فضای مجازی در زمان بحران، به یکی از اصلی‌ترین میدان‌های نبرد اطلاعاتی تبدیل می‌شود. در چنین شرایطی، حملات فیشینگ تنها برای دزدیدن رمز عبور یا اطلاعات مالی نیستند؛ بلکه ابزارهایی برای ایجاد رعب، نفوذ اطلاعاتی و دستکاری افکار عمومی به شمار می‌روند. طبق گزارش «چشم‌انداز جهانی امنیت سایبری ۲۰۲۵» از مجمع جهانی اقتصاد، در سال گذشته بیش از ۴۲ درصد از سازمان‌ها در سراسر جهان هدف حملات فیشینگ یا مهندسی اجتماعی قرار گرفتند. بر اساس داده‌های شرکت KnowBe4، در شش ماه پایانی سال ۲۰۲۴، تعداد ایمیل‌های فیشینگ ۱۷.۳ درصد افزایش یافته و بیش از نیمی از آن‌ها حاوی لینک‌های مخرب بوده‌اند که اغلب از طریق حساب‌های واقعی و هک‌شده ارسال شده‌اند.

در زمان جنگ و ناآرامی، حملات فیشینگ نه‌تنها شایع‌تر، بلکه به‌مراتب خطرناک‌تر از شرایط عادی می‌شوند. نخست آن‌که حس اضطرار و نگرانی عمومی باعث می‌شود افراد بدون دقت کافی به پیام‌هایی با عناوینی مانند «هشدار فوری» یا «اطلاعیه امنیتی» واکنش نشان دهند. این فضا فرصت مناسبی برای مهاجمان فراهم می‌کند تا با شبیه‌سازی پیام‌ها یا ایمیل‌هایی از طرف نهادهای دولتی، امدادی یا رسانه‌های رسمی، اعتماد افراد را جلب کنند.

از سوی دیگر در شرایط بحران، دسترسی به منابع خبری معتبر معمولاً محدود می‌شود یا به‌دلیل قطعی اینترنت و سانسور، پیام‌های تأییدنشده بیشتر در گردش قرار می‌گیرند. در چنین وضعیتی، کاربران تمایل بیشتری به باز کردن لینک‌ها یا فایل‌های ناشناس دارند. خطر دیگر هدف‌گیری گروه‌های حساس مانند روزنامه‌نگاران، فعالان اجتماعی و امدادگران است؛ افرادی که نقش کلیدی در اطلاع‌رسانی و مستندسازی بحران‌ها دارند و نفوذ به حساب‌های آنها می‌تواند تبعات امنیتی گسترده‌تری به‌دنبال داشته باشد. به همین دلیل، مقابله با فیشینگ در زمان جنگ نیازمند هوشیاری عمومی، آموزش هدفمند و زیرساخت‌های دفاعی قوی‌تری است.

نمونه‌های واقعی: فیشینگ در جنگ و منازعات
در جریان جنگ اوکراین، گروه‌های مرتبط با روسیه مانند UNC5792 و UNC4221 با استفاده از ترفند quishing (فیشینگ با QR کد) کاربران اپلیکیشن Signal را هدف قرار دادند. این تکنیک افراد را فریب داده و از طریق لینک دستگاه دیگر به پیام‌ها دسترسی پیدا کردند. چنین روش‌هایی نشان می‌دهد که حملاتی که ابتدا در مناطق جنگی اجرا می‌شوند، به سرعت در سطح جهانی پخش می‌شوند.

پیچیدگی بیشتر حملات با هوش مصنوعی
توسعه هوش مصنوعی امکان اجرای کمپین‌های فیشینگ پلی‌مورفیک را فراهم آورده که با تغییرات ظریف در هر ایمیل، فیلترهای امنیتی را دور می‌زنند. در ۷۶.۴ درصد از تمام حملات فیشینگ ۲۰۲۴ حداقل یک ویژگی پلی‌مورفیک مشاهده شده است. همچنین Fortinet در گزارش ۲۰۲۵ خود افزایش چشمگیر خودکارسازی فرآیند حملات را تایید می‌کند.

فیشینگ در حال تغییر چشم‌انداز تهدیدها
در چشم‌انداز نوظهور تهدیدهای سایبری، حملات فیشینگ با بهره‌گیری از هوش مصنوعی وارد مرحله‌ای جدید و پیچیده شده‌اند. پژوهش‌های اخیر نشان می‌دهند که در سال ۲۰۲۴، بیش از ۷۶ درصد از حملات فیشینگ حداقل از یک ویژگی «پُلیمورفیک» برخوردار بوده‌اند؛ یعنی ایمیل‌هایی تقریباً مشابه که تنها با جزئیات کوچکی با یکدیگر تفاوت دارند.

این تغییرات کوچک، تشخیص حمله را برای سیستم‌های امنیتی مبتنی بر شناسایی تهدیدهای شناخته‌شده، مانند بلاک‌لیست‌ها یا درگاه‌های ایمیل امن سنتی، بسیار دشوار می‌کند.

حتی فناوری‌های بومی شرکت‌هایی مانند مایکروسافت نیز در برابر این نوع حملات چندشکلی کارایی کمتری دارند. در واقع، فیشینگ پُلیمورفیک که به‌ویژه در حملات انبوه و موسوم به “white noise phishing” به‌کار می‌رود، اکنون نه‌فقط تشخیص، بلکه پاک‌سازی آن‌ها را از صندوق ورودی کاربران در سطح سازمان نیز به چالشی جدی تبدیل کرده است.

ظهور این نوع حملات نشان می‌دهد که فیشینگ دیگر صرفاً تقلیدی ساده از ایمیل‌های واقعی نیست، بلکه به بازی پیچیده‌ای از تغییر چهره دائمی تبدیل شده که تنها با فناوری‌های امنیتی پیشرفته و تحلیل رفتاری قابل مهار است.

آمار فیشینگ ایمیل ۲۰۲۴

نمودار «Polymorphic Phishing Emails in 2024» روندی صعودی و نگران‌کننده از پیشرفت حملات فیشینگ در طول سال ۲۰۲۴ را به تصویر می‌کشد.

طبق داده‌ها، در ابتدای سال تنها ۴۵.۵ درصد از ایمیل‌های فیشینگ دارای عناصر پُلیمورفیک—یعنی تغییرات جزئی و مداوم برای دور زدن سیستم‌های امنیتی بودند، اما این رقم در دسامبر به ۷۴.۳ درصد رسید.

این رشد مستمر نشان‌دهنده آن است که مهاجمان به شکل فزاینده‌ای از تکنیک‌های پیچیده برای گمراه‌کردن فیلترهای سنتی استفاده می‌کنند. در حالی‌که در ماه آوریل کاهش نسبی به ۴۲.۲ درصد دیده می‌شود، از ژوئن به بعد این حملات با سرعتی چشمگیر افزایش یافته‌اند و در سه‌ماهه پایانی سال به اوج خود رسیده‌اند؛ هم‌زمان با دوره‌هایی که کاربران بیشترین فعالیت آنلاین را دارند، مانند فصل خرید تعطیلات یا ناآرامی‌های اجتماعی و سیاسی.

این آمار نشان می‌دهد فیشینگ پُلیمورفیک دیگر یک تکنیک حاشیه‌ای نیست، بلکه به الگوی غالب در فضای تهدیدات سایبری تبدیل شده و مقابله با آن نیازمند رویکردهای نوین مبتنی بر تحلیل رفتاری و هوش مصنوعی است.

پیوند فیشینگ و باج‌افزار در دوره تشدید تهدیدات سایبری
با شدت‌گرفتن بحران‌های سایبری، حملات باج‌افزاری وارد مرحله‌ای پیچیده‌تر شده‌اند. ظهور مدل‌هایی مانند «باج‌افزار به‌عنوان سرویس» (RaaS) و استفاده از هوش مصنوعی برای تولید محتوای فریبنده، باعث افزایش حجم و پیچیدگی این حملات شده است. در این میان، فیشینگ همچنان مسیر اصلی نفوذ باج‌افزارها است. فقط در زمستان ۱۴۰۳، توزیع باج‌افزار از طریق فیشینگ بیش از ۵۷ درصد رشد داشته است.

مهاجمان با استفاده از روش‌هایی مانند HTML Smuggling و افزایش اندازه فایل‌های آلوده، سعی در عبور از فیلترهای امنیتی و رسیدن به سیستم‌های قربانیان دارند. این وضعیت نیازمند هوشیاری بیشتر و تقویت راهکارهای دفاعی در برابر حملات پیشرفته است.

در سال‌های اخیر، روند تکامل حملات فیشینگ و بدافزارها نشان می‌دهد که مهاجمان به‌صورت فزاینده‌ای از روش‌های پیچیده‌تر و هوشمندانه‌تر برای دور زدن سامانه‌های امنیتی استفاده می‌کنند.

تحلیل داده‌ها حاکی از آن است که بیش از ۶۳ درصد فایل‌های مخرب پیوست‌شده در ایمیل‌ها، از جمله باج‌افزارها، حجمی کمتر از ۱۰۰ کیلوبایت دارند؛ این ویژگی باعث می‌شود که این فایل‌ها به‌راحتی از سد بسیاری از فیلترهای امنیتی عبور کنند و بدون جلب توجه وارد سیستم قربانی شوند.

از سوی دیگر، میانگین حجم فایل‌های HTML که در ایمیل‌های فیشینگ به‌کار می‌روند، از حدود ۲۰ کیلوبایت در سال ۲۰۲۱ به بیش از ۷۳۵ کیلوبایت در سال ۲۰۲۵ رسیده است. این افزایش چشمگیر که بیش از ۳۵ برابر در چهار سال گذشته بوده، ناشی از رواج تکنیکی به‌نام HTML smuggling است که به مهاجمان اجازه می‌دهد کدهای مخرب را به‌صورت پنهان در قالب HTML وارد کنند.

این تغییرات نشان می‌دهد که اتکا به فیلترینگ ساده حجم یا فرمت فایل دیگر کافی نیست و سازمان‌ها باید با بهره‌گیری از تحلیل رفتاری، نظارت پیشرفته و آموزش مداوم کارکنان، آمادگی مقابله با این تهدیدات نوظهور را داشته باشند.

اقدامات حفاظتی برای افراد
برای مقابله با حملات فیشینگ در شرایط بحرانی، رعایت چند اقدام حفاظتی ساده اما مؤثر می‌تواند نقش مهمی در حفظ امنیت فردی ایفا کند. پیش از هر چیز، باید نسبت به فرستنده‌ پیام‌ها و لینک‌های ارائه‌شده با دقت بیشتری برخورد کرد؛ حتی در مواردی که پیام حالتی اضطراری دارد، بررسی آدرس فرستنده و مطمئن شدن از رسمی بودن آن ضروری است. فعال‌سازی احراز هویت دو مرحله‌ای (۲FA) بر روی حساب‌های ایمیل و پیام‌رسان‌ها نیز لایه‌ای اضافی از امنیت فراهم می‌کند. استفاده از مرورگرهای امن همراه با افزونه‌هایی مانند HTTPS Everywhere، به‌ویژه در دسترسی به سایت‌های خبری یا منابع اطلاعاتی، ریسک حملات را کاهش می‌دهد.

همچنین توصیه می‌شود از VPN و نرم‌افزارهایی استفاده شود که از منابع معتبر و رسمی، به‌ویژه در هنگام دریافت اطلاعات حساس در شرایط جنگی یا ناآرام نصب شده‌اند. آموزش منظم و دوره‌ای افراد کم‌تجربه‌تر مانند سالمندان یا کاربران کمتر آگاه است؛ چراکه حملات فیشینگ شخصی‌شده از طریق پیامک (smishing) یا تماس تلفنی (vishing) در حال افزایش است.

تنها در سال ۲۰۲۴، حملات فیشینگ تلفنی ۳۰ درصد رشد داشته و حدود ۷۶ درصد کسب‌وکارها دست‌کم یک‌بار هدف ایمیل یا پیامک جعلی قرار گرفته‌اند. آگاهی عمومی و رفتار مسئولانه، نخستین خط دفاع در برابر این تهدیدهای سایبری‌اند.

۱. اهمیت آموزش کاربران در شرایط بحرانی
در دوران جنگ و بی‌ثباتی، مهاجمان سایبری با بهره‌گیری از اضطراب عمومی و اخبار جعلی، حملات فیشینگ را هدفمندتر اجرا می‌کنند.

در چنین شرایطی، آگاهی کاربران نخستین و مؤثرترین خط دفاع است. بیش از ۹۰درصد موفقیت حملات فیشینگ به‌دلیل خطای انسانی رخ می‌دهد.

بنابراین، آموزش مستمر برای شناسایی ایمیل‌های جعلی، لینک‌های مشکوک، ضمایم آلوده و درخواست‌های غیرعادی برای اطلاعات ورود، امری حیاتی است. استفاده از پلتفرم‌هایی مانند KnowBe4 و Hoxhunt برای اجرای تست‌های فیشینگ شبیه‌سازی‌شده و آموزش شخصی‌سازی‌شده می‌تواند سطح آمادگی کاربران را افزایش دهد.

۲. استقرار لایه‌های فنی برای مقابله با فیشینگ
برای مهار فیشینگ، تنها آموزش کافی نیست و باید زیرساخت‌های فنی نیز تقویت شوند. استفاده از دروازه‌های امنیتی ایمیل مانند Proofpoint یا Barracuda، که لینک‌ها و پیوست‌ها را پیش از رسیدن به کاربر اسکن می‌کنند، یک سد اولیه قوی محسوب می‌شود.

فعال‌سازی احراز هویت چندمرحله‌ای (MFA) برای تمامی سرویس‌ها می‌تواند در صورت لو رفتن گذرواژه‌ها، از ورود مهاجم جلوگیری کند. همچنین، فناوری‌های تشخیص ناهنجاری رفتاری مبتنی بر هوش مصنوعی می‌توانند الگوهای مشکوک را شناسایی کرده و هشدار دهند. پیاده‌سازی رکوردهای DMARC، SPF و DKIM نیز راهکاری مؤثر برای جلوگیری از جعل هویت ایمیل‌های سازمانی است.

۳. معماری اعتماد صفر؛ مناسب برای زمان جنگ
مدل «Zero Trust» یا اعتماد صفر، هیچ کاربر یا دستگاهی را به‌صورت پیش‌فرض قابل اعتماد نمی‌داند. این رویکرد، با اعمال کنترل دقیق بر دسترسی‌ها بر اساس نقش افراد و تفکیک‌بندی شبکه، از گسترش حمله در صورت نفوذ جلوگیری می‌کند. استفاده از ابزارهایی مانند Zscaler یا Cisco Zero Trust می‌تواند امنیت زیرساخت‌های حساس را در برابر حملات هدفمند به‌طور چشمگیری افزایش دهد.

۴. هوش تهدید و رصد مستمر
در مواجهه با تهدیدات پویا و سریع، رصد فعال تهدیدات سایبری ضرورت دارد. استفاده از پلتفرم‌های هوش تهدید مانند Recorded Future و Mandiant برای شناسایی کمپین‌های فیشینگ جدید، بررسی نشت اطلاعات در دارک‌وب، و به‌روزرسانی مداوم مرورگرها و ابزارهای امنیتی (مانند Google Safe Browsing) از جمله اقداماتی است که سازمان‌ها را یک گام جلوتر نگاه می‌دارد.

۵. آمادگی برای پاسخ به حادثه
هر سازمان باید برنامه‌ مشخصی برای واکنش به حملات فیشینگ داشته باشد. این شامل تعیین روند گزارش‌دهی، قطع ارتباط سیستم آلوده از شبکه، اطلاع‌رسانی داخلی و اجرای پروتکل‌های بازیابی است. همچنین تدوین سیاست‌های امنیتی، ایجاد چارچوب قانونی برای محافظت از داده‌ها و همکاری با نهادهای بین‌المللی مقابله با فیشینگ (مانند Anti-Phishing Working Group) بسیار مؤثر خواهد بود.

۶. راهکارهای نوین برای مقابله با تهدیدات مدرن
با تغییر چهره فیشینگ و ظهور تکنیک‌هایی مانند «Quishing» (فیشینگ از طریق بارکدهای QR)، استفاده از فناوری‌های نوین نیز اهمیت یافته است. ابزارهای اسکن بارکد که مقصد لینک را پیش از باز شدن بررسی می‌کنند، احراز هویت بدون رمز عبور مبتنی بر استانداردهای FIDO2 و WebAuthn، و مدل‌های هوش مصنوعی که محتوای ایمیل را از نظر لحن و هدف تحلیل می‌کنند، همگی به ارتقای سطح امنیت کمک می‌کنند.