2025’s Top Phishing Trends

چرا احراز هویت دومرحله‌ای دیگر شما را در برابر فیشینگ محافظت نمی‌کند؟

فهرست مطالب

فیشینگ دیگر آن ایمیل ساده‌ای نیست که در پوشه اسپم می‌افتاد. سال ۲۰۲۵ نقطه عطفی در تاریخ حملات فیشینگ بود؛ سالی که مهاجمان با نوآوری‌های بی‌سابقه، این تکنیک قدیمی را به سلاحی چندوجهی و پیچیده‌تر از همیشه تبدیل کردند. اگر تیم امنیتی شما هنوز با رویکردهای سنتی کار می‌کند، احتمالاً چند قدم از مهاجمان عقب‌تر هستید.

در این مقاله، سه روند کلیدی را بررسی می‌کنیم که چهره فیشینگ را در سال ۲۰۲۵ دگرگون کرد: گسترش حملات به کانال‌های غیرایمیلی، تسلط کیت‌های PhaaS بر بازار جرایم سایبری، و روش‌های جدید دور زدن احراز هویت مقاوم در برابر فیشینگ. همچنین راهکارهایی ارائه می‌دهیم که تیم‌های امنیتی برای مقابله با این تهدیدات در سال ۲۰۲۶ به آن‌ها نیاز دارند.

فیشینگ چندکاناله: وقتی لینکدین و گوگل به میدان جنگ تبدیل می‌شوند

مدت‌هاست درباره گسترش فیشینگ به کانال‌های غیرایمیلی صحبت می‌شود، اما سال ۲۰۲۵ سالی بود که این تغییر به‌طور کامل محقق شد. بر اساس داده‌های Push Security، تقریباً یک سوم حملات فیشینگ شناسایی‌شده از کانال‌هایی غیر از ایمیل انجام شده‌اند. پیام‌های مستقیم لینکدین و نتایج جستجوی گوگل در صدر این کانال‌ها قرار دارند.

نمونه‌های قابل توجهی از این کمپین‌ها در سال گذشته مشاهده شد:

  • کمپین هدفمند علیه مدیران ارشد شرکت‌های فناوری: مهاجمان از طریق حساب‌های هک‌شده کارمندان همان سازمان در لینکدین، پیام‌هایی با عنوان «فرصت سرمایه‌گذاری» ارسال کردند.
  • صندوق سرمایه‌گذاری جعلی آمریکای جنوبی: کمپینی که کاربران را به عضویت در صندوقی ساختگی دعوت می‌کرد.
  • کمپین‌های Malvertising متعدد: هدف‌گیری کاربرانی که عبارات کلیدی مانند «Google Ads»، «TradingView» و «Onfido» را جستجو می‌کردند.

چرا کانال‌های غیرایمیلی برای مهاجمان جذاب‌ترند؟

ایمیل بهترین محافظت را دارد و مهاجمان با استفاده از کانال‌های دیگر، تمام این کنترل‌ها را دور می‌زنند. دیگر نیازی به ساختن اعتبار فرستنده، فریب موتورهای تحلیل محتوا یا امید به اینکه پیام در پوشه اسپم نیفتد، نیست.

در مقابل، کانال‌های غیرایمیلی تقریباً هیچ غربالگری ندارند، تیم امنیتی شما دیدی به آن‌ها ندارد، و کاربران کمتر احتمال می‌دهند که در این پلتفرم‌ها هدف فیشینگ قرار بگیرند. مدیر ارشدی که از حساب معتبر لینکدین پیام دریافت می‌کند، احتمالاً بیشتر از ایمیل دیگری به آن واکنش نشان می‌دهد. اپلیکیشن‌های شبکه‌های اجتماعی هیچ تحلیلی روی لینک‌های فیشینگ انجام نمی‌دهند و حتی اگر چنین قابلیتی داشتند، با توجه به محدودیت‌های بررسی URL در حملات فیشینگ چندمرحله‌ای امروزی، کار بسیار دشواری خواهد بود.

موتورهای جستجو نیز فرصت بزرگی برای مهاجمان فراهم می‌کنند. آن‌ها می‌توانند سایت‌های معتبر با اعتبار بالا را هک کنند، تبلیغات مخرب راه‌اندازی کنند، یا با ابزارهای کدنویسی مبتنی بر هوش مصنوعی، وب‌سایت‌های بهینه‌شده برای SEO بسازند. این روش برای حملات سبک «Watering Hole» بسیار مؤثر است: شبکه‌ای گسترده برای جمع‌آوری اعتبارنامه‌ها و دسترسی به حساب‌ها که می‌توان آن‌ها را به مجرمان دیگر فروخت یا در نفوذهای بزرگ سایبری استفاده کرد. نمونه بارز این رویکرد، حملات اخیر گروه جنایتکار «Scattered Lapsus$ Hunters» است که همگی با دسترسی اولیه مبتنی بر هویت آغاز شدند.

کیت‌های PhaaS: چگونه جرایم سایبری صنعتی شد؟

اکثریت قریب به اتفاق حملات فیشینگ امروزی از پروکسی معکوس (Reverse Proxy) استفاده می‌کنند. این یعنی توانایی دور زدن بیشتر روش‌های احراز هویت چندعاملی (MFA)، زیرا نشست کاربر در لحظه و به‌صورت بلادرنگ ایجاد و سرقت می‌شود. این روش در مقایسه با فیشینگ ساده اعتبارنامه که بیش از یک دهه پیش رایج بود، هیچ نقطه ضعفی ندارد.

این حملات Attacker-in-the-Middle توسط کیت‌های فیشینگ به‌عنوان سرویس یا PhaaS (Phishing-as-a-Service) اجرا می‌شوند. کیت‌هایی مانند Tycoon، NakedPages، Sneaky2FA، Flowerstorm، Salty2FA و انواع مختلف Evilginx (ابزاری که اصالتاً برای تیم‌های قرمز طراحی شده اما به‌طور گسترده توسط مهاجمان استفاده می‌شود) از جمله آن‌ها هستند.

چرا کیت‌های PhaaS برای اکوسیستم جرایم سایبری حیاتی هستند؟

این کیت‌ها قابلیت‌های پیشرفته و در حال تکامل را در بازار مجرمان در دسترس قرار می‌دهند و موانع ورود برای اجرای کمپین‌های فیشینگ پیشرفته را کاهش می‌دهند. این پدیده منحصر به فیشینگ نیست: باج‌افزار به‌عنوان سرویس، سرقت اعتبارنامه به‌عنوان سرویس و بسیاری ابزارها و خدمات دیگر برای استفاده مجرمان در ازای پول وجود دارند.

این محیط رقابتی باعث تسریع نوآوری مهاجمان شده است. محیطی که در آن دور زدن MFA امری عادی است، احراز هویت مقاوم در برابر فیشینگ با حملات تنزل (Downgrade) دور زده می‌شود، و تکنیک‌های فرار از شناسایی برای خنثی‌سازی ابزارهای امنیتی به‌کار می‌روند؛ از اسکنرهای ایمیل گرفته تا ابزارهای امنیتی مبتنی بر خزش وب و پروکسی‌های تحلیل ترافیک شبکه.

این همچنین به این معناست که وقتی قابلیت‌های جدیدی مانند Browser-in-the-Browser ظاهر می‌شوند، به سرعت در کیت‌های فیشینگ مختلف ادغام می‌شوند.

رایج‌ترین تکنیک‌های فرار از شناسایی در سال ۲۰۲۵

  • استفاده گسترده از محافظت ضدربات: هر صفحه فیشینگ امروزی دارای CAPTCHA سفارشی یا Cloudflare Turnstile (نسخه‌های اصل و جعلی) است که برای مسدود کردن ربات‌های امنیتی خزنده وب طراحی شده‌اند.
  • زنجیره‌های ریدایرکت گسترده: فاصله زیادی بین لینک اولیه ارسال‌شده به قربانی و صفحه واقعی مخرب وجود دارد تا سایت‌های فیشینگ در میان چندین صفحه معتبر پنهان شوند.
  • بارگذاری چندمرحله‌ای صفحات سمت کلاینت با جاوااسکریپت: صفحات به‌صورت شرطی بارگذاری می‌شوند و اگر شرایط برآورده نشود، محتوای مخرب ارائه نمی‌شود و صفحه تمیز به نظر می‌رسد. این همچنین به این معناست که بیشتر فعالیت‌های مخرب به‌صورت محلی اتفاق می‌افتد، بدون ایجاد درخواست‌های وب که بتوان آن‌ها را با ابزارهای تحلیل ترافیک شبکه بررسی کرد.

این عوامل محیطی ایجاد کرده‌اند که فیشینگ برای مدت‌های طولانی شناسایی نمی‌شود. حتی زمانی که صفحه‌ای علامت‌گذاری می‌شود، مهاجمان می‌توانند به‌صورت پویا صفحات فیشینگ متفاوتی را از همان زنجیره URL‌های بی‌ضرر استفاده‌شده در حمله ارائه دهند. نتیجه این است که رویکرد قدیمی مسدودسازی URL سایت‌های مخرب روز به روز دشوارتر می‌شود و شما را همیشه دو قدم عقب‌تر از مهاجمان نگه می‌دارد.

دور زدن احراز هویت مقاوم در برابر فیشینگ: هیچ روشی کاملاً ایمن نیست

قبلاً اشاره کردیم که حملات تنزل MFA حوزه تمرکز محققان امنیتی و مهاجمان بوده است. اما روش‌های احراز هویت مقاوم در برابر فیشینگ (مانند پسکی‌ها یا Passkeys) تا زمانی مؤثر باقی می‌مانند که عامل مقاوم در برابر فیشینگ تنها روش ممکن برای ورود باشد و هیچ روش پشتیبان برای حساب فعال نباشد. البته به دلیل مشکلات عملی داشتن تنها یک عامل احراز هویت، این وضعیت نسبتاً نادر است.

به همین ترتیب، سیاست‌های کنترل دسترسی می‌توانند روی اپلیکیشن‌های سازمانی بزرگ‌تر و پلتفرم‌های ابری اعمال شوند تا ریسک دسترسی غیرمجاز کاهش یابد، هرچند پیاده‌سازی و نگهداری بدون خطای آن‌ها دشوار است.

روش‌های جایگزین مهاجمان برای نفوذ به حساب‌ها

در هر صورت، مهاجمان تمام سناریوها را در نظر می‌گیرند و به دنبال راه‌های جایگزین برای دسترسی به حساب‌هایی هستند که محافظت کمتری دارند. این عمدتاً شامل دور زدن فرآیند استاندارد احراز هویت از طریق تکنیک‌هایی مانند موارد زیر می‌شود:

  • فیشینگ رضایت (Consent Phishing): فریب قربانیان برای اتصال اپلیکیشن‌های OAuth مخرب به محیط اپلیکیشن‌شان.
  • فیشینگ کد دستگاه (Device Code Phishing): مشابه فیشینگ رضایت، اما با احراز هویت از طریق جریان کد دستگاه که برای ورودهای دستگاه‌هایی طراحی شده که نمی‌توانند OAuth را پشتیبانی کنند، با ارائه کد جایگزین.
  • افزونه‌های مرورگر مخرب: فریب قربانیان برای نصب افزونه مخرب (یا هک کردن افزونه موجود) برای سرقت اعتبارنامه‌ها و کوکی‌ها از مرورگر.

ClickFix: رایج‌ترین بردار دسترسی اولیه در سال گذشته

تکنیک دیگری که مهاجمان برای سرقت اعتبارنامه‌ها و نشست‌ها استفاده می‌کنند، ClickFix است. ClickFix طبق گزارش مایکروسافت، رایج‌ترین بردار دسترسی اولیه شناسایی‌شده در سال گذشته بود و در ۴۷ درصد حملات دخیل بوده است.

اگرچه ClickFix حمله فیشینگ سنتی نیست، اما مهاجمان با مهندسی اجتماعی کاربران را متقاعد می‌کنند که کد مخربی را روی دستگاه خود اجرا کنند، که معمولاً ابزارهای دسترسی از راه دور و بدافزارهای سرقت اطلاعات (Infostealer) را مستقر می‌کند. سپس از این بدافزارها برای جمع‌آوری اعتبارنامه‌ها و کوکی‌ها جهت دسترسی اولیه به اپلیکیشن‌ها و سرویس‌های مختلف استفاده می‌شود. حملات ClickFix قربانی را ترغیب می‌کنند که با اجرای کد به‌صورت محلی روی دستگاهشان، مشکلی را در صفحه وب «رفع» کنند.

ConsentFix: تکنیک جدید و خطرناک‌تر

محققان Push Security تکنیک کاملاً جدیدی به نام ConsentFix کشف کرده‌اند. این نسخه بومی مرورگر از ClickFix است که منجر به برقراری اتصال OAuth به اپلیکیشن هدف می‌شود، تنها با کپی و پیست کردن URL معتبری که حاوی داده‌های حساس OAuth است.

این حتی خطرناک‌تر از ClickFix است زیرا کاملاً بومی مرورگر است و سطح شناسایی endpoint (و کنترل‌های امنیتی قوی مانند EDR) را کاملاً از معادله حذف می‌کند. و در مورد خاصی که Push شناسایی کرد، مهاجمان Azure CLI را هدف قرار دادند؛ اپلیکیشن اول‌شخص مایکروسافت که دارای مجوزهای ویژه است و نمی‌توان آن را مانند اپلیکیشن‌های شخص ثالث محدود کرد.

واقعیت این است که تکنیک‌های مختلفی وجود دارد که مهاجمان می‌توانند برای تصرف حساب‌ها در اپلیکیشن‌های کسب‌وکار کلیدی استفاده کنند. این دیدگاه که فیشینگ محدود به رمزهای عبور، MFA و جریان استاندارد احراز هویت است، منسوخ شده است. راه‌های زیادی وجود دارد که مهاجمان می‌توانند امروزه از طریق فیشینگ و مهندسی اجتماعی به تصرف حساب دست یابند.

راهنمای تیم‌های امنیتی برای سال ۲۰۲۶: مدل تهدید خود را بازنگری کنید

برای مقابله با فیشینگ در سال ۲۰۲۶، تیم‌های امنیتی باید مدل تهدید خود را تغییر دهند و این واقعیت‌ها را بپذیرند:

  • محافظت از ایمیل به‌عنوان سطح اصلی ضدفیشینگ کافی نیست.
  • ابزارهای نظارت بر شبکه و ترافیک با صفحات فیشینگ مدرن همگام نیستند.
  • احراز هویت مقاوم در برابر فیشینگ، حتی اگر به‌طور کامل پیاده‌سازی شود، شما را مصون نمی‌کند.

شناسایی و پاسخ کلیدی است. اما بیشتر سازمان‌ها شکاف‌های دید قابل توجهی دارند.

پر کردن شکاف شناسایی در مرورگر

نقطه مشترک تمام این حملات این است که همگی در مرورگر وب اتفاق می‌افتند و کاربران را حین کار روزمره در اینترنت هدف قرار می‌دهند. این مرورگر را به مکان ایده‌آل برای شناسایی و پاسخ به این حملات تبدیل می‌کند. اما در حال حاضر، مرورگر نقطه کور بیشتر تیم‌های امنیتی است.

پلتفرم‌های امنیتی مبتنی بر مرورگر می‌توانند قابلیت‌های جامع شناسایی و پاسخ در برابر دلیل اصلی نفوذها ارائه دهند. این ابزارها حملات مبتنی بر مرورگر مانند فیشینگ AiTM، سرقت اعتبارنامه، افزونه‌های مرورگر مخرب، ClickFix و سرقت نشست را مسدود می‌کنند.

نیازی نیست صبر کنید تا همه چیز خراب شود. می‌توانید به‌صورت پیشگیرانه آسیب‌پذیری‌ها را در اپلیکیشن‌هایی که کارمندانتان استفاده می‌کنند پیدا و رفع کنید: ورودهای ghost، شکاف‌های پوشش SSO، شکاف‌های MFA، رمزهای عبور آسیب‌پذیر و موارد دیگر تا سطح حمله هویتی خود را تقویت کنید.

جمع‌بندی: آمادگی برای نسل جدید فیشینگ

فیشینگ در سال ۲۰۲۵ از یک تهدید عمدتاً مبتنی بر ایمیل به حمله‌ای چندکاناله، پیچیده و صنعتی‌شده تبدیل شد. کیت‌های PhaaS دور زدن MFA را به امری عادی تبدیل کرده‌اند، کانال‌هایی مانند لینکدین و موتورهای جستجو به میدان‌های جدید نبرد تبدیل شده‌اند، و حتی احراز هویت مقاوم در برابر فیشینگ از طریق تکنیک‌های نوآورانه دور زده می‌شود.

پیام کلیدی برای تیم‌های امنیتی روشن است: رویکردهای سنتی دیگر کافی نیستند. شکاف دید در مرورگر باید پر شود، مدل تهدید باید به‌روزرسانی شود، و شناسایی و پاسخ باید در جایی اتفاق بیفتد که حملات رخ می‌دهند: در مرورگر.

همین امروز بررسی کنید که آیا سازمان شما آمادگی مقابله با این نسل جدید از حملات فیشینگ را دارد. پوشش احراز هویت، سیاست‌های دسترسی، و ابزارهای شناسایی مبتنی بر مرورگر را ارزیابی کنید و شکاف‌های امنیتی را قبل از آنکه مهاجمان پیدایشان کنند، برطرف کنید.

مطالب مرتبط:

دیدگاهتان را بنویسید

آخرین مقالات

۱۰ آسیب‌پذیری که دنیای امنیت سایبری را تکان دادند؛ از Log4Shell تا MOVEit

3 هفته پیش

حرکت جانبی (Lateral Movement) چیست و چرا خطرناک‌ترین مرحله حملات سایبری است؟

1 ماه پیش

اولین مورد فوت انسان به دلیل حمله باج افزاری – گروه‌های هکری خط قرمزها را رد کردند!

1 ماه پیش

زنجیره کشتار سایبری چیست و چگونه هکرها در ۷ مرحله به اهدافشان می‌رسند؟

1 ماه پیش

آیفون یا اندروید؟ تحقیقات جدید پاسخی غیرمنتظره درباره امنیت موبایل دارد

1 ماه پیش

۸ عادت ضروری برای محافظت از خودتان درسال ۲۰۲۶

1 ماه پیش

آخرین اطلاعیه‌ها

هشدار
Alert Level 3
سرقت مکالمات ChatGPT و DeepSeek توسط دو افزونه مخرب کروم
3 هفته پیش
حمله سایبری
Alert Level 2
کاهش ۴۳ درصدی فروش جگوار لندرور پس از حمله سایبری
3 هفته پیش
حمله سایبری
Alert Level 3
افزایش ده برابری حملات سایبری چین به بخش انرژی تایوان
3 هفته پیش
هشدار
Alert Level 3
بهره‌برداری فعال از آسیب‌پذیری بحرانی در روترهای قدیمی D-Link
3 هفته پیش
خبر
Alert Level 1
گوگل قابلیت دریافت ایمیل از طریق POP3 را در Gmail حذف می‌کند
3 هفته پیش
نقض امنیتی
Alert Level 2
نشت اطلاعات مشتریان Ledger از طریق نفوذ به سیستم‌های Global-e
3 هفته پیش
هشدار
Alert Level 3
بات‌نت Kimwolf و تهدید جدی شبکه‌های خانگی
1 ماه پیش
امنیت
Alert Level 2
هشدار OpenAI درباره خطرات تزریق پرامپت در عامل‌های مرورگر هوش مصنوعی
1 ماه پیش
نقض امنیتی
Alert Level 3
هشدار درباره آسیب‌پذیری بحرانی SmarterMail با امکان اجرای کد از راه دور
1 ماه پیش
حمله سایبری
Alert Level 3
بات‌نت RondoDox از آسیب‌پذیری React2Shell برای نفوذ به سرورها سوءاستفاده می‌کند
1 ماه پیش