روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ هر سال کلاهبردارها دست به دامان ترفندهای تازه‌ای برای فریب مردم می‌شوند و سال ۲۰۲۵ هم از این قاعده مستثنا نبود. در طول سال میلادی گذشته، سیستم ضد فیشینگ ما بیش از ۵۵۴ میلیون تلاش برای کلیک روی لینک‌های فریبنده را خنثی کرد؛ این درحالیست که آنتی‌ویروس ایمیل‌مان نزدیک به ۱۴۵ میلیون فایل مخرب ضمیمه شده را مسدود کرد. نکته جالب‌تر اینکه نزدیک به ۴۵ درصد از کل ایمیل‌های رد و بدل شده در سطح جهان، هرزنامه یا اسپم بودند. در ادامه، مهم‌ترین و حساب‌شده‌ترین طرح‌های فیشینگ و اسپم سال گذشته را مرور می‌کنیم. با ما همراه باشید.

فیشینگ برای سرگرمی؛ وقتی پای موسیقی و سینما به میان می‌آید

عاشقان موسیقی و سینما در سال ۲۰۲۵ در تیررس کلاهبرداران بودند. مجرمان سایبری دست به کار شدند و انبوهی از سایت‌های جعلی فروش بلیت و نسخه‌های قلابی سرویس‌های محبوب استریم را راه‌اندازی کردند.در این سایت‌های جعلی، به کاربران «بلیت رایگان» کنسرت‌های بزرگ پیشنهاد می‌شد. ترفند کار کجا بود؟ ظاهراً فقط باید یک «هزینه اندک پردازش» یا «هزینه ارسال» می‌پرداختید. طبیعی است که در نهایت، تنها چیزی که نصیبتان می‌شد، انتقال پولی که به سختی به دست آورده بودید به جیب کلاهبردار بود.

در مورد سرویس‌های استریم، ماجرا از این قرار بود: به کاربران پیشنهادهای وسوسه‌انگیزی داده می‌شد، مثلاً اینکه می‌توانید لیست پخش اسپاتیفای خود را به یوتیوب منتقل کنید؛ برای این کار فقط کافی بود اطلاعات حساب اسپاتیفای خود را وارد کنید. یا اینکه دعوت می‌شدند در یک نظرسنجی برای انتخاب خواننده محبوب‌شان شرکت کنند؛ فرصتی که برای بسیاری از هواداران وسوسه‌کننده بود. برای باورپذیرتر کردن ماجرا، کلاهبرداران از نام شرکت‌های بزرگ و معتبری مثل گوگل و اسپاتیفای استفاده می‌کردند. فرم فیشینگ به گونه‌ای طراحی شده بود که همزمان چندین پلتفرم مثل فیسبوک، اینستاگرام یا ایمیل را هدف می‌گرفت و کاربران برای رأی دادن مجبور بودند اطلاعات حساب‌هایشان را وارد کنند و به این ترتیب، حساب‌های خود را لو می‌دادند.

در برزیل، کلاهبرداران پا را فراتر گذاشتند: آنها به کاربران پیشنهاد دادند که صرفاً با گوش دادن و امتیاز دادن به آهنگ‌ها در یک سرویس که ادعا می‌کردند شریک اسپاتیفای است، پول دربیاورند. در مرحله ثبت‌نام، کاربران مجبور بودند کد شناسایی (ID) مربوط به سیستم پرداخت Instant Pix را وارد کنند و سپس یک «پرداخت تأیید هویت» یکباره به مبلغ ۱۹.۹ رئال برزیل (حدود ۴ دلار) انجام دهند تا «هویتشان تأیید شود». این مبلغ، در مقایسه با «درآمد بالقوه» وعده داده شده، ناچیز به نظر می‌رسید. فرم پرداخت فوق‌العاده معتبر و واقعی به نظر می‌رسید و اطلاعات شخصی بیشتری هم درخواست می‌کرد که احتمالاً برای حمله‌های بعدی جمع‌آوری می‌شد.اما شگرد «قرار فرهنگی» از همه خلاقانه‌تر بود. بعد از چند پیام و آشنایی اولیه در اپلیکیشن‌های دوست‌یابی، فردی که به تازگی با او آشنا شده بودید و به نظر می‌رسید به شما علاقه‌مند است، شما را به تماشای یک تئاتر یا فیلم دعوت می‌کرد و لینکی برای خرید بلیت می‌فرستاد. به محض اینکه «پرداخت» انجام می‌شد، هم قرار و هم سایت فروش بلیت ناپدید می‌شدند. از تاکتیک مشابهی برای فروش بلیت اتاق‌های فرارکه این روزها حسابی طرفدار پیدا کرده‌اند هم استفاده می‌شد. طراحی این صفحات کاملاً شبیه سایت‌های واقعی بود تا کاربران کمتر احساس خطر کنند.

