سرقت ۲۶۲ میلیون دلاری هکرها و هشدار جدی اف‌بی‌آی!

در سال ۲۰۲۵ که رو به اتمام است، هکرها طبق آمار رسمی اف‌بی‌آی بیش از ۲۶۲ میلیون دلار از حساب‌های کاربران در آمریکا سرقت کرده‌اند؛ آن‌هم نه با بدافزارهای پیچیده، بلکه عمدتاً با در اختیار گرفتن حساب‌ها و فریب ساده اما هوشمندانه کاربران.

اف‌بی‌آی می‌گوید تا امروز بیش از ۵۱۰۰ شکایت مربوط به «تصاحب حساب» (Account Takeover) ثبت شده است؛ از حساب‌های بانکی شخصی و حقوق و دستمزد گرفته تا حساب‌های پس‌انداز درمانی شرکت‌ها و سازمان‌ها. در بیشتر این پرونده‌ها، مهاجمان بدون شکستن قفل‌های فنی، مستقیماً صاحب حساب را هدف قرار داده‌اند.

چطور هکرها بدون هک فنی، حساب را تصاحب می‌کنند؟

در سناریوی کلاسیک این حملات، مجرم سایبری خود را به‌جای کارمند بانک، پشتیبانی مشتری یا کارشناس فنی جا می‌زند. یک ایمیل یا تماس تلفنی یا پیامک قانع‌کننده می‌فرستد، قربانی را نگران می‌کند و در نهایت او را وادار می‌کند نام کاربری، رمز عبور و حتی کد احراز هویت دو مرحله‌ای (MFA) یا رمز یکبار مصرف (OTP) را در اختیارش بگذارد.

به‌محض دسترسی به این اطلاعات، مهاجم وارد وب‌سایت رسمی بانک یا سرویس مالی می‌شود، فرآیند بازیابی یا تغییر رمز را آغاز می‌کند و گام به گام کنترل کامل حساب را در دست می‌گیرد. از همین لحظه، انتقال وجه به حساب‌های واسطه، خریدهای مشکوک یا تبدیل سریع پول به رمزارز شروع می‌شود تا ردