دنیای امنیت سایبری اغلب از داستانهای تخیلی هم عجیبتر است. جهانی که در آن خطرناکترین هکر نه از یک سلاح افسانهای، بلکه از همان ابزارهای حوصلهسربری استفاده میکند که مدیر IT شما برای تعمیر پرینتر به کار میبرد. اینجا جایی است که هوشمندانهترین دفاعها نه با یک الگوریتم پیچیده، بلکه با یک تماس تلفنی ساده فرو میریزند. در این مقاله، ما ۱۰ روند و داستان شگفتانگیز از سال گذشته را بررسی میکنیم که نشان میدهند بزرگترین غافلگیری امسال، خودِ فناوری نیست، بلکه روشی است که از آن برای بهرهبرداری از قدیمیترین آسیبپذیری تاریخ استفاده میشود: اعتماد انسان.
۱. بزرگترین تهدید شما شاید ویروس نباشد، بلکه یک مصاحبه شغلی جعلی است – GhostHire و GhostCall
پیچیدهترین حملات سایبری اغلب دفاعهای فنی را دور میزنند و مستقیماً عنصر انسانی را با روایتهای فریبنده هدف قرار میدههند. گروههای هکری نخبه مانند BlueNoroff استادان این هنر هستند و کمپینهای مهندسی اجتماعی آنها به طرز نگرانکنندهای خلاقانه شده است.
بر اساس گزارش Kaspersky، کمپین «GhostHire» توسعهدهندگان Web3 را هدف قرار میدهد. مهاجمان خود را به عنوان استخدامکننده جا میزنند و قربانیان را فریب میدهند تا یک بدافزار را که به عنوان یک آزمون مهارت جا زده شده، اجرا کنند. برای افزایش فشار، آنها یک محدودیت زمانی ۳۰ دقیقهای تعیین میکنند تا قربانی را به اقدامی سریع و بیدقت وادار کنند. در کمپینی دیگر به نام «GhostCall»، مهاجمان از جلسات جعلی Zoom یا Microsoft Teams استفاده میکنند. آنها به قربانی میگویند که مشکل صوتی وجود دارد و برای رفع آن باید یک فایل را دانلود و اجرا کند؛ فایلی که در واقع یک بدافزار است. این تاکتیکها به قدری ماهرانه اجرا میشوند که برای مثال در سیستمعامل macOS، یک نشانگر راهنمای «Downloads» نمایش داده میشود که با تقلید از بازخوردهای واقعی اپل، کاربر را به اجرای اسکریپت تشویق میکند. به گفته Kaspersky، این گروهها اکنون از هوش مصنوعی برای اصلاح روشهای مهندسی اجتماعی خود استفاده میکنند تا فریبهایشان متقاعدکنندهتر شود.
بذار خلاصه بگم 👇 گروههای هکری نخبه، مصاحبههای شغلی و جلسات آنلاین جعلی و پیچیدهای را ترتیب میدهند تا افراد را فریب داده و وادار به نصب بدافزار کنند، که ثابت میکند اعتماد انسانی یک هدف اصلی است.
اما گاهی حتی به این اندازه هم پیچیده نیست. گاهی فقط یک تماس تلفنی کافی است.
۲. ضعیفترین حلقه در امنیت ابری شما، فناوری نیست؛ یک تماس تلفنی است – فیشینگ صوتی – حمله به Salesforce با OAuth
حتی امنترین پلتفرمها نیز میتوانند به خطر بیفتند اگر افرادی که از آنها استفاده میکنند فریب بخورند. این یک نقطه کور بزرگ برای بسیاری از سازمانها است و یک گروه هکری ترکیبی به نام «Scattered Lapsus Hunters» که اعضای گروههای Scattered Spider، Lapsus و ShinyHunters را گرد هم آورده، از این نقطه ضعف به خوبی بهرهبرداری کرده است.
بر اساس گزارشهای متعدد از جمله Krebs on Security و Help Net Security، روش اصلی حمله این گروه به طرز شگفتآوری ساده است: فیشینگ صوتی (vishing). آنها با کارمندان شرکتهای بزرگ تماس میگیرند و با مهندسی اجتماعی آنها را متقاعد میکنند که به یک اپلیکیشن مخرب در داخل حساب Salesforce شرکتی خود دسترسی OAuth بدهند (یعنی به اپلیکیشن اجازه دهند از طرف آنها به دادهها دسترسی پیدا کند). با یک کلیک ساده، مهاجمان به دادههای حساس مشتریان دسترسی پیدا میکنند. مقیاس این حمله خیرهکننده است و فهرستی از قربانیان شامل نامهای بزرگی مانند Toyota، FedEx، Disney/Hulu و Home Depot است. Salesforce تأکید کرده که پلتفرم اصلی آن به خطر نیفتاده و آسیبپذیری در «افراد و رویههای مشتریانش» نهفته است.
بذار خلاصه بگم 👇 هکرها با یک تماس تلفنی ساده و فریب دادن کارمندان برای کلیک کردن روی یک دکمه، به شرکتهای غولپیکر نفوذ میکنند، که ثابت میکند خطای انسانی همچنان یکی از بزرگترین آسیبپذیریهاست.
این یک ترفند هوشمندانه است: حمله را شبیه به رفتار انسان جلوه بده. اما چه اتفاقی میافتد وقتی خود بدافزار شروع به فکر کردن مانند یک انسان میکند؟
۳. بدافزارهای جدید یاد میگیرند مثل یک انسان تایپ کنند تا شما را فریب دهند – بدافزار Herodotus
همانطور که سیستمهای امنیتی در شناسایی کلاهبرداریهای خودکار بهتر میشوند، بدافزارها نیز به روشهای شگفتانگیزی برای تقلید از رفتار انسان سازگار میشوند. این یک تکامل طبیعی در دنیای دیجیتال است که در آن مخفی ماندن به معنای بقاست.
تروجان بانکداری اندرویدی جدیدی به نام «Herodotus» نمونهای عالی از این روند است. بر اساس گزارشهای The Hacker News و BleepingComputer، ویژگی اصلی این بدافزار توانایی آن در تقلید از رفتار قانونی کاربر برای دور زدن سیستمهای ضد کلاهبرداری است. هنگامی که این بدافزار فرمها را پر میکند (مثلاً برای انتقال پول)، کاراکترها را با فواصل زمانی تصادفی وارد میکند. این کار باعث میشود که به نظر برسد یک انسان واقعی در حال تایپ کردن است و سیستمهای امنیتی که به دنبال سرعتهای ماشینی و غیرطبیعی ورودی هستند، فریب میخورند. نگرانکنندهتر اینکه، Herodotus به عنوان یک بدافزار-به-عنوان-سرویس (MaaS) در انجمنهای زیرزمینی ارائه میشود، که نشاندهنده پذیرش تجاری گسترده آن است.
بذار خلاصه بگم 👇 بدافزارهای موبایلی جدید اکنون میتوانند با تایپ کردن آهسته و با مکث، تظاهر به انسان بودن کنند، که این امر تشخیص کلاهبرداری را برای سیستمهای امنیتی بانکها بسیار دشوارتر میکند.
و در حالی که بدافزارها یاد میگیرند مثل انسان تایپ کنند، هوش مصنوعی در حال یادگیری نوشتن بینقصترین ایمیلهای فریبنده است.
۴. هوش مصنوعی فقط به مدافعان کمک نمیکند؛ مهاجمان سریعتر و بهتر از آن استفاده میکنند – مسابقه تسلیحاتی هوش مصنوعی
در حالی که بسیاری هوش مصنوعی (AI) را به عنوان ابزار نهایی دفاع سایبری میبینند، واقعیت این است که مهاجمان آن را سریعتر و خلاقانهتر به کار میگیرند. این یک مسابقه تسلیحاتی جدید است و در حال حاضر، مهاجمان پیشتاز هستند.
طبق گزارش دارکتریس، عاملان تهدید به اولین استفادهکنندگان از هوش مصنوعی پیشرفته، مانند ایجنتهای هوش مصنوعی، تبدیل شدهاند. از آنجا که آنها نگران استفاده ایمن یا مسئولانه نیستند، این سیستمها را سریعتر از مدافعان به کار میگیرند. مهاجمان از این فناوری برای وظایف کاملاً خودکار مانند نظارت، بهرهبرداری از آسیبپذیریها و حتی دلالی برای دسترسی اولیه به شبکهها استفاده میکنند. علاوه بر این، هوش مصنوعی مولد نحوه اجرای حملات فیشینگ را متحول کرده است. همانطور که در گزارش IBM Technology اشاره شده، ایمیلهای فیشینگ تولید شده توسط هوش مصنوعی کاملاً بینقص و شخصیسازی شده هستند و دیگر خبری از اشتباهات کلاسیک گرامری و املایی نیست. این ایمیلها بسیار باورپذیرتر به نظر میرسند و تشخیص آنها برای کارمندان معمولی تقریباً غیرممکن است.
بذار خلاصه بگم 👇 مهاجمان از هوش مصنوعی برای خودکارسازی حملات خود و ساخت ایمیلهای فیشینگ فوقالعاده متقاعدکننده استفاده میکنند و مدافعان را مجبور به بازی تعقیب و گریز کردهاند.
اما پیشرفتهترین فریبها همیشه از فناوریهای جدید نمیآیند. گاهی اوقات، بهترین راه برای پنهان ماندن، استفاده از ابزارهایی است که از قبل در محل حضور دارند.
۵. ابزار جدید مورد علاقه هکرها؟ همانی است که تیم IT شما همین الان استفاده میکند – حملات LOTL – ابزار WMI و PowerShell
یکی از موثرترین تاکتیکهای مهاجمان، استفاده از ابزارهای خود سازمان علیه آن است. این روش که به عنوان حملات «زندگی از سرزمین» (Living-Off-the-Land یا LOTL) شناخته میشود، به مهاجمان اجازه میدهد تا در محیط هدف پنهان شوند و شناسایی آنها فوقالعاده دشوار است.
بر اساس مقالاتی از Fortinet و Kiteworks، حملات LOTL از ابزارهای سیستمی قانونی و داخلی مانند PowerShell و Windows Management Instrumentation (WMI) برای اجرای دستورات مخرب استفاده میکنند. از آنجا که این ابزارها توسط مدیران سیستم برای وظایف روزمره استفاده میشوند، فعالیتهای مخرب به راحتی با کارهای عادی مدیریتی ترکیب میشود. این تکنیک به این دلیل بسیار مؤثر است که اقدامات امنیتی سنتی مبتنی بر امضا را دور میزند. هیچ فایل مخرب جدیدی برای شناسایی وجود ندارد. در عوض، دفاع نیازمند یک تغییر به سمت تحلیل رفتاری است—یعنی شناسایی زمانی که ابزارهای قانونی به روشهای غیرعادی یا مشکوک استفاده میشوند.
بذار خلاصه بگم 👇 هکرها به طور فزایندهای از ابزارهای پیشفرض و داخلی ویندوز برای انجام حملات خود استفاده میکنند و با رفتار کردن مانند مدیران سیستم، اساساً در دیدرس همه پنهان میشوند.
و این فقط ابزارهای روی کامپیوتر شما نیستند که برای پنهان شدن استفاده میشوند. گاهی اوقات، مهاجمان در وسایل خانه شما پنهان میشوند.
۶. شاید توستر هوشمند شما در حال حمله به سرور بازی مورد علاقهتان باشد – باتنت Aisuru
اینترنت اشیاء (IoT) خانههای ما را هوشمندتر کرده است، اما همچنین ارتشی از دستگاههای ناامن ایجاد کرده که آمادهاند تا به خدمت گرفته شوند. یک باتنت جدید به نام «Aisuru» نشان میدهد که این تهدید چقدر جدی است. شوخی نمیکنیم، شاید همین الان توستر شما در حال حمله DDoS به سرورهای Minecraft باشد.
بر اساس گزارشهای Krebs on Security و FastNetMon، این باتنت از صدها هزار دستگاه مصرفی به خطر افتاده مانند روترها، دوربینها و DVRها تشکیل شده است که بسیاری از آنها در شبکههای ارائهدهندگان بزرگ اینترنت در آمریکا مانند AT&T، Comcast و Verizon قرار دارند. این یک تغییر استراتژیک کلیدی را نشان میدهد: حملات DDoS دیگر فقط یک تهدید ورودی نیستند. حجم عظیمی از ترافیک حمله اکنون از داخل شبکههای ISP سرچشمه میگیرد و باعث آسیب جانبی و کندی خدمات برای مشتریان مجاور میشود.
«تأثیر آن فراتر از شبکههای قربانی است. به عنوان مثال، ما تنها از طریق شبکه Comcast ترافیکی معادل ۵۰۰ گیگابیت را مشاهده کردهایم. این مقدار خروجی از شبکه آنها… منجر به ازدحام در دسترسی به سایر خدمات یا محتوا در حین حمله خواهد شد.»
بذار خلاصه بگم 👇 هکرها در حال تبدیل دستگاههای هوشمند روزمره به ارتشهای عظیمی برای حمله به وبسایتها هستند و ترافیک به قدری زیاد است که میتواند اینترنت را برای همه کند کند.
از دستگاههایی که در خانههایمان پنهان شدهاند، به بازارهای پنهانی میرویم که در آن آسیبپذیریهای نرمافزاری به عنوان سلاح فروخته میشوند.
