چطور ربات هوش مصنوعی متا دروازهای برای سرقت اکانتهای اینستاگرام شد؟
هکرها با فریب دستیار هوش مصنوعی متا، اکانتهای ارزشمند اینستاگرام از جمله کاخ سفید اوباما را هک کردند. داستان آسیبپذیریای که نشان میدهد AI میتواند به اندازه انسان فریب بخورد.
آخر هفتهای که گذشت، صفحه اینستاگرام کاخ سفید دوران اوباما و حساب فرمانده ارشد نیروی فضایی آمریکا با تصاویر و پیامهای طرفدار ایران پر شد. این اتفاق نه نتیجه یک حمله پیچیده سایبری، بلکه نتیجه یک گفتگوی ساده با یک ربات هوش مصنوعی بود که برای کمک به کاربران طراحی شده بود.
این حادثه پرسش مهمی را مطرح میکند: وقتی مسئولیت امنیت حسابهای کاربری را به دست الگوریتمهای هوش مصنوعی میسپاریم، آیا در واقع داریم دروازههای امنیتی را به روی نوع جدیدی از تهدید باز میکنیم؟
آناتومی یک حمله ساده ولی مؤثر
اواخر می۲۰۲۶، کانالهای تلگرام مرتبط با هکرهای ایرانی شروع به انتشار ویدیویی کردند که روش جدیدی برای سرقت اکانتهای اینستاگرام را نشان میداد. جالب اینجاست که این روش نه به استفاده از بدافزار پیچیده نیاز داشت و نه به نفوذ در پایگاههای داده متا.
روش کار به شگفتآور ساده بود: مهاجم ابتدا با استفاده از VPN، آدرس IP خود را به منطقه جغرافیایی قربانی تغییر میداد. سپس درخواست بازیابی رمز عبور برای اکانت هدف را ارسال میکرد. اما به جای طی کردن مسیر معمول بازیابی، گزینه گفتگو با دستیار پشتیبانی هوش مصنوعی متا را انتخاب میکرد.
در این مرحله، سناریوی واقعی آغاز میشد: مهاجم از ربات میخواست که یک آدرس ایمیل جدید را به حساب کاربری متصل کند. ربات، که برای کمک به کاربران طراحی شده بود، بدون هیچ تردیدی این درخواست را اجرا میکرد و یک کد یکبار مصرف به آدرس ایمیل جدید ارسال میکرد. با دریافت این کد، مهاجم میتوانست رمز عبور حساب را تغییر دهد و کنترل کامل آن را در دست بگیرد.
چرا متا به رباتهای هوش مصنوعی روی آورد؟
برای درک این آسیبپذیری، باید به معضلی بنیادی در ساختار پشتیبانی متا نگاه کنیم. اینستاگرام سالهاست که به داشتن یکی از ضعیفترین سیستمهای پشتیبانی انسانی در میان پلتفرمهای بزرگ معروف است.
بازیابی یک حساب قفلشده، بهخصوص اگر حساب ارزشمند باشد، میتواند هفتهها طول بکشد. کاربران مجبورند با یک سیستم تیکتینگ خودکار دست و پنجه نرم کنند که اغلب پاسخهای کلیشهای و غیرمفید میدهد. این وضعیت نه تنها برای کاربران عادی، بلکه حتی برای کسبوکارها و نهادهای رسمی هم دردسرساز بوده است.
راهحل متا برای این مشکل، پیادهسازی یک لایه گفتگوی هوش مصنوعی بود که قرار بود فرآیندهای رایج بازیابی را مدیریت کند: اتصال مجدد یک آدرس ایمیل از دست رفته، راهاندازی فرآیند بازنشانی رمز عبور، و تأیید مالکیت حساب. هدف، کاهش اصطکاک برای کاربران واقعی بود که در دوزخ عدم دسترسی به حساب خود گیر کرده بودند.
اما همانطور که این حادثه نشان داد، این راهحل خودش به یک نقطه ضعف امنیتی تبدیل شد.
هوش مصنوعی: همان آسیبپذیری انسان، با سرعت ماشین
محققان امنیتی سالهاست که درباره مهندسی اجتماعی هشدار میدهند. کارمندان پشتیبانی انسانی میتوانند فریب بخورند و دسترسی غیرمجاز به حساب کاربری شخصی دیگری بدهند. اما حداقل یک انسان میتواند از قضاوت، شک، و شهود استفاده کند.
رباتهای هوش مصنوعی، برعکس، با یک هدف ساده طراحی شدهاند: کمک کردن. آنها برای حل مشکلات کاربران بهینهسازی شدهاند، نه برای شک کردن به نیت آنها. این همان چیزی است که متخصصان امنیتی آن را «سطح حمله جدید» مینامند.
ایان گلدین، محقق تهدیدات در Black Lotus Labs، میگوید: «رباتهای چت هوش مصنوعی فضای حمله جالبی ایجاد میکنند و احتمالاً شاهد تعداد بیشتری از این نوع حملات خواهیم بود. » او تأکید میکند که درست مثل کارمندان پشتیبانی انسانی که میتوانند مهندسی اجتماعی شوند، رباتهای هوش مصنوعی هم به همان اندازه مشتاق کمک کردن و آسیبپذیر در برابر متقاعدسازی و فریب هستند.
خسارات واقعی: از پروفایلهای دولتی تا اکانتهای ارزشمند
کانال تلگرامی که این ویدیو را منتشر کرد، تنها به نشان دادن روش حمله بسنده نکرد. آنها اسکرینشاتهایی از تصاویر، ویدیوها و پیامهای طرفدار ایران منتشر کردند که صفحات هکشده را تخریب کرده بود. اما جالبتر از همه، ادعای آنها درباره سرقت تعدادی نام کاربری کوتاه و ارزشمند اینستاگرام بود که ارزش بازاری آنها را بیش از نیم میلیون دلار اعلام کردند.
این نشان میدهد که این آسیبپذیری نه فقط برای اهداف سیاسی یا ایدئولوژیک، بلکه برای سود مالی نیز قابل بهرهبرداری بود. بازار سیاه نامهای کاربری کوتاه اینستاگرام یک صنعت چندمیلیون دلاری است و این روش جدید میتوانست دروازهای برای سرقت گسترده این داراییهای دیجیتال باشد.
واکنش متا: وصله اضطراری و سکوت
متا به درخواستهای رسانهها برای اظهارنظر پاسخ نداد، اما اندی استون، سخنگوی شرکت، در توییتر اعلام کرد که مشکل حل شده و حسابهای آسیبدیده در حال امنسازی هستند. منابع امنیتی گزارش دادند که متا یک وصله اضطراری را آخر هفته منتشر کرد و تأکید کردند که هیچ پایگاه داده backend نفوذ نشده است.
این سرعت در واکنش نشان میدهد که متا جدیت موضوع را درک کرده بود. اما سؤال اصلی این است: چرا از همان ابتدا چنین آسیبپذیری آشکاری در سیستم بازیابی حساب وجود داشت؟
درسهای امنیتی برای کاربران
جالبترین نکته در ویدیوی منتشرشده توسط هکرها این بود که آنها صراحتاً اعلام کردند این روش در برابر حسابهایی که احراز هویت دو مرحلهای (MFA) فعال داشتند، کارساز نبود.
این یک یادآوری مهم است: حتی سادهترین شکل احراز هویت دو مرحلهای - یک کد یکبار مصرف ارسالی از طریق پیامک - میتوانست این حمله را خنثی کند. البته روشهای امنتر مثل کلیدهای امنیتی فیزیکی یا Passkey حفاظت بسیار قویتری ارائه میدهند.
این واقعیت نشان میدهد که بسیاری از آسیبپذیریهای امنیتی نه به دلیل پیچیدگی تکنولوژیکی، بلکه به دلیل غفلت کاربران از استفاده از ابزارهای موجود امنیتی رخ میدهند.
آینده امنیت در عصر هوش مصنوعی
این حادثه یک سیگنال هشدار برای کل صنعت تکنولوژی است. با اینکه شرکتهای بزرگ به سرعت در حال جایگزینی نیروی انسانی با سیستمهای هوش مصنوعی در بخشهای پشتیبانی هستند، باید بپرسیم: آیا این سیستمها واقعاً آماده مدیریت امنیت حسابهای میلیونها کاربر هستند؟
رباتهای هوش مصنوعی فعلی بر اساس مدلهای زبانی بزرگ کار میکنند که برای درک زبان طبیعی و پاسخگویی بهینهسازی شدهاند. اما آنها فاقد قضاوت امنیتی، توانایی تشخیص الگوهای مشکوک، و شهود انسانی هستند که میتواند یک درخواست مشکوک را از یک درخواست معتبر تشخیص دهد.
راهحل چیست؟ احتمالاً ترکیبی از محدودیتهای سختتر برای عملیات حساس (مثل تغییر ایمیل)، لایههای تأیید اضافی، و نظارت انسانی بر تصمیمات حیاتی رباتها. اما تا زمانی که این اصلاحات اتفاق نیفتاده، کاربران باید خودشان مسئولیت امنیت حسابهای خود را بر عهده بگیرند.
سرقت حساب اینستاگرام و نقش احراز هویت پیشرفته
این حادثه به وضوح نشان داد که سیستمهای بازیابی حساب مبتنی بر هوش مصنوعی میتوانند نقطه ضعف جدی باشند، بهخصوص برای حسابهای ارزشمند. هکرها با فریب ربات پشتیبانی متا توانستند لایههای امنیتی را دور بزنند و به حسابهایی دسترسی پیدا کنند که باید تحت حفاظت شدید قرار میگرفتند.
در چنین شرایطی، استفاده از روشهای احراز هویت چندمرحلهای اهمیت دوچندانی پیدا میکند. اگرچه این حمله خاص با فعال بودن حتی سادهترین شکل MFA خنثی میشد، اما برای حسابهای با ارزش بالا، استفاده از روشهای پیشرفتهتر ضروری است. کلیدهای امنیتی فیزیکی، اپلیکیشنهای احراز هویت، و تکنولوژیهای Passkey میتوانند لایههای محافظتی قویتری فراهم کنند که در برابر انواع حملات مهندسی اجتماعی - چه توسط انسان و چه توسط ربات - مقاوم هستند.
نتیجهگیری
حمله به حسابهای اینستاگرام از طریق فریب ربات هوش مصنوعی متا یک نقطه عطف در تاریخ امنیت سایبری است. این حادثه نشان داد که هوش مصنوعی، علیرغم تمام پتانسیلهایش، نمیتواند جایگزین کاملی برای قضاوت انسانی در مسائل امنیتی باشد.
در دنیایی که به سرعت به سمت اتوماسیون و استفاده از AI در همه جا حرکت میکنیم، باید هوشیارانهتر از همیشه به پیامدهای امنیتی این تصمیمات فکر کنیم. شرکتهای تکنولوژی باید یاد بگیرند که کارایی و راحتی نباید به قیمت امنیت تمام شود، و کاربران باید درک کنند که امنیت دیجیتال دیگر یک انتخاب نیست - بلکه یک ضرورت است.
پرسشهای متداول
چگونه هکرها توانستند با ربات هوش مصنوعی متا حسابهای اینستاگرام را بدزدند؟+
هکرها با استفاده از VPN برای جعل موقعیت جغرافیایی، درخواست بازیابی رمز عبور میدادند و سپس با ربات پشتیبانی AI متا گفتگو میکردند. آنها از ربات میخواستند یک ایمیل جدید به حساب متصل کند و ربات بدون تأیید کافی این کار را انجام میداد، که به مهاجم اجازه میداد رمز عبور را تغییر دهد.
آیا احراز هویت دو مرحلهای میتواند از این نوع حملات جلوگیری کند؟+
بله، کاملاً. خود هکرها در ویدیوی منتشرشده اعلام کردند که این روش در برابر حسابهایی که احراز هویت دو مرحلهای (MFA) فعال داشتند کارساز نبود. حتی سادهترین شکل MFA مانند کد پیامکی میتواند این حمله را خنثی کند، اما استفاده از روشهای امنتر مثل کلیدهای امنیتی یا Passkey توصیه میشود.
چرا رباتهای هوش مصنوعی در برابر مهندسی اجتماعی آسیبپذیر هستند؟+
رباتهای هوش مصنوعی برای کمک کردن و حل مشکلات کاربران طراحی شدهاند، نه برای شک کردن به نیت آنها. آنها فاقد قضاوت انسانی، شهود و توانایی تشخیص الگوهای مشکوک هستند. درست مثل کارمندان پشتیبانی انسانی که میتوانند فریب بخورند، رباتهای AI هم میتوانند با درخواستهای متقاعدکننده فریب بخورند - با این تفاوت که آنها با سرعت بسیار بیشتری عمل میکنند.
متا چه واکنشی به این آسیبپذیری نشان داد؟+
متا یک وصله امنیتی اضطراری را در آخر هفته منتشر کرد و اعلام کرد که حسابهای آسیبدیده را امنسازی کرده است. شرکت تأکید کرد که هیچ پایگاه داده backend نفوذ نشده و مشکل در لایه ربات پشتیبانی بوده است. با این حال، متا به درخواستهای رسمی برای اظهارنظر تفصیلی پاسخ نداد.
چه نوع حسابهایی هدف این حمله قرار گرفتند؟+
هکرها هم حسابهای با ارزش سیاسی و دولتی مثل صفحه کاخ سفید دوران اوباما و فرمانده ارشد نیروی فضایی آمریکا را هدف قرار دادند و هم نامهای کاربری کوتاه و ارزشمند اینستاگرام را که در بازار سیاه ارزش مالی بالایی دارند. برخی از این نامهای کاربری ارزشی بیش از نیم میلیون دلار داشتند.
منابع و مراجع
۱ مرجع
مقالات مرتبط
از همین دسته یا موضوعات نزدیک