شکار اکانت‌ها در پیام‌رسان‌ها

سرقت حساب‌های تلگرام و واتساپ به یکی از فراگیرترین تهدیدهای سال تبدیل شد. کلاهبرداران در پنهان کردن فیشینگ در قالب فعالیت‌های عادی پیام‌رسان‌ها استاد شده‌اند و دامنه جغرافیایی حملات خود را هم به طرز چشمگیری گسترش داده‌اند.

در تلگرام، اشتراک رایگان پریمیوم همچنان محبوب‌ترین طعمه بود. در حالی که پیش از این صفحات فیشینگ مربوطه فقط به زبان‌های روسی و انگلیسی دیده می‌شدند، سال ۲۰۲۵ شاهد گسترش چشمگیر آنها به زبان‌های دیگر بودیم. قربانیان پیامی دریافت می‌کردند – اغلب از طرف یکی از دوستانشان که حسابش هک شده بود – با مضمون اینکه برایشان «هدیه» فرستاده شده است. برای فعال کردن هدیه، کاربر باید در سایت جعلی حمله‌کننده وارد حساب تلگرام خود می‌شد و این کار بلافاصله به سرقت حساب دیگری ختم می‌شد.یک شگرد رایج دیگر، هدایای سلبریتی‌ها بود. یکی از این حملات که خود را به عنوان هدیه NFT جا زده بود، از این جهت قابل توجه بود که از طریق یک مینی‌اپلیکیشن تلگرام اجرا می‌شد. برای یک کاربر معمولی، شناسایی مینی‌اپی مخرب به نسبت شناسایی یوآرالی خارجی مشکوک سخت‌تر است.

و در نهایت، کلاهبرداری کلاسیک «به دوستم رای بده» در سال ۲۰۲۵ تحول یافت و این بار پای نظرسنجی‌هایی مثل «بهترین دندانپزشک شهر» یا «برترین رهبر عملیاتی» به میان کشیده شد. اما اینها هم چیزی جز طعمه‌ای برای تصاحب حساب‌ها نبودند.روش هوشمندانه دیگری برای ربودن حساب‌های واتساپ در چین دیده شد، جایی که صفحات فیشینگ با دقت تمام، ظاهر واقعی واتساپ را تقلید می‌کردند. به قربانیان گفته می‌شد که به دلیل «فعالیت غیرقانونی» احتمالی، نیاز به «تأیید هویت اضافی» دارند، که حدس زدید، نتیجه‌ای جز سرقت حساب نداشت.

جعل سازمان‌های دولتی

فیشینگ با تقلید از پیام‌ها و پورتال‌های دولتی را باید یک «کلاسیک بی‌زمان» نامید، اما کلاهبرداران در سال ۲۰۲۵ چند سناریوی تازه هم به این سبک اضافه کردند.در روسیه، حملات ویشینگ (فیشینگ تلفنی) علیه کاربران سرویس‌های دولتی شدت گرفت. قربانیان ایمیل‌هایی دریافت می‌کردند با این مضمون که شخصی به‌طور غیرمجاز وارد حسابشان شده است و از آنها خواسته می‌شد برای «بررسی امنیتی» با یک شماره تلفن مشخص تماس بگیرند. برای واقعی‌نمایی بیشتر، این ایمیل‌ها پر بودند از جزئیات فنی جعلی: آدرس‌های IP، مدل دستگاه‌ها و زمان‌بندی آن ورود ادعایی. کلاهبرداران همچنین اعلان‌های جعلی تأیید وام را هم ارسال می‌کردند: اگر گیرنده برای دریافت وام درخواست نداده بود (که قطعاً نداده بود)، تشویق می‌شد با یک تیم پشتیبانی جعلی تماس بگیرد. وقتی قربانی وحشت‌زده با «اپراتور» صحبت می‌کرد، مهندسی اجتماعیکار خودش را می‌کرد.در برزیل، مهاجمین با ایجاد پورتال‌های دولتی جعلی، به شکار شماره مالیات‌دهندگان (شماره CPF) پرداختند. از آنجا که این شناسه، کلید اصلی دسترسی به خدمات دولتی، پایگاه‌های داده ملی و مدارک شخصی است، سرقت CPF عملاً بزرگراهی سریع به سوی سرقت هویت محسوب می‌شود.در نروژ، کلاهبرداران سراغ افرادی رفتند که قصد تمدید گواهینامه رانندگی داشتند. سایتی که کاملاً شبیه وبسایت اداره راه‌داری عمومی نروژ طراحی شده بود، انبوهی از اطلاعات شخصی را گردآوری می‌کرد: از شماره پلاک خودرو، نام کامل، آدرس و شماره تلفن گرفته تا شماره شناسایی شخصی منحصربه‌فردی که به هر شهروند تعلق دارد. فوت کوزه‌گری هم این بود که از رانندگان خواسته می‌شد «هزینه تعویض گواهینامه» به مبلغ ۱۲۰۰ کرون نروژ (بیش از ۱۲۵ دلار) را بپردازند. کلاهبرداران با این روش، یک تیر و سه نشان زدند: اطلاعات شخصی، جزئیات کارت بانکی و پول نقد قربانیان.

به طور کلی، رانندگان طعمه‌های چرب و نرمی هستند: هم پول و ماشین دارند و هم از دست دادنش برایشان ترسناک است. کلاهبرداران مقیم بریتانیا با سوءاستفاده از همین ترس، پیام‌هایی با درخواست پرداخت فوری «مالیات معوقه خودرو» برای جلوگیری از «اقدامات اجرایی» نامشخص ارسال می‌کردند. این حس اضطرار «همین حالا اقدام کن!» یک شگرد کلاسیک فیشینگ است که کاربر را از توجه به آدرس اینترنتی یا غلط‌های نگارشی صفحه منحرف می‌کند.

لطفاً هویتت را به ما قرض بده

در سال ۲۰۲۵، شاهد افزایش حملات فیشینگ با محوریت فرآیندهای احراز هویت مشتری بودیم. بسیاری از سرویس‌ها برای افزایش امنیت، هویت کاربران را از طریق اطلاعات بیومتریک و کارت‌های شناسایی تأیید می‌کنند. کلاهبرداران هم با جعل صفحات این سرویس‌های محبوب، جمع‌آوری این داده‌ها را یاد گرفته‌اند.

وجه تمایز این حملات این است که فیشینگرها علاوه بر اطلاعات شخصی معمول، از قربانیان عکس کارت شناسایی یا حتی عکس چهره – گاهی از چند زاویه مختلف – هم درخواست می‌کنند. این شناسنامه کامل هویتی بعداً می‌تواند در بازارهای تاریک وب فروخته شود یا برای سرقت هویت به کار برود.

کلاهبرداران هوش مصنوعی

طبیعتاً کلاهبرداران هم قصد نداشتند از قافله رونق هوش مصنوعی عقب بمانند. ChatGPT به یک طعمه بزرگ تبدیل شد: شیادان صفحات جعلی پرداخت اشتراک ChatGPT Plus ساختند و «پرامپت‌های منحصربه‌فردی» را عرضه کردند که ظاهراً تضمین می‌کرد در شبکه‌های اجتماعی وایرال شوید.طرح «با هوش مصنوعی پول دربیاور» از همه بدبینانه‌تر بود. کلاهبرداران وعده درآمد غیرفعال از شرط‌بندی‌هایی را می‌دادند که ظاهراً توسط ChatGPT انجام می‌شود: ربات همه کارهای سخت را انجام می‌دهد و کاربر فقط نظاره‌گر واریز پول است. رویاست، نه؟ اما برای «شکار» این فرصت، باید سریع عمل می‌کردید. قیمت ویژه این راه آسان برای از دست دادن پولتان، فقط ۱۵ دقیقه از لحظه ورود به صفحه اعتبار داشت و قربانی فرصت نداشت حتی دوبار فکر کند.

در همه جبهه‌ها، کلاهبرداران با سرعت هر چه تمام‌تر از هوش مصنوعی استقبال می‌کنند. آنها از دیپ‌فیک استفاده می‌کنند، طراحی وبسایت‌های باکیفیت را خودکار کرده‌اند و متون بازاریابی جذابی برای ایمیل‌های انبوه خود تولید می‌کنند. حتی تماس‌های زنده با قربانیان هم به بخشی از سناریوهای پیچیده‌تر تبدیل شده است، که در مطلب «چگونه فیشینگرها و کلاهبرداران از هوش مصنوعی استفاده می‌کنند» به آن پرداخته‌ایم.

تله‌های شغلی؛ فرصت‌های کاری با طعم سرقت

آدمی که به دنبال کار می‌گردد، طعمه اصلی برای آدم‌های بد است. فیشینگرها با سر و دست گرفتن شغل‌های وسوسه‌انگیز دورکاری در شرکت‌های معروف، اطلاعات شخصی متقاضیان را جمع‌آوری می‌کردند و گاهی حتی با دریافت «هزینه‌های اندک پردازش مدارک» یا «کمیسیون» از آنها کلاهبرداری مالی هم می‌کردند.در سناریوهای پیچیده‌تر، سایت‌های جعلی «آژانس کاریابی» در مرحله ثبت‌نام، شماره تلفن همراه کاربر که به حساب تلگرامش متصل بود را درخواست می‌کردند. برای «تکمیل ثبت‌نام»، قربانی باید یک «کد تأیید» را وارد می‌کرد که در واقع کد ورود به تلگرام بود. پس از وارد کردن کد، سایت مدام با درخواست جزئیات بیشتر پروفایل، کاربر را سردرگم می‌کرد – واضح بود که حواس‌پرتی است تا متوجه اعلان ورود به حساب روی گوشی‌اش نشود. برای «تأیید کاربر»، به او گفته می‌شد ۲۴ ساعت صبر کند؛ این فرصت کافی را به کلاهبردارانی می‌داد که از قبل وارد حساب شده بودند تا دست آخر، حساب تلگرام را برای همیشه تصاحب کنند.

هیاهو، دروغی بزرگ است (اما بسیار فریبنده)

مثل همیشه، کلاهبرداران در سال ۲۰۲۵ سریع‌ترین عکس‌العمل را نسبت به هر خبر داغی نشان دادند و با سرعت نور، ایمیل‌های تبلیغاتی خود را راهی صندوق‌های ورود کردند.برای مثال، بلافاصله پس از عرضه میم‌کوین‌های $TRUMP توسط رئیس‌جمهور آمریکا، موجی از ایمیل‌های کلاهبرداری ظاهر شدند که وعده NFT رایگان از «سکه میم ترامپ» و «کارت‌های معاملاتی دیجیتال ترامپ» را می‌دادند.  همین که آیفون ۱۷ پرو وارد بازار شد، تبدیل به جایزه‌ای برای نظرسنجی‌های جعلی بی‌شماری شد. کاربران پس از «برنده شدن»، فقط کافی بود اطلاعات تماس خود را وارد کرده و هزینه ارسال را بپردازند. با وارد کردن اطلاعات بانکی، «برنده» نه تنها هزینه پست، بلکه همه موجودی حسابش را هم در معرض خطر از دست دادن قرار می‌داد.با داغ شدن موج اوزمپیک، کلاهبرداران صندوق‌های ایمیل را با پیشنهادهای فروش نسخه‌های تقلبی این دارو یا «جایگزین‌های» مشکوکی که داروسازان واقعی حتی نامشان را نشنیده بودند، پر کردند.و در طول تور جهانی گروه بلک‌پینک، اسپمرها به سرعت به سمت تبلیغ «چمدان‌های اسکوتردار، درست مثل چیزایی که خود گروه استفاده می‌کنه» تغییر جهت دادند.

حتی عروسی جف بزوس در تابستان ۲۰۲۵ هم سوژه‌ای برای کلاهبرداری‌های ایمیل به سبک «نیجریه‌ای» شد. کاربران پیام‌هایی دریافت می‌کردند که ظاهراً از طرف خود بزوس یا همسر سابقش، مکنزی اسکات، فرستاده شده بود. این ایمیل‌ها وعده مبالغ هنگفتی را به نام امور خیریه یا به عنوان «غرامت» از طرف آمازون می‌دادند.

راهکارهای امنیتی

می‌بینید که کلاهبرداران برای اختراع راه‌های تازه برای جدا کردن شما از پول و اطلاعات شخصی‌تان، یا حتی دزدیدن تمام هویت‌تان، هیچ حد و مرزی نمی‌شناسند. این‌ها تنها چند نمونه از عجیب‌ترین کلاهبرداری‌های سال ۲۰۲۵ بودند؛ برای مطالعه تحلیل کامل چشم‌انداز تهدیدهای فیشینگ و اسپم می‌توانید به وبسایت Securelist سر بزنید. در این میان، چند نکته را به خاطر بسپارید تا قربانی نشوید. حتماً این نکات را با دوستان و خانواده، به خصوص کودکان، نوجوانان و سالمندان که بیشتر در تیررس کلاهبرداران هستند، در میان بگذارید.

- قبل از وارد کردن هرگونه اطلاعات، نشانی اینترنتی را چک کنید. حتی اگر صفحه از نظر ظاهری کاملاً بی‌نقص باشد، نوار آدرس می‌تواند حقیقت را لو بدهد.

- روی لینک‌های موجود در پیام‌های مشکوک کلیک نکنید؛ حتی اگر از طرف کسی باشد که می‌شناسید. ممکن است حساب دوستتان هک شده باشد.

- کدهای تأیید را با هیچ کس به اشتراک نگذارید.این کدها کلیدهای اصلی زندگی دیجیتال شما هستند.

- هر جا که امکان دارد، احراز هویت دو مرحله‌ای را فعال کنید. این کار یک مانع حیاتی اضافی جلوی هکرها ایجاد می‌کند.

- به پیشنهادهای «بیش از حد خوب» شک کنید. آیفون رایگان، پول بادآورده و هدیه از طرف غریبه‌ها تقریباً همیشه یک تله هستند.

- روی همه دستگاه‌های خود محافظت قدرتمند نصب کنید. راهکار امنیتی کسپرسکی Premium به طور خودکار سایت‌های فیشینگ، فایل‌های مخرب ضمیمه شده و موج‌های هرزنامه را حتی پیش از آنکه فرصت کلیک پیدا کنید، مسدود می‌کند. علاوه بر این، اپلیکیشن Kaspersky for Android ما دارای یک سیستم ضد فیشینگ سه‌لایه است که می‌تواند لینک‌های مخرب را در هر پیامی از هر اپلیکیشنی شناسایی و خنثی کند.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.