۷. یک باگ روز-صفر در کروم بد است، اما شوک واقعی این است که چه کسانی آنها را میخرند – جاسوسافزار LeetAgent – آسیبپذیری CVE-2025-2783 در گوگل کروم
کشف یک آسیبپذیری روز-صفر در یک مرورگر محبوب مانند گوگل کروم تنها نیمی از داستان است. نیمه دیگر، بازار پنهانی است که در آن این اکسپلویتها به عنوان ابزارهای جاسوسی قدرتمند فروخته میشوند.
مورد آسیبپذیری CVE-2025-2783 در گوگل کروم دقیقاً این موضوع را نشان میدهد. بر اساس گزارش SempreUpdate، این حمله با ایمیلهای اسپیرفیشینگ که حاوی لینکی به یک «فروم جعلی» بودند، آغاز شد. این آسیبپذیری به طور فعال «در دنیای واقعی» برای فرار از حفاظتهای سندباکس مرورگر و نصب یک جاسوسافزار پیچیده به نام «LeetAgent» مورد استفاده قرار گرفت. نکته تکاندهنده، ارتباط بین LeetAgent و Memento Labs است، یک شرکت ایتالیایی که به عنوان جانشین شرکت بدنام «Hacking Team» توصیف شده است. Hacking Team به دلیل فروش ابزارهای نظارتی به دولتها در سراسر جهان شهرت داشت. این مورد نمونهای بارز از بازار جاسوسافزارهای تجاری است، جایی که نقصهای حیاتی در نرمافزارهای روزمره به ابزارهایی برای جاسوسی هدفمند تبدیل میشوند.
بذار خلاصه بگم 👇 یک باگ بزرگ در گوگل کروم توسط شرکتی که ابزارهای جاسوسی به دولتها میفروشد، مورد استفاده قرار گرفت. این موضوع دنیای پنهانی را نشان میدهد که در آن نقصهای نرمافزاری به سلاح تبدیل میشوند.
این بازارهای پنهان فقط به مرورگرها محدود نمیشوند. با ظهور فناوریهای جدید، میدانهای نبرد جدیدی نیز پدیدار میشوند.
۸. مرورگرهای هوش مصنوعی جدید را میتوان فریب داد تا “خاطرات آلوده” داشته باشند – هک خاطرات آلوده – حمله به ChatGPT
مرورگرهای مجهز به هوش مصنوعی مانند ChatGPT Atlas از OpenAI مرز جدیدی از راحتی را نوید میدهند، اما همچنین چالشهای امنیتی کاملاً جدید و حلنشدهای را ایجاد میکنند. آنها میتوانند کارهایی را برای شما انجام دهند، اما اگر فریب بخورند، ممکن است کارهایی علیه شما نیز انجام دهند.
یک آسیبپذیری به نام «خاطرات آلوده» (Tainted Memories) که توسط LayerX کشف شده، این خطر را به خوبی نشان میدهد. طبق گزارشهای LayerX و Fortune، حمله به این صورت عمل میکند: کاربر روی یک لینک مخرب کلیک میکند. از طریق یک اکسپلویت جعل درخواست بین سایتی (CSRF)، مهاجم میتواند دستورالعملهای مخفی و مخربی را بدون اطلاع کاربر به «حافظه» ChatGPT تزریق کند. دفعه بعد که کاربر یک سؤال قانونی از هوش مصنوعی میپرسد (مثلاً درخواست کمک برای کدنویسی)، حافظه «آلوده» فراخوانی میشود و به طور بالقوه کد مخرب را اجرا میکند. OpenAI خود این چالش را تأیید کرده و در مقالهای در Fortune، تزریق پرامپت را یک «مشکل امنیتی مرزی و حلنشده» خوانده است.
بذار خلاصه بگم 👇 هکرها راهی پیدا کردهاند تا از طریق یک لینک مخرب، دستورالعملهای بدی را به طور مخفیانه در حافظه ChatGPT بکارند، که میتواند باعث شود بعداً اقدامات مضری را برای شما انجام دهد.
در حالی که مدافعان با تهدیدات جدید دست و پنجه نرم میکنند، یک چالش قدیمیتر همچنان آنها را فلج میکند: حجم بیش از حد اطلاعات.
