جعل هویت در عصر هوش مصنوعی؛ روایت تکامل یک تهدید سایبری به نام اسپوفینگ

در دنیای امروز که بخش قابل توجهی از ارتباطات، خدمات مالی و فعالیت‌های روزمره به فضای دیجیتال منتقل شده است، روش‌های کلاهبرداری سایبری نیز پیچیده‌تر از گذشته شده‌اند. یکی از رایج‌ترین و در عین حال خطرناک‌ترین این تهدیدها، «اسپوفینگ» یا جعل هویت دیجیتال است؛ روشی که در آن مهاجمان با سواستفاده از اعتماد کاربران، خود را به جای افراد، سازمان‌ها یا سامانه‌های معتبر جا می‌زنند.

مهندسی اعتماد؛ سلاح اصلی مهاجمان

کارشناسان امنیت سایبری معتقدند موفقیت حملات اسپوفینگ بیش از آنکه به فناوری وابسته باشد، به مهندسی اجتماعی متکی است. مهاجمان با بهره‌گیری از احساساتی همچون ترس، عجله، طمع یا اعتماد، قربانیان را به انجام اقداماتی مانند انتقال وجه، افشای اطلاعات محرمانه یا نصب فایل‌های آلوده ترغیب می‌کنند.

در بسیاری از موارد، قربانی تصور می‌کند با یک همکار، مدیر سازمان، بانک یا شرکت معتبر در ارتباط است؛ در حالی که در واقع با یک مهاجم سایبری مواجه شده است.

ایمیل‌های جعلی؛ رایج‌ترین شکل حمله

جعل ایمیل همچنان یکی از پرکاربردترین شیوه‌های اسپوفینگ به شمار می‌رود. در این روش، مهاجم آدرس فرستنده را به گونه‌ای تغییر می‌دهد که پیام از سوی یک منبع معتبر به نظر برسد. چنین ایمیل‌هایی معمولاً حاوی درخواست‌های مالی، لینک‌های مخرب یا فایل‌های آلوده هستند و می‌توانند زمینه‌ساز نفوذ به شبکه‌های سازمانی شوند.

وب‌سایت‌های تقلبی در لباس برندهای معتبر

نوع دیگری از این حملات، جعل وب‌سایت است. مهاجمان با طراحی صفحاتی مشابه نمونه‌های اصلی، کاربران را به ثبت نام کاربری، رمز عبور یا اطلاعات بانکی ترغیب می‌کنند. شباهت ظاهری این وب‌سایت‌ها به نسخه‌های اصلی گاهی اوقات به اندازه‌ای زیاد است که تشخیص آنها برای کاربران عادی دشوار می‌شود.

از تلفن و پیامک تا زیرساخت‌های اینترنت

دامنه اسپوفینگ تنها به ایمیل و وب‌سایت محدود نمی‌شود. جعل شماره تماس، پیامک‌های فریبنده، دستکاری آدرس‌های IP، مسموم‌سازی DNS و حتی جعل سیگنال‌های GPS از دیگر روش‌هایی هستند که مجرمان سایبری برای فریب کاربران و نفوذ به سامانه‌ها از آنها استفاده می‌کنند.

کارشناسان امنیت سایبری هشدار می‌دهند برخی از این حملات می‌تواند به سرقت گسترده اطلاعات، اختلال در سرویس‌های حیاتی، حملات باج‌افزاری و خسارت‌های مالی قابل توجه منجر شوند.

استفاده از Deepfake در اسپوفینگ

در سال‌های اخیر، حملات اسپوفینگ وارد مرحله‌ای تازه شده‌اند؛ حملاتی که تنها دیگر بر جعل ساده هویت متکی نیستند، بلکه با بهره‌گیری از فناوری‌های پیشرفته، دقت و پیچیدگی بیشتری یافته‌اند و شناسایی آنها نیز دشوارتر شده است. کارشناسان امنیت سایبری هشدار می‌دهند که سامانه‌های احراز هویت فاقد مکانیزم‌های تشخیص زنده‌بودن (Liveness Detection) بیش از هر زمان دیگری در معرض سواستفاده قرار دارند.

ماهیت این حملات به‌گونه‌ای است که دقیقاً نقطه اتکای کاربران به فناوری‌های بایومتریک را هدف می‌گیرد. مهاجمان تلاش می‌کنند خود را به‌جای یک کاربر مجاز معرفی کنند و برای این کار از تصاویر واقعی، نمونه‌های صوتی مشابه با صدای قربانی یا حتی ماسک‌ها و بازسازی‌های بسیار دقیق چهره استفاده می‌کنند. در بسیاری از موارد نیز داده‌های مورد نیاز برای این جعل هویت از طریق تصاویر و اطلاعات منتشرشده در شبکه‌های اجتماعی، تصاویر دوربین‌های عمومی یا اطلاعات افشاشده در نشت‌های اطلاعاتی پیشین به دست می‌آید؛ موضوعی که نشان می‌دهد برای اجرای چنین حملاتی، دیگر نیازی به سرقت رمز عبور یا اطلاعات بانکی نیست و گاهی تنها بازسازی ظاهر یا هویت دیجیتال یک فرد برای فریب سامانه‌های احراز هویت کافی است.

در این میان، گسترش فناوری‌های مبتنی بر هوش مصنوعی و به‌ویژه دیپ‌فیک‌ها (Deepfake) ابعاد تازه‌ای به تهدید اسپوفینگ بخشیده است. جعل تصاویر، ویدئوها و صداهای تولیدشده توسط هوش مصنوعی اکنون به یکی از مهم‌ترین چالش‌های حوزه احراز هویت دیجیتال تبدیل شده است.

بر اساس گزارش مجمع جهانی اقتصاد، تنها در سه‌ماهه نخست سال ۲۰۲۵ خسارت ناشی از کلاهبرداری‌های مبتنی بر دیپ‌فیک در آمریکای شمالی از ۲۰۰ میلیون دلار فراتر رفته است؛ رقمی که در شرایطی ثبت شده که حجم این نوع جرایم طی دو سال گذشته بیش از ۱۷ برابر افزایش یافته است.

همچنین شرکت Sumsub اعلام کرده است که تعداد تلاش‌ها برای جعل هویت با استفاده از فناوری دیپ‌فیک در فاصله سال‌های ۲۰۲۳ تا ۲۰۲۴ نزدیک به چهار برابر شده و اکنون بیش از ۷ درصد از کل تلاش‌های جعل هویت دیجیتال را شامل می‌شود. این روند تنها به کشورهای توسعه‌یافته محدود نیست و گزارش‌های منتشرشده از سوی منابع تحلیلی حوزه فین‌تک از جمله TechRadar نشان می‌دهد جرایم مرتبط با هویت‌های مصنوعی در بازارهای نوظهور و کشورهای در حال توسعه نیز با سرعتی نگران‌کننده در حال گسترش است؛ به‌گونه‌ای که پیش‌بینی می‌شود ارزش بازار جهانی فناوری‌های دیپ‌فیک تا سال ۲۰۳۲ از مرز ۱۳ میلیارد دلار عبور کند.

نمونه‌های اسپوفینگ در ایران

اسپوفینگ پدیده‌ای صرفاً تئوریک نیست و کاربران ایرانی نیز بارها قربانی آن شده‌اند. از پیامک‌های جعلی سهام عدالت و ابلاغیه‌های قضایی گرفته تا درگاه‌های پرداخت تقلبی و تماس‌های تلفنی با هویت بانک‌ها، همگی نمونه‌هایی از حملات جعل هویت دیجیتال هستند که هر ساله خسارت‌های میلیاردی به شهروندان وارد می‌کنند. پلیس فتا طی سال‌های گذشته به‌طور رسمی بارها درباره این شیوه کلاهبرداری هشدار داده است.

بارها پیامک‌هایی با عنوان «ابلاغ الکترونیک قضایی» برای شهروندان ارسال شده است. قربانیان پس از کلیک روی لینک موجود در پیامک و نصب بدافزار یا ورود اطلاعات بانکی، با خالی شدن حساب خود مواجه شده‌اند. این روش یکی از نمونه‌های بارز SMS Spoofing و Website Spoofing محسوب می‌شود.

پلیس فتا در سال ۱۴۰۴ نسبت به افزایش پیام‌ها و لینک‌های جعلی با عنوان «به‌روزرسانی نرم‌افزار بانکی» هشدار داد. در این حملات، مجرمان با جعل هویت بانک‌ها و ایجاد حس فوریت، کاربران را به دانلود اپلیکیشن‌های آلوده یا ورود به صفحات جعلی هدایت می‌کردند. این شیوه ترکیبی از Email/SMS Spoofing و Website Spoofing به شمار می‌رود.

پلیس فتا آذربایجان شرقی در سال ۱۴۰۴ از دستگیری متهمی خبر داد که با ارسال لینک‌های جعلی و صفحات فیشینگ موفق شده بود اطلاعات بانکی هزاران نفر را سرقت کند. طبق اعلام پلیس، این پرونده ۸۳۱ شاکی و بیش از سه هزار کارت بانکی درگیر داشته است. این نمونه نشان می‌دهد اسپوفینگ در ایران صرفاً یک تهدید نظری نیست، بلکه به پرونده‌های بزرگ و سازمان‌یافته نیز منجر شده است.

تجربه پرونده‌های متعدد پلیس فتا نشان می‌دهد که مهم‌ترین سلاح مهاجمان نه فناوری، بلکه سواستفاده از اعتماد کاربران است.

چگونه در برابر اسپوفینگ ایمن بمانیم؟

متخصصان امنیت اطلاعات تأکید می‌کنند که رعایت چند اصل ساده می‌تواند احتمال قربانی شدن در این حملات را به شکل چشمگیری کاهش دهد. استفاده از رمزهای عبور قوی، فعال‌سازی احراز هویت دومرحله‌ای، به‌روزرسانی مداوم نرم‌افزارها، پرهیز از کلیک روی لینک‌های ناشناس و توجه به نشانه‌های جعلی بودن پیام‌ها و وب‌سایت‌ها از مهم‌ترین این اقدامات است.

با افزایش وابستگی جوامع به خدمات دیجیتال، آگاهی کاربران از شیوه‌های نوین کلاهبرداری سایبری بیش از هر زمان دیگری اهمیت یافته است. در چنین شرایطی، شناخت تهدیدهایی مانند اسپوفینگ می‌تواند نخستین گام برای حفظ امنیت اطلاعات و دارایی‌های دیجیتال باشد.