روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  فیشینگ و کلاهبرداری‌های آنلاین از متغیرترین اشکال جرایم اینترنتی هستند که عمدتاً افراد را هدف قرار می‌دهند. مجرمان سایبری پیوسته روش‌های خود را تغییر می‌دهند تا بتوانند قربانیان را فریب دهند. آنها روش‌های جدید ابداع می‌کنند و شیوه‌های قدیمی را بهبود می‌بخشند و آن‌ها را با اخبار روز، روندهای جاری و رویدادهای بزرگ جهان تطبیق می‌دهند؛ به هر چیزی متوسل می‌شوند تا قربانی بعدی را به دام بیندازند.از زمان آخرین انتشار ما درباره تاکتیک‌های فیشینگ، تحول قابل‌توجهی در تکامل این تهدیدها رخ داده است. هرچند بسیاری از ابزارهایی که پیش‌تر توصیف کردیم همچنان کاربرد دارند، اما روش‌های تازه‌ای پدیدار شده و اهداف و شیوه‌های این حملات تغییر کرده است.

در این مقاله به بررسی موارد زیر می‌پردازیم:

•          تأثیر هوش مصنوعی بر فیشینگ و کلاهبرداری‌ها
•          تغییر ابزارهای مورد استفاده مجرمان سایبری
•          نقش پیام‌رسان‌ها در گسترش تهدیدها
•          انواع داده‌هایی که اکنون در اولویت کلاهبرداران قرار دارند
•          استفاده از ابزارهای هوش مصنوعی برای تولید محتوای کلاهبرداری

ابزارهای هوش مصنوعی‌ای که برای ساخت محتوای اسکم استفاده می‌شوند

متن
ایمیل‌های فیشینگ سنتی، پیام‌های فوری و وب‌سایت‌های جعلی معمولاً شامل خطاهای دستوری و محتوایی، نام‌ها و نشانی‌های نادرست و مشکلات قالب‌بندی بودند. اما اکنون مجرمان سایبری بیش از پیش به شبکه‌های عصبی متکی شده‌اند. آنها از این ابزارها برای تولید پیام‌هایی بسیار متقاعدکننده استفاده می‌کنند؛ پیام‌هایی که شباهت زیادی به نمونه‌های معتبر دارند. در نتیجه، قربانیان بیشتر به این پیام‌ها اعتماد می‌کنند و احتمال کلیک روی لینک‌های فیشینگ، باز کردن پیوست‌های آلوده یا دانلود فایل‌های مخرب افزایش می‌یابد. همین موضوع در مورد پیام‌های شخصی نیز صدق می‌کند. شبکه‌های اجتماعی پر از ربات‌های هوش مصنوعی هستند که می‌توانند مکالمات را مانند انسان‌های واقعی ادامه دهند. این ربات‌ها ممکن است برای اهداف قانونی ایجاد شوند، اما اغلب توسط کلاهبرداران استفاده می‌شوند که خود را کاربران واقعی جا می‌زنند. به‌ویژه، ربات‌های فیشینگ و کلاهبرداری در دنیای دوست‌یابی آنلاین رایج هستند.

کلاهبرداران می‌توانند چندین مکالمه را همزمان مدیریت و توهم علاقه واقعی و ارتباط عاطفی را ایجاد کنند. هدف اصلی آنها استخراج پول از قربانیان است، معمولاً با متقاعد کردن آنها برای دنبال کردن «فرصت‌های سرمایه‌گذاری قابل‌اعتنا» که اغلب شامل رمزارز می‌شود. این نوع کلاهبرداری به  «کشتار خوک[1]» معروف است. ربات‌های هوش مصنوعی محدود به پیام‌های متنی نیستند؛ برای متقاعدکننده‌تر بودن، آنها پیام‌های صوتی واقعی و تصاویر ویدئویی نیز در تماس‌های تصویری تولید می‌کنند.

دیپ‌فیک‌ها و صداهای تولیدشده توسط هوش مصنوعی

همان‌طور که پیش‌تر ذکر شد، مهاجمان از قابلیت‌های هوش مصنوعی مانند کلون‌سازی صدا و تولید ویدئوهای واقع‌گرایانه برای ایجاد محتوای صوتی و تصویری متقاعدکننده استفاده می‌کنند که می‌تواند قربانیان را فریب دهد. فراتر از حملات هدف‌دار که صدا و تصویر دوستان یا همکاران را تقلید می‌کنند، فناوری دیپ‌فیک اکنون در کلاهبرداری‌های کلاسیک و گسترده‌تر نیز به کار می‌رود، مانند قرعه‌کشی‌های جعلی از سوی سلبریتی‌ها. برای مثال، کاربران یوتیوب با ویدئوهای کوتاهی مواجه شده‌اند که در آن بازیگران مشهور، اینفلوئنسرها یا شخصیت‌های عمومی ظاهراً وعده جوایز گران‌قیمت مانند مک‌بوک، آیفون یا مقادیر زیادی پول می‌دهند.پیشرفت فناوری هوش مصنوعی در ساخت دیپ‌فیک‌ها مرز بین واقعیت و فریب را محو کرده است. جعل صدا و تصویر تقریباً غیرقابل تشخیص از پیام‌های واقعی است، زیرا نشانه‌های سنتی برای شناسایی تقلب دیگر قابل اعتماد نیستند.

به‌تازگی تماس‌های خودکار نیز فراگیر شده‌اند. کلاهبرداران با استفاده از صداهای تولیدشده توسط هوش مصنوعی و جعل شماره، خود را به جای خدمات امنیتی بانک‌ها معرفی می‌کنند. در این تماس‌ها، ادعا می‌کنند که تلاش غیرمجاز برای دسترسی به حساب بانکی قربانی صورت گرفته است. آنها با ادعای محافظت از وجوه، درخواست ارسال یک کد پیامکی یک‌بار مصرف می‌کنند، در حالی که این کد در واقع رمز دوم (2FA) برای ورود به حساب یا تأیید تراکنش جعلی است.

جمع‌آوری و تحلیل داده‌ها

مدل‌های زبانی بزرگ مانند ChatGPT به دلیل توانایی‌شان در نوشتن متن‌های درست دستوری به زبان‌های مختلف و تحلیل سریع داده‌های منابع باز از رسانه‌ها، وب‌سایت‌های شرکتی و شبکه‌های اجتماعی شناخته شده‌اند. عوامل تهدید با استفاده از ابزارهای تخصصی OSINT مبتنی بر هوش مصنوعی، به جمع‌آوری و پردازش این اطلاعات می‌پردازند. داده‌های جمع‌آوری‌شده به آنها امکان می‌دهد حملات فیشینگ بسیار هدفمند را علیه یک فرد خاص یا گروهی از افراد، مانند اعضای یک جامعه خاص در شبکه‌های اجتماعی، انجام دهند. سناریوهای رایج شامل موارد زیر است:

•          ایمیل‌ها یا پیام‌های فوری شخصی‌سازی‌شده که به نظر می‌رسد از کارکنان منابع انسانی یا مدیران شرکت ارسال شده‌اند و شامل جزئیات دقیق فرآیندهای داخلی سازمان هستند.
•          تماس‌های جعلی، از جمله ویدئوچت، از نزدیکان قربانی که با استفاده از اطلاعات شخصی طراحی شده‌اند و قربانی فرض می‌کند این اطلاعات برای یک غریبه غیرقابل دسترسی است.

این سطح از شخصی‌سازی اثرگذاری مهندسی اجتماعی را به شکل قابل توجهی افزایش می‌دهد و حتی کاربران حرفه‌ای نیز تشخیص این کلاهبرداری‌های هدفمند را دشوار می‌کنند.

وب‌سایت‌های فیشینگ

فیشینگ‌ها اکنون از هوش مصنوعی برای تولید وب‌سایت‌های جعلی نیز استفاده می‌کنند. مجرمان سایبری از سازنده‌های وب‌سایت مبتنی بر هوش مصنوعی بهره می‌برند که می‌توانند طراحی سایت‌های معتبر را به‌طور خودکار کپی کنند، رابط‌های واکنش‌گرا ایجاد کنند و فرم‌های ورود بسازند. برخی از این سایت‌ها کپی‌های بسیار دقیقی هستند که تقریباً غیرقابل تشخیص از نمونه واقعی‌اند. دیگر سایت‌ها قالب‌های عمومی هستند که در کمپین‌های گسترده استفاده می‌شوند و تلاش زیادی برای تقلید از سایت اصلی صورت نگرفته است.

اغلب این سایت‌های عمومی هر داده‌ای را که کاربر وارد می‌کند جمع‌آوری می‌کنند و حتی قبل از استفاده در حمله توسط انسان بررسی نمی‌شوند. نمونه‌هایی از سایت‌ها وجود دارد که فرم‌های ورود آنها اصلاً با رابط اصلی تطابق ندارند. این سایت‌ها حتی به معنای سنتی «کپی» نیستند، زیرا برخی از برندهای هدف، اصلاً صفحات ورود ارائه نمی‌دهند. این نوع حملات، موانع ورود برای مجرمان سایبری را کاهش می‌دهد و کمپین‌های فیشینگ گسترده را بیش از پیش رایج می‌کند.

کلاهبرداری در تلگرام

با محبوبیت بسیار زیاد، API  باز و پشتیبانی از پرداخت‌های رمزارزی، تلگرام به بستری محبوب برای مجرمان سایبری تبدیل شده است. این پیام‌رسان اکنون هم محل گسترش تهدیدهاست و هم خود هدفی برای حملات. زمانی که کلاهبرداران به یک حساب تلگرام دسترسی پیدا کنند، می‌توانند از آن برای حمله به دیگر کاربران استفاده کنند یا آن را در دارک وب به فروش برسانند.

ربات‌های مخرب

کلاهبرداران روزبه‌روز بیشتر از ربات‌های تلگرام استفاده می‌کنند، نه تنها برای ایجاد وب‌سایت‌های فیشینگ، بلکه به‌عنوان جایگزین یا مکمل آنها. برای مثال، ممکن است یک وب‌سایت کاربر را به یک ربات هدایت کند تا داده‌های مورد نیاز کلاهبرداران جمع‌آوری شود.

برخی از روش‌های رایج شامل:

•          کلاهبرداری سرمایه‌گذاری رمزارزی:ایردراپ‌های تقلبی توکن که برای تأیید هویت (KYC) نیاز به واریز اجباری دارند.
•          فیشینگ و جمع‌آوری داده‌ها:کلاهبرداران خود را به جای خدمات پستی رسمی جا می‌زنند تا جزئیات کاربران را تحت پوشش ارسال بسته‌های تجاری به دست آورند.
•          کلاهبرداری پول آسان: به کاربران پیشنهاد داده می‌شود که با تماشای ویدئوهای کوتاه پول دریافت کنند.

برخلاف یک وب‌سایت فیشینگ که کاربر می‌تواند به‌سادگی آن را ببندد و فراموش کند، ربات مخرب می‌تواند بسیار پیگیرتر باشد. اگر قربانی با ربات تعامل داشته باشد و آن را مسدود نکند، ربات می‌تواند پیام‌های متنوعی ارسال کند، از جمله لینک‌های مشکوک به صفحات تقلبی یا تبلیغاتی، یا درخواست دسترسی ادمین به گروه‌ها یا کانال‌ها. این درخواست‌ها معمولاً تحت عنوان «فعال‌سازی قابلیت‌های پیشرفته» مطرح می‌شوند. اگر کاربر این دسترسی‌ها را بدهد، ربات می‌تواند برای تمام اعضای گروه‌ها یا کانال‌ها پیام اسپم ارسال کند.

سرقت حساب

وقتی صحبت از سرقت حساب‌های کاربری تلگرام می‌شود، مهندسی اجتماعی متداول‌ترین تاکتیک است. مهاجمان از ترفندها و حیله‌های مختلف استفاده می‌کنند که اغلب با فصل، رویدادها، روندهای جاری یا سن جمعیت هدف تطبیق داده شده‌اند. هدف همیشه یکسان است: فریب قربانیان برای کلیک روی لینک و وارد کردن کد تأیید.

لینک‌های فیشینگ می‌توانند در پیام‌های خصوصی ارسال شوند یا در گروه‌ها و کانال‌های هک‌شده منتشر شوند. با توجه به وسعت این حملات و افزایش آگاهی کاربران از کلاهبرداری‌ها در این پیام‌رسان، مهاجمان اکنون اغلب این لینک‌ها را با استفاده از ابزارهای ویرایش پیام تلگرام مخفی می‌کنند.

روش‌های جدید برای دور زدن شناسایی

ادغام با سرویس‌های معتبر

کلاهبرداران به‌طور فعال از پلت‌فرم‌های معتبر سوءاستفاده می‌کنند تا منابع فیشینگ خود را تا حد امکان از دید کارشناسان امنیتی پنهان نگه دارند.

Telegraph ، یک سرویس تحت مدیریت تلگرام، به هر کسی اجازه می‌دهد محتوای طولانی منتشر کند بدون آنکه نیاز به ثبت‌نام قبلی باشد. مجرمان سایبری از این قابلیت برای هدایت کاربران به صفحات فیشینگ استفاده می‌کنند.

Google Translate ، ابزار ترجمه ماشینی گوگل است که می‌تواند صفحات وب کامل را ترجمه کرده و لینک‌هایی مانند https://site-to-translate-com.translate.goog/... ایجاد کند. مهاجمان از این ابزار برای مخفی کردن منابع خود از دید شرکت‌های امنیتی بهره می‌برند. آنها صفحات فیشینگ را ایجاد و ترجمه و سپس لینک‌های صفحات محلی‌سازی‌شده را ارسال می‌کنند. این کار به آنها امکان می‌دهد هم از مسدود شدن جلوگیری کنند و هم با استفاده از زیردامنه‌ای در ابتدای لینک که شبیه دامنه یک سازمان معتبر است، کاربران را فریب دهند.

CAPTCHA از وب‌سایت‌ها در برابر ربات‌ها محافظت می‌کند. اخیراً مهاجمان به‌طور فزاینده‌ای از CAPTCHA در سایت‌های جعلی خود استفاده می‌کنند تا توسط راهکارهای ضدفیشینگ شناسایی نشده و از مسدود شدن جلوگیری کنند. از آنجایی که بسیاری از وب‌سایت‌های معتبر نیز از انواع مختلف CAPTCHA بهره می‌برند، نمی‌توان تنها با وجود CAPTCHA یک سایت فیشینگ را شناسایی کرد.

یوآرال‌های Blobمانند blob:https://example.com/...) ل) لینک‌های موقت هستند که توسط مرورگرها برای دسترسی به داده‌های باینری، مانند تصاویر و کد HTML، به‌صورت محلی ایجاد می‌شوند و محدود به همان جلسه مرورگر هستند. این فناوری در اصل برای اهداف قانونی، مانند پیش‌نمایش فایل‌هایی که کاربر در حال آپلود است، طراحی شده بود، اما مجرمان سایبری اکنون از آن برای پنهان کردن حملات فیشینگ استفاده می‌کنند. لینک‌های Blob با جاوااسکریپت ایجاد می‌شوند و با عبارت “blob:” شروع می‌شوند و شامل دامنه وب‌سایتی هستند که اسکریپت را میزبانی می‌کند. داده‌ها به‌صورت محلی در مرورگر قربانی ذخیره می‌شوند و روی سرور مهاجم قرار نمی‌گیرند.

شکار داده‌های جدید

مجرمان سایبری تمرکز خود را از سرقت نام کاربری و رمز عبور به جمع‌آوری داده‌های هویتی غیرقابل بازگشت یا تغییرناپذیر منتقل کرده‌اند، مانند داده‌های بیومتریک، امضاهای دیجیتال، امضاهای دستی و اثرات صوتی. برای مثال، یک سایت فیشینگ که برای «تأیید حساب» در سرویس آگهی آنلاین درخواست دسترسی به دوربین می‌کند، در واقع به کلاهبرداران اجازه می‌دهد داده‌های بیومتریک شما را جمع‌آوری کنند. امضاهای الکترونیکی یکی از اولویت‌های اصلی مهاجمان برای اهداف شرکتی است. از دست دادن کنترل این امضاها می‌تواند خسارت قابل‌توجهی از نظر شهرت و مالی برای شرکت به همراه داشته باشد. به همین دلیل، سرویس‌هایی مانند DocuSign به هدف اصلی حملات فیشینگ نیزه‌ای یا همان فیشینگ هدف‌دارتبدیل شده‌اند. حتی امضاهای دستی سنتی نیز همچنان برای مجرمان سایبری مدرن ارزشمند هستند، زیرا در معاملات قانونی و مالی اهمیت حیاتی دارند. این نوع حملات اغلب با تلاش برای دسترسی به حساب‌های دولت الکترونیک، بانکی و شرکتی که از این داده‌ها برای احراز هویت استفاده می‌کنند، همراه است. این حساب‌ها معمولاً با احراز هویت دو مرحله‌ای محافظت می‌شوند و کد یک‌بار مصرف (OTP) از طریق پیامک یا اعلان پوش ارسال می‌‌گردد. رایج‌ترین روش دریافت OTP، فریب کاربران برای وارد کردن آن در صفحه ورود جعلی یا درخواست آن از طریق تماس تلفنی است.

مهاجمان می‌دانند که کاربران اکنون آگاهی بیشتری از تهدیدهای فیشینگ دارند، بنابراین روش جدیدی به نام «حمایت» یا «کمک به قربانیان» را به‌عنوان تکنیک مهندسی اجتماعی استفاده می‌کنند. به‌عنوان مثال، یک کلاهبردار ممکن است پیامکی جعلی با یک کد بی‌معنی برای قربانی ارسال کند. سپس با استفاده از پیش‌زمینه‌ای قابل‌باور — مانند تحویل گل یا بسته — قربانی را فریب می‌دهد تا آن کد را به اشتراک بگذارد. از آنجا که فرستنده پیام به‌ظاهر شبیه خدمات پستی یا گل‌فروش است، داستان قابل‌باور به نظر می‌رسد. سپس مهاجم نفر دوم، که خود را مقام دولتی جا می‌زند، با قربانی تماس می‌گیرد و با پیام اضطراری می‌گوید که قربانی به تازگی هدف یک حمله فیشینگ پیچیده قرار گرفته است. آنها با تهدید و ترساندن قربانی را مجبور می‌کنند که کد OTP واقعی سرویس موردنظر کلاهبرداران را فاش کند.

نتیجه‌گیری
فیشینگ و کلاهبرداری‌ها با سرعت بالایی در حال تحول هستند و هوش مصنوعی و دیگر فناوری‌های نوین این روند را تشدید می‌کنند. با افزایش آگاهی کاربران نسبت به کلاهبرداری‌های سنتی، مجرمان سایبری تاکتیک‌های خود را تغییر می‌دهند و طرح‌های پیچیده‌تری توسعه می‌دهند. اگر قبلاً آنها تنها به ایمیل‌ها و وب‌سایت‌های جعلی متکی بودند، امروز از دیپ‌فیک‌ها، کلون‌سازی صدا و تاکتیک‌های چندمرحله‌ای برای سرقت داده‌های بیومتریک و اطلاعات شخصی استفاده می‌کنند.

روندهای کلیدی که مشاهده می‌کنیم:

•          حملات شخصی‌سازی‌شده: هوش مصنوعی با تحلیل داده‌های شبکه‌های اجتماعی و شرکتی، تلاش‌های فیشینگ بسیار متقاعدکننده‌ای ایجاد می‌کند.
•          استفاده از سرویس‌های معتبر: کلاهبرداران از پلتفرم‌های قابل اعتماد مانند Google Translate و Telegraph سوءاستفاده می‌کنند تا فیلترهای امنیتی را دور بزنند.
•          سرقت داده‌های غیرقابل تغییر: داده‌های بیومتریک، امضاها و اثرات صوتی به اهداف بسیار ارزشمندی تبدیل شده‌اند.
•          روش‌های پیشرفته برای دور زدن احراز هویت دوعاملی: مجرمان سایبری از حملات مهندسی اجتماعی پیچیده و چندمرحله‌ای استفاده می‌کنند.

راهکارهای امنیتی

•          تماس‌ها، ایمیل‌ها یا پیام‌های غیرمنتظره را با دقت ارزیابی کنید. از کلیک روی لینک‌های موجود در این ارتباطات خودداری کنید، حتی اگر به نظر معتبر برسند. اگر قصد باز کردن لینک دارید، مقصد آن را با قرار دادن نشانگر روی لینک در دسکتاپ یا نگه داشتن طولانی روی موبایل بررسی کنید.
•          منابع درخواست داده‌ها را تأیید کنید. هرگز کد OTP خود را با کسی به اشتراک نگذارید، حتی اگر ادعا کنند کارمند بانک هستند.
•          محتوا را برای جعلی بودن تحلیل کنید. برای شناسایی دیپ‌فیک‌ها، به حرکات غیرطبیعی لب‌ها یا سایه‌ها در ویدئوها دقت کنید. همچنین باید نسبت به ویدئوهایی که شامل سلبریتی‌هایی با وعده جوایز بسیار سخاوتمندانه هستند، مشکوک باشید.
•          ردپای دیجیتال خود را محدود کنید. از انتشار عکس اسناد یا اطلاعات حساس مرتبط با کار، مانند نام بخش یا نام مدیرتان، در شبکه‌های اجتماعی خودداری کنید.

[1] Pig Butchering

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.