۹. تیمهای امنیتی در هشدارها غرق شدهاند، بنابراین یاد میگیرند اکثرشان را نادیده بگیرند – خستگی از هشدارها یا Alert Fatigue – اولویتبندی لاگهای SOC
تصور یک مرکز عملیات امنیتی (SOC) که هر تهدیدی را فوراً شناسایی میکند، یک افسانه است. واقعیت برای بسیاری از تیمهای امنیتی، «خستگی از هشدارها» است—سیلی از هشدارهای کماهمیت که تهدیدات واقعی را در خود پنهان میکنند. استراتژی جدید دیگر جمعآوری دادههای بیشتر نیست، بلکه هوشمندتر بودن است.
راهنمایی جدیدی از سوی CISA و مرکز امنیت سایبری استرالیا، که توسط GovInfoSecurity گزارش شده، به «شکاف دید» اشاره میکند، جایی که تیمهای امنیتی برای شناسایی تهدیدات حیاتی در میان دریایی از لاگهای پر سر و صدا دچار مشکل هستند. توصیه اصلی آنها انقلابی است: سازمانها باید بر روی دریافت ارزشمندترین دادههای لاگ تمرکز کنند، نه اینکه سعی کنند همه چیز را جمعآوری کنند که هم گران و هم ناکارآمد است. Allie Mellen از Forrester این موضوع را به خوبی خلاصه میکند: «داشتن دید نسبت به محیط مفید است، اما تنها به اندازه اقدامات تشخیصی که تیم امنیتی پیادهسازی کرده، کاربرد دارد.»
بذار خلاصه بگم 👇 از آنجایی که تیمهای امنیتی هشدارهای بسیار زیادی دریافت میکنند، توصیه جدید کارشناسان این است که فقط بر روی مهمترین لاگهای امنیتی تمرکز کرده و بقیه را نادیده بگیرند تا از دست دادن حملات واقعی جلوگیری شود.
این واقعیت تلخ دنیای دفاع، ما را به یک واقعیت شگفتانگیز در دنیای حمله هدایت میکند: جایی که بخش هیجانانگیز کار، کماهمیتترین بخش آن است.
۱۰. “هک” بخش آسان ماجراست؛ کار واقعی هکرهای اخلاقی، نوشتن گزارش است – تیم قرمز و گزارشنویسی
تصور هالیوودی از یک هکر که در اتاقی تاریک کدهای پیچیده تایپ میکند، با واقعیت حرفهایهای امنیت تهاجمی فاصله زیادی دارد. برای تیمهای قرمز (Red Teams) قانونی، بهرهبرداریهای فنی تنها بخشی از یک کار بسیار بزرگتر و اغلب کمتر هیجانانگیز است.
بر اساس دیدگاههای کارشناسان، هدف اصلی یک تیم قرمز صرفاً یافتن هرچه بیشتر آسیبپذیریها نیست، بلکه تست افراد و فرآیندها برای دستیابی به اهداف تجاری مشخص است. گاهی اوقات این به معنای «ارائه ارزش» است، حتی اگر به معنای توقف یک حمله بیثمر باشد. یک تیم ممکن است یک کمپین فیشینگ ناموفق را متوقف کند تا دفاعهای حیاتیتری را آزمایش کند، زیرا هدف، ارائه بینشهای مفید به مشتری است، نه اثبات مهارت هکر. مهمتر از همه، ارتباط و نوشتن گزارش است. همانطور که مایک ساندرز بیان میکند، گزارش «محصول» نهایی و «میراث» یک تعامل است. این تنها راهی است که مشتری میتواند امنیت خود را بهبود بخشد. یک هک هوشمندانه بدون گزارشی واضح که مشکل و راهحل آن را توضیح دهد، بیفایده است.
بذار خلاصه بگم 👇 برای هکرهای اخلاقی که امنیت شرکتها را آزمایش میکنند، مهمترین و وقتگیرترین بخش کارشان نفوذ کردن نیست—بلکه نوشتن یک گزارش واضح است که مشکلات و نحوه رفع آنها را توضیح میدهد.
نتیجهگیری
همانطور که دیدیم، چشمانداز امنیت سایبری در سال ۲۰۲۵ پیچیدهتر و غیرمنتظرهتر از همیشه است. از هوش مصنوعی که حملات فیشینگ را بینقص میکند تا بدافزارهایی که مانند انسان تایپ میکنند، یک تم مشترک وجود دارد: فناوری در حال تقویت حملاتی است که در نهایت قدیمیترین آسیبپذیری را هدف قرار میدهند، یعنی اعتماد انسان. خطوط بین ابزارهای قانونی و مخرب در حال محو شدن هستند و بزرگترین چالشها اغلب در فناوری نیستند، بلکه در فرآیندها، اولویتبندیها و روانشناسی انسانی نهفتهاند.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec