالي على مواقع التسريب المخصصة للابتزاز، بزيادة سنوية بلغت 27%. ويعكس ذلك استمرار الاعتماد على نموذج الابتزاز متعدد المراحل، حيث يبدأ المهاجمون بالتسلل إلى الشبكة، ثم سرقة البيانات الحساسة، قبل تهديد الضحية بالنشر العلني أو تعطيل الأعمال.
ومن بين المجموعات الأكثر نشاطاً خلال الفترة المشمولة بالتقرير، برزت جهات استخدمت أساليب متنوعة لتوسيع نطاق الهجوم، سواء عبر بيع الوصول إلى أطراف أخرى، أو تشغيل حملات اختراق عالية الإيقاع تستهدف المؤسسات القانونية والمالية، أو استهداف شركات التأمين بعد فترات من التوقف النسبي. وتكشف هذه الديناميكية أن المشهد الإجرامي لم يعد ثابتاً، بل يتحرك عبر شبكات متداخلة من الوسطاء والمشغلين ومشتري الوصول.
كما تناول التقرير أنماطاً أخرى من النشاط الإجرامي، من بينها حملات تستهدف مؤسسات مالية في مناطق متعددة عبر رسائل تمويه مرتبطة بالمعاملات والتحويلات، مع نشر أدوات تحكم عن بعد داخل البيئات المستهدفة. وفي بعض الحالات، ركزت العمليات على مؤسسات مالية في البرازيل بهدف الوصول إلى أنظمة الدفع وتنفيذ معاملات احتيالية. ويؤكد ذلك أن المهاجمين باتوا يفضلون الهجمات المصممة بعناية وفق طبيعة السوق المستهدفة والبنية التشغيلية لكل مؤسسة.
الجهات المرتبطة بدول توسع جمع المعلومات وسرقة الأصول الرقمية
لا يقتصر التهديد على العصابات الإجرامية، إذ يوضح التقرير أن جهات مرتبطة بكوريا الشمالية واصلت استهداف شركات العملات المشفرة والتقنية المالية. ووفقاً للبيانات الواردة، سرقت هذه الجهات 2.02 مليار دولار من الأصول الرقمية خلال 2025، بزيادة 51% عن العام السابق، في مؤشر على اتساع نطاق الاعتماد على العملات المشفرة كمصدر تمويل غير مباشر لأنشطة النظام.
ومن بين أكثر العمليات لفتاً للانتباه، استخدام برمجيات تبدو مشروعة لكنها جرى تزويدها بقدرات خبيثة عبر سلسلة التوريد، ما أدى إلى واحدة من أكبر عمليات السرقة المالية الرقمية المعلنة حتى الآن. كما رصد التقرير ارتفاعاً في وتيرة العمليات الاجتماعية الهندسية، بما يشمل انتحال صفة جهات توظيف، واستخدام تحديات برمجية مزيفة، وبيئات اجتماعات فيديو اصطناعية لخداع موظفين أو مطورين داخل شركات التقنية المالية والبنوك.
في المقابل، برزت جهات مرتبطة بالصين بوصفها الأكثر تركيزاً على جمع المعلومات الاستخبارية داخل القطاع المالي، خصوصاً في جنوب وجنوب شرق آسيا. وتشير المؤشرات إلى اهتمام بهذه الأسواق بوصفها نقاطاً مهمة لفهم البنى المالية الإقليمية وحركة الاقتصاد، وليس فقط كأهداف لسرقة الأموال المباشرة. واستخدمت هذه الجهات مزيجاً من البرمجيات الخبيثة وأدوات الوصول عن بعد وآليات توجيه متقدمة لاستهداف حسابات البريد المؤسسي والبنية السحابية.
ومن بين الأساليب المرصودة استخدام شبكات وسيطة موزعة جغرافياً للوصول إلى حسابات البريد في مايكروسوفت 365، واستهداف مئات المؤسسات عبر عشرات الدول والقطاعات، بما في ذلك الخدمات المالية. وتوضح هذه الأنماط أن جمع المعلومات يظل هدفاً رئيسياً بقدر ما هي السرقة المالية، لأن البيانات التشغيلية والاتصالات الداخلية قد تمنح المهاجمين أفضلية طويلة الأمد.
الذكاء الاصطناعي يرفع وتيرة الهجوم والدفاع معاً
يحذر التقرير من أن تطور قدرات الذكاء الاصطناعي قد يغير إيقاع الهجمات أكثر من تغيير طبيعتها الأساسية. فالمهاجمون يستطيعون استخدام الأدوات الذكية لتسريع الاستطلاع، وتخصيص الرسائل الاحتيالية، وصياغة محتوى أكثر إقناعاً، وتحسين القدرة على تجاوز آليات الكشف. ومع زيادة الاعتماد على الأتمتة، يصبح تنفيذ حملات واسعة النطاق أسرع وأقل كلفة وأكثر مرونة.
لكن الذكاء الاصطناعي لا يخدم المهاجمين وحدهم. فالمؤسسات المالية تحتاج إلى دفاعات قائمة على الاستخبارات الأمنية، والرصد المستمر، والبحث الاستباقي عن التهديدات داخل البيئة الداخلية. ويؤكد التقرير أن القدرة على ربط الإشارات الصغيرة بسياقها الكامل أصبحت ضرورة، لأن كثيراً من الهجمات الحديثة تبدأ بنشاط منخفض الضوضاء قبل أن تتوسع إلى خرق شامل.
كما يشدد على أهمية السرعة في الاستجابة، إذ لم تعد عمليات الاحتواء التقليدية كافية عندما تكون الهجمات مدفوعة بأدوات متقدمة وقدرات أتمتة عالية. ومن ثم، فإن الجمع بين الرصد المستمر، والتحليل السياقي، والبحث اليدوي عن التهديدات، وتحديث ضوابط الوصول، يظل خط الدفاع الأكثر فاعلية أمام هذا النوع من الهجمات.
ما الذي يعنيه ذلك للمؤسسات المالية
تُظهر نتائج التقرير أن المؤسسات المالية تواجه بيئة تهديدات متعددة الطبقات، تبدأ من الابتزاز وسرقة البيانات، وتمتد إلى اختراقات موجهة لجمع المعلومات، ولا تنتهي عند سرقة الأصول الرقمية. وهذا التنوع يجعل أي مؤسسة مالية، من بنك تقليدي إلى شركة تقنية مالية أو منصة تداول، عرضة لسلسلة من المخاطر المتداخلة إذا كانت تدابير الحماية غير متماسكة.
الرسالة الأبرز في التقرير هي أن الدفاع لم يعد مسألة أدوات منفصلة، بل منظومة متكاملة تجمع بين الذكاء الاستخباري، والجاهزية التشغيلية، والقدرة على التحرك السريع عندما تظهر مؤشرات أولية على نشاط غير مشروع. وفي سوق تتسارع فيه الهجمات بالتوازي مع تطور أدوات الذكاء الاصطناعي، تبدو القدرة على الرؤية الدقيقة والاستجابة المبكرة العامل الفاصل بين احتواء الحادثة وتحوّلها إلى أزمة مؤسسية.