جبهه‌اي خاموش با تسليحات هوش مصنوعي

فضاي مجازي در زمان بحران، به يكي از اصلي‌ترين ميدان‌هاي نبرد اطلاعاتي تبديل مي‌شود. در چنين شرايطي، حملات فيشينگ تنها براي دزديدن رمز عبور يا اطلاعات مالي نيستند؛ بلكه ابزارهايي براي ايجاد رعب، نفوذ اطلاعاتي و دستكاري افكار عمومي به شمار مي‌روند. طبق گزارش «چشم‌انداز جهاني امنيت سايبري ۲۰۲۵» از مجمع جهاني اقتصاد، در سال گذشته بيش از ۴۲ درصد از سازمان‌ها در سراسر جهان هدف حملات فيشينگ يا مهندسي اجتماعي قرار گرفتند. بر اساس داده‌هاي شركت  KnowBe4، در شش ماه پاياني سال ۲۰۲۴، تعداد ايميل‌هاي فيشينگ ۱۷.۳ درصد افزايش يافته و بيش از نيمي از آنها حاوي لينك‌هاي مخرب بوده‌اند كه اغلب از طريق حساب‌هاي واقعي و هك‌شده ارسال شده‌اند. در زمان جنگ و ناآرامي، حملات فيشينگ نه‌تنها شايع‌تر، بلكه به‌مراتب خطرناك‌تر از شرايط عادي مي‌شوند. نخست آنكه حس اضطرار و نگراني عمومي باعث مي‌شود افراد بدون دقت كافي به پيام‌هايي با عناويني مانند «هشدار فوري» يا «اطلاعيه امنيتي» واكنش نشان دهند. اين فضا فرصت مناسبي براي مهاجمان فراهم مي‌كند تا با شبيه‌سازي پيام‌ها يا ايميل‌هايي از طرف نهادهاي دولتي، امدادي يا رسانه‌هاي رسمي، اعتماد افراد را جلب كنند. از سوي ديگر در شرايط بحران، دسترسي به منابع خبري معتبر معمولاً محدود مي‌شود يا به‌دليل قطعي اينترنت و سانسور، پيام‌هاي تأييدنشده بيشتر در گردش قرار مي‌گيرند. در چنين وضعيتي، كاربران تمايل بيشتري به باز كردن لينك‌ها يا فايل‌هاي ناشناس دارند. خطر ديگر هدف‌گيري گروه‌هاي حساس مانند روزنامه‌نگاران، فعالان اجتماعي و امدادگران است؛ افرادي كه نقش كليدي در اطلاع‌رساني و مستندسازي بحران‌ها دارند و نفوذ به حساب‌هاي آنها مي‌تواند تبعات امنيتي گسترده‌تري به‌دنبال داشته باشد. به همين دليل، مقابله با فيشينگ در زمان جنگ نيازمند هوشياري عمومي، آموزش هدفمند و زيرساخت‌هاي دفاعي قوي‌تري است.

 نمونه‌هاي واقعي: فيشينگ در جنگ و منازعات

در جريان جنگ اوكراين، گروه‌هاي مرتبط با روسيه مانند UNC5792 و UNC4221 با استفاده از ترفند quishing (فيشينگ با QR كد) كاربران اپليكيشن Signal را هدف قرار دادند. اين تكنيك افراد را فريب داده و از طريق لينك دستگاه ديگر به پيام‌ها دسترسي پيدا كردند. چنين روش‌هايي نشان مي‌دهد كه حملاتي كه ابتدا در مناطق جنگي اجرا مي‌شوند، به سرعت در سطح جهاني پخش مي‌شوند.

     پيچيدگي بيشتر حملات با هوش مصنوعي
توسعه هوش مصنوعي امكان اجراي كمپين‌هاي فيشينگ پلي‌مورفيك را فراهم آورده كه با تغييرات ظريف در هر ايميل، فيلترهاي امنيتي را دور مي‌زنند. در ۷۶.۴ درصد از تمام حملات فيشينگ ۲۰۲۴ حداقل يك ويژگي پلي‌مورفيك مشاهده شده است. همچنين Fortinet در گزارش ۲۰۲۵ خود افزايش چشمگير خودكارسازي فرآيند حملات را تاييد مي‌كند.

     فيشينگ در حال تغيير چشم‌انداز تهديدها
در چشم‌انداز نوظهور تهديدهاي سايبري، حملات فيشينگ با بهره‌گيري از هوش مصنوعي وارد مرحله‌اي جديد و پيچيده شده‌اند. پژوهش‌هاي اخير نشان مي‌دهند كه در سال ۲۰۲۴، بيش از ۷۶ درصد از حملات فيشينگ حداقل از يك ويژگي «پُليمورفيك» برخوردار بوده‌اند؛ يعني ايميل‌هايي تقريباً مشابه كه تنها با جزييات كوچكي با يكديگر تفاوت دارند. اين تغييرات كوچك، تشخيص حمله را براي سيستم‌هاي امنيتي مبتني بر شناسايي تهديدهاي شناخته‌شده، مانند بلاك‌ليست‌ها يا درگاه‌هاي ايميل امن سنتي، بسيار دشوار مي‌كند. حتي فناوري‌هاي بومي شركت‌هايي مانند مايكروسافت نيز در برابر اين نوع حملات چندشكلي كارايي كمتري دارند. در واقع، فيشينگ پُليمورفيك كه به‌ويژه در حملات انبوه و موسوم به «white noise phishing » به‌كار مي‌رود، اكنون نه‌فقط تشخيص، بلكه پاك‌سازي آنها را از صندوق ورودي كاربران در سطح سازمان نيز به چالشي جدي تبديل كرده است. ظهور اين نوع حملات نشان مي‌دهد كه فيشينگ ديگر صرفاً تقليدي ساده از ايميل‌هاي واقعي نيست، بلكه به بازي پيچيده‌اي از تغيير چهره دايمي تبديل شده كه تنها با فناوري‌هاي امنيتي پيشرفته و تحليل رفتاري قابل مهار است.

     آمار فيشينگ ايميل ۲۰۲۴
نمودار «Polymorphic Phishing Emails in 2024» روندي صعودي و نگران‌كننده از پيشرفت حملات فيشينگ در طول سال ۲۰۲۴ را به تصوير مي‌كشد. طبق داده‌ها، در ابتداي سال تنها ۴۵.۵ درصد از ايميل‌هاي فيشينگ داراي عناصر پُليمورفيك-يعني تغييرات جزئي و مداوم براي دور زدن سيستم‌هاي امنيتي بودند، اما اين رقم در دسامبر به ۷۴.۳ درصد رسيد. اين رشد مستمر نشان‌دهنده آن است كه مهاجمان به شكل فزاينده‌اي از تكنيك‌هاي پيچيده براي گمراه‌كردن فيلترهاي سنتي استفاده مي‌كنند. در حالي كه در ماه آوريل كاهش نسبي به ۴۲.۲ درصد ديده مي‌شود، از ژوئن به بعد اين حملات با سرعتي چشمگير افزايش يافته‌اند و در سه‌ماهه پاياني سال به اوج خود رسيده‌اند؛ همزمان با دوره‌هايي كه كاربران بيشترين فعاليت آنلاين را دارند، مانند فصل خريد تعطيلات يا ناآرامي‌هاي اجتماعي و سياسي. اين آمار نشان مي‌دهد فيشينگ پُليمورفيك ديگر يك تكنيك حاشيه‌اي نيست، بلكه به الگوي غالب در فضاي تهديدات سايبري تبديل شده و مقابله با آن نيازمند رويكردهاي نوين مبتني بر تحليل رفتاري و هوش مصنوعي است.

پيوند فيشينگ و باج‌افزار  در دوره تشديد تهديدات سايبري

با شدت‌گرفتن بحران‌هاي سايبري، حملات باج‌افزاري وارد مرحله‌اي پيچيده‌تر شده‌اند. ظهور مدل‌هايي مانند «باج‌افزار به عنوان سرويس» (RaaS) و استفاده از هوش مصنوعي براي توليد محتواي فريبنده، باعث افزايش حجم و پيچيدگي اين حملات شده است. در اين ميان، فيشينگ همچنان مسير اصلي نفوذ باج‌افزارها است. فقط در زمستان ۱۴۰۳، توزيع باج‌افزار از طريق فيشينگ بيش از ۵۷ درصد رشد داشته است. مهاجمان با استفاده از روش‌هايي مانند HTML Smuggling و افزايش اندازه فايل‌هاي آلوده، سعي در عبور از فيلترهاي امنيتي و رسيدن به سيستم‌هاي قربانيان دارند. اين وضعيت نيازمند هوشياري بيشتر و تقويت راهكارهاي دفاعي در برابر حملات پيشرفته است. در سال‌هاي اخير، روند تكامل حملات فيشينگ و بدافزارها نشان مي‌دهد كه مهاجمان به‌صورت فزاينده‌اي از روش‌هاي پيچيده‌تر و هوشمندانه‌تر براي دور زدن سامانه‌هاي امنيتي استفاده مي‌كنند. تحليل داده‌ها حاكي از آن است كه بيش از ۶۳ درصد فايل‌هاي مخرب پيوست‌شده در ايميل‌ها، از جمله باج‌افزارها، حجمي كمتر از ۱۰۰ كيلوبايت دارند؛ اين ويژگي باعث مي‌شود كه اين فايل‌ها به‌راحتي از سد بسياري از فيلترهاي امنيتي عبور كنند و بدون جلب‌توجه وارد سيستم قرباني شوند. از سوي ديگر، ميانگين حجم فايل‌هاي HTML كه در ايميل‌هاي فيشينگ به‌كار مي‌روند، از حدود ۲۰ كيلوبايت در سال ۲۰۲۱ به بيش از ۷۳۵ كيلوبايت در سال ۲۰۲۵ رسيده است. اين افزايش چشمگير كه بيش از ۳۵ برابر در چهار سال گذشته بوده، ناشي از رواج تكنيكي به‌نام HTML smuggling است كه به مهاجمان اجازه مي‌دهد كدهاي مخرب را به‌صورت پنهان در قالب HTML وارد كنند. اين تغييرات نشان مي‌دهد كه اتكا به فيلترينگ ساده حجم يا فرمت فايل ديگر كافي نيست و سازمان‌ها بايد با بهره‌گيري از تحليل رفتاري، نظارت پيشرفته و آموزش مداوم كاركنان، آمادگي مقابله با اين تهديدات نوظهور را داشته باشند.

 اقدامات حفاظتي براي افراد

براي مقابله با حملات فيشينگ در شرايط بحراني، رعايت چند اقدام حفاظتي ساده اما موثر مي‌تواند نقش مهمي در حفظ امنيت فردي ايفا كند. پيش از هر چيز، بايد نسبت به فرستنده‌ پيام‌ها و لينك‌هاي ارايه‌شده با دقت بيشتري برخورد كرد؛ حتي در مواردي كه پيام حالتي اضطراري دارد، بررسي آدرس فرستنده و مطمئن شدن از رسمي بودن آن ضروري است. فعال‌سازي احراز هويت دو مرحله‌اي (2FA) بر روي حساب‌هاي ايميل و پيام‌رسان‌ها نيز لايه‌اي اضافي از امنيت فراهم مي‌كند. استفاده از مرورگرهاي امن همراه با افزونه‌هايي مانند HTTPS Everywhere، به‌ويژه در دسترسي به سايت‌هاي خبري يا منابع اطلاعاتي، ريسك حملات را كاهش مي‌دهد. همچنين توصيه مي‌شود از VPN و نرم‌افزارهايي استفاده شود كه از منابع معتبر و رسمي، به‌ويژه در هنگام دريافت اطلاعات حساس در شرايط جنگي يا ناآرام نصب شده‌اند. آموزش منظم و دوره‌اي افراد كم‌تجربه‌تر مانند سالمندان يا كاربران كمتر آگاه است؛ چراكه حملات فيشينگ شخصي‌شده از طريق پيامك (smishing) يا تماس تلفني (vishing) در حال افزايش است. تنها در سال ۲۰۲۴، حملات فيشينگ تلفني ۳۰ درصد رشد داشته و حدود ۷۶ درصد كسب‌وكارها دست‌كم يك‌بار هدف ايميل يا پيامك جعلي قرار گرفته‌اند. آگاهي عمومي و رفتار مسوولانه، نخستين خط دفاع در برابر اين تهديدهاي سايبري‌اند.

 اهميت آموزش كاربران در شرايط بحراني

در دوران جنگ و بي‌ثباتي، مهاجمان سايبري با بهره‌گيري از اضطراب عمومي و اخبار جعلي، حملات فيشينگ را هدفمندتر اجرا مي‌كنند. در چنين شرايطي، آگاهي كاربران نخستين و موثرترين خط دفاع است. بيش از ۹۰درصد موفقيت حملات فيشينگ به‌دليل خطاي انساني رخ مي‌دهد. بنابراين، آموزش مستمر براي شناسايي ايميل‌هاي جعلي، لينك‌هاي مشكوك، ضمايم آلوده و درخواست‌هاي غيرعادي براي اطلاعات ورود، امري حياتي است. استفاده از پلتفرم‌هايي مانند KnowBe4 و Hoxhunt براي اجراي تست‌هاي فيشينگ شبيه‌سازي‌شده و آموزش شخصي‌سازي‌شده مي‌تواند سطح آمادگي كاربران را افزايش دهد.

استقرار لايه‌هاي فني براي مقابله با فيشينگ

براي مهار فيشينگ، تنها آموزش كافي نيست و بايد زيرساخت‌هاي فني نيز تقويت شوند. استفاده از دروازه‌هاي امنيتي ايميل مانند Proofpoint يا Barracuda، كه لينك‌ها و پيوست‌ها را پيش از رسيدن به كاربر اسكن مي‌كنند، يك سد اوليه قوي محسوب مي‌شود. فعال‌سازي احراز هويت چندمرحله‌اي (MFA) براي تمامي سرويس‌ها مي‌تواند در صورت لو رفتن گذرواژه‌ها، از ورود مهاجم جلوگيري كند. همچنين، فناوري‌هاي تشخيص ناهنجاري رفتاري مبتني بر هوش مصنوعي مي‌توانند الگوهاي مشكوك را شناسايي كرده و هشدار دهند. پياده‌سازي ركوردهاي DMARC، SPF و DKIM نيز راهكاري موثر براي جلوگيري از جعل هويت ايميل‌هاي سازماني است.
 
 معماري اعتماد صفر؛ مناسب براي زمان جنگ

مدل «Zero Trust» يا اعتماد صفر، هيچ كاربر يا دستگاهي را به‌صورت پيش‌فرض قابل اعتماد نمي‌داند. اين رويكرد، با اعمال كنترل دقيق بر دسترسي‌ها بر اساس نقش افراد و تفكيك‌بندي شبكه، از گسترش حمله در صورت نفوذ جلوگيري مي‌كند. استفاده از ابزارهايي مانند Zscaler يا Cisco Zero Trust مي‌تواند امنيت زيرساخت‌هاي حساس را در برابر حملات هدفمند به‌طور چشمگيري افزايش دهد. 

 هوش تهديد و رصد مستمر

در مواجهه با تهديدات پويا و سريع، رصد فعال تهديدات سايبري ضرورت دارد. استفاده از پلتفرم‌هاي هوش تهديد مانند Recorded Future و Mandiant براي شناسايي كمپين‌هاي فيشينگ جديد، بررسي نشت اطلاعات در دارك‌وب، و به‌روزرساني مداوم مرورگرها و ابزارهاي امنيتي (مانند Google Safe Browsing) از جمله اقداماتي است كه سازمان‌ها را يك گام جلوتر نگاه مي‌دارد.

آمادگي براي پاسخ به حادثه

هر سازمان بايد برنامه‌ مشخصي براي واكنش به حملات فيشينگ داشته باشد. اين شامل تعيين روند گزارش‌دهي، قطع ارتباط سيستم آلوده از شبكه، اطلاع‌رساني داخلي و اجراي پروتكل‌هاي بازيابي است. همچنين تدوين سياست‌هاي امنيتي، ايجاد چارچوب قانوني براي محافظت از داده‌ها و همكاري با نهادهاي بين‌المللي مقابله با فيشينگ (مانند Anti-Phishing Working Group) بسيار موثر خواهد بود.

راهكارهاي نوين  براي مقابله با تهديدات مدرن

با تغيير چهره فيشينگ و ظهور تكنيك‌هايي مانند «Quishing» (فيشينگ از طريق باركدهاي QR)، استفاده از فناوري‌هاي نوين نيز اهميت يافته است. ابزارهاي اسكن باركد كه مقصد لينك را پيش از باز شدن بررسي مي‌كنند، احراز هويت بدون رمز عبور مبتني بر استانداردهاي FIDO2 و WebAuthn، و مدل‌هاي هوش مصنوعي كه محتواي ايميل را از نظر لحن و هدف تحليل مي‌كنند، همگي به ارتقاي سطح امنيت كمك مي‌كنند.