وقتی پیامک‌ها و اپ‌ها خطرناک‌تر از ایمیل می‌شوند...

«ابلاغیه الکترونیک قضایی حساب کاربری شما در سامانه ابلاغیه الکترونیک ثنا در تاریخ 21/10/1404 ثبت شد. شکواییه علیه شما با کد رهگیری: 0702559954. جزئیات بیشتر در لینک زیر...»

«پیرو اصلاح نظام توزیع یارانه‌ها، خانوار مشمول دریافت یارانه نشده است. ثبت نام مجدد در لینک زیر:...»

احتمالا شما هم از این دست پیامک‌ها دریافت کرده‌اید یا حداقل همان پیام کذایی در تلگرام را دیده باشید: «چند تا عکس یادگاری داشتیم. با هوش مصنوعی درستشون کردم، حتما ببین...» این پیام‌ها درواقع فیشینیگ موبایلی به شمار می‌روند که با القای فوریت و اضطرار در قربانی، سعی در دزدیدن اطلاعات یا نفوذ به گوشی موبایل می‌کنند.

این نوع فیشینیگ نه تنها در ایران بلکه در جهان نیز به ترند محبوب مهاجمان تبدیل شده است.

فیشینگ موبایلی ترند جدید حمله‌ها

گزارش اخیر ورایزون نشان می‌دهد با قوی‌تر شدن فیلترها و راهکارهای ضد فیشینگ ایمیلی، مهاجمان سایبری مسیرهای تازه‌ای را برای فریب پیدا کرده‌اند: از طریق پیامک‌ها و تماس‌های تلفنی. این امر بدین معناست که فیشینگ حالا بیش از هر زمان دیگری روی موبایل متمرکز شده و سازمان‌ها باید سدهای دفاعی خود را متناسب با این تغییر به‌روزرسانی کنند.

تغییر میدان حمله: موبایل خطرناک‌تر از ایمیل

ورایزون در گزارش DBIR 2026 که بر پایه داده‌های بیش از ۳۱ هزار رخداد امنیتی واقعی در سال ۲۰۲۵ و ۲۲ هزار رخنه داده تأییدشده در ۱۴۵ کشور تهیه شده، به یک جمع‌بندی واضح رسیده است: موبایل می‌تواند از ایمیل خطرناک‌تر باشد.

در این گزارش تاکید شده است که حملات موبایل‌محور نه‌تنها رو به افزایش‌ هستند، بلکه از نظر اثربخشی هم عملکرد بهتری دارند. بدین ترتیب به نظر می‌رسد که سازوکارهای فعلیِ مقابله با فیشینگ به هیچ عنوان کافی نیستند.

پیامک و تماس؛ «طعمه»‌های موفق‌تر از ایمیل

طبق ارزیابی‌های شبیه‌سازی فیشینگ در داده‌های ورایزون، حملات موبایلی، شامل کلاهبرداری پیامکی و فیشینگ صوتی (ویشینگ)، توانسته‌اند نرخ تعامل بالاتری نسبت به ایمیل ثبت کنند.

در این شبیه‌سازی‌ها، نرخ کلیک فیشینگ ایمیلی به‌طور متوسط ۱.۴ درصد بوده، در حالی که فیشینگ مبتنی بر تلفن حدود ۲ درصد گزارش شده است؛ یعنی فیشینگ موبایلی حدود ۴۰ درصد موفق‌تر از ایمیل عمل می‌کند.

عنصر انسانی همچنان نقطه ضعف اصلی

براساس گزارش ورایزون، با وجود رشد آگاهی عمومی درباره امنیت سایبری، مهاجمان همچنان روی یک حقیقت حساب می‌کنند: انسان‌ها معمولاً ضعیف‌ترین حلقه زنجیره امنیت هستند.

«عنصر انسانی» در ۶۲ درصد رخنه‌های داده نقش دارد؛ رقمی که نسبت به سال قبل ۲ درصد افزایش داشته است. بسیاری از حمله‌ها با سوءاستفاده از اعتماد افراد آغاز می‌شوند و می‌توانند به سرقت داده، کلاهبرداری پرداخت و حتی رخدادهای سنگین‌تری مثل باج‌افزار و اخاذی ختم شوند.

«پرتکستینگ»؛ فیشینگِ ارتقایافته و خطرناک‌تر

وقتی ایمیل فیشینگ برای فریب قربانی کافی نیست، مهاجمان سراغ روشی می‌روند که ورایزون آن را Pretexting می‌نامد؛ این اصطلاح به معنای ساختن یک سناریوی باورپذیر و ایجاد اعتماد مرحله‌ای قبل از اجرای ضربه اصلی است.

در این شیوه، مهاجم ممکن است با پیام‌ها و تماس‌های متعدد، رابطه‌ای دوستانه و قابل‌اعتماد با قربانی بسازد و سپس در نقش یک مدیر، همکار یا فروشنده ظاهر شود. نمونه رایج آن در واحدهای مالی رخ می‌دهد: مهاجم پس از جلب اعتماد، قربانی را متقاعد می‌کند اطلاعات پرداخت فاکتور را تغییر دهد تا پول به‌جای تأمین‌کننده، به حساب مهاجم واریز شود.

طبق گزارش ورایزون، مهاجمان همچنین با جعل هویت پشتیبانی فنی یا کاربری که «نیاز به ریست رمز عبور» دارد، از این تاکتیک‌ها استفاده می‌کنند که نرخ موفقیت بالایی نیز دارد.

ایران درگیر موج مشابهی از فریب‌های پیامکی

در کشور ما نیز نمونه‌های مشابه این شیوه‌ها بارها دیده شده است؛ از پیامک‌های جعلی با عنوان یارانه، سامانه عدل، مرسولات پستی و موارد مشابه گرفته تا پیام‌هایی که با جلب اعتماد کاربر، او را به باز کردن لینک یا نصب فایل آلوده ترغیب می‌کنند.

شبکه‌های پشت پرده؛ از فایل آلوده تا پنل آماده

پیام‌هایی نیز در شبکه‌های اجتماعی ارسال می‌شود که قربانی را ترغیب به دانلود فایلی می‌کند. این پیام‌ها معمولاً فقط ظاهر ماجرا هستند و پشت آن‌ها شبکه‌ای از هکرها قرار دارد که فایل‌های آلوده را در گروه‌های تلگرامی می‌فروشند، پنل‌های فیشینگ آماده می‌خرند و از همین ابزارها برای کلاهبرداری، سرقت اطلاعات و حتی پول‌شویی استفاده می‌کنند. در این روش، پیام از طرف یکی از آشنایان یا اعضای خانواده ارسال می‌شود؛ فردی که خودش قربانی هک شده و ناخواسته فایل مخرب را برای دیگران می‌فرستد.

هشدار درباره بدافزارهای جدید

کارشناسان امنیت و پلیس فتا هم هشدار می‌دهند که بدافزارهای جدید فقط برای سرقت رمز بانکی طراحی نشده‌اند، بلکه می‌توانند به پیامک‌ها، مخاطبان، حساب‌های پیام‌رسان و حتی کیف‌پول‌های رمزارزی دسترسی پیدا کنند. این بدافزارها معمولاً در ظاهر یک فایل معمولی مانند عکس، PDF  یا زیپ دیده می‌شوند، اما پس از نصب، در پس‌زمینه فعال شده و اطلاعات گوشی را به سرورهای مهاجم ارسال می‌کنند.

بهترین راه مقابله با این تهدیدها، احتیاط در باز کردن لینک‌ها و فایل‌های ناشناس، فعال‌سازی احراز هویت دومرحله‌ای و نصب برنامه‌ها فقط از منابع معتبر است. در شرایطی که فیشینگ از ایمیل به موبایل مهاجرت کرده، آگاهی کاربر مهم‌ترین سد دفاعی در برابر این حملات است.

آسیب‌پذیری‌ها، هوش مصنوعی و «Shadow AI»

در این گزارش به چند تغییر مهم در روند فیشینگ اشاره شده است:

·      آسیب‌پذیری‌ها به نقطه ورود اصلی تبدیل شده‌اند

نزدیک به ۳۱ درصد از رخنه‌های امنیتی در حال حاضر با سواستفاده از آسیب‌پذیری‌ها شروع می‌شوند. این اولین باری است که بهره‌برداری از ضعف‌های امنیتی از «استفاده از اطلاعات ورود سرقت‌شده» پیشی می‌گیرد؛ روشی که دلیل اصلی شروع ۱۳ درصد رخدادها به شمار می‌‌رود.

·      نقش پررنگ‌تر AI در سرعت دادن به حملات

براساس گزارش وریزون، هوش مصنوعی زمان لازم برای بهره‌برداری از آسیب‌پذیری‌ها را کم کرده و «پنجره دفاع» را از چند ماه به چند ساعت کاهش داده است.

·      افت نرخ وصله‌کردن آسیب‌پذیری‌های بحرانی

براساس این گزارش، در سال ۲۰۲۵ تنها ۲۶ درصد از آسیب‌پذیری‌های بحرانی ثبت‌شده توسط CISA به‌طور کامل رفع شده‌اند؛ در حالی که این عدد در ۲۰۲۴ ۳۸ درصد بوده است.

·      ظهور تهدیدی به نام  Shadow AI

علاوه بر Shadow IT، حالا Shadow AI هم به دغدغه امنیتی تبدیل شده است. گزارش وریزون نشان می‌دهد ۶۷ درصد از کارکنان روی دستگاه‌های سازمانی از حساب‌های هوش مصنوعیِ غیرسازمانی استفاده می‌کنند و گاهی داده‌های حساس مثل کد منبع، نتایج تحقیق و اسناد فنی را در این ابزارها وارد می‌کنند؛ رفتاری که می‌تواند ریسک نشت اطلاعات را بالا ببرد.

سازمان‌ها برای مقابله چه باید بکنند؟

در گزارش ورایزون تأکید شده است یکی از مشکلات اغلب شرکت‌ها این است که هنوز آموزش و شبیه‌سازی فیشینگ را برای موبایل جدی نگرفته‌اند؛ در حالی که کارکنان روزانه با پیامک و تماس درگیرند و حتی گاهی با گوشی شخصی به سامانه‌های سازمانی دسترسی دارند.

اگر مهاجمان بتوانند با دور زدن کنترل‌های فنی، مستقیم با کارکنان تماس بگیرند، بخشی از سرمایه‌گذاری سازمان در روندهای ضد فیشینگ کاملا بی‌اثر می‌شود.

بازنگری در آموزش و سیاست  BYOD

با افزایش پرتکستینگ، در آموزش‌های امنیتی باید به کارکنان یادآوری شود فیشینگ دیگر فقط «ایمیل‌های انبوه و ناشیانه» نیست؛ مهاجم ممکن است با داستان‌سازی، ایجاد همدلی و فشار روانی، تصمیم‌گیری شما را دستکاری کند.

هم‌زمان، سازمان‌ها باید درباره سیاست BYOD (استفاده از دستگاه شخصی برای کار) هم دوباره فکر کنند. شاید در کوتاه‌مدت هزینه‌ها کمتر شود، اما هزینه یک رخنه داده معمولاً بسیار سنگین‌تر از صرفه‌جویی‌های مقطعی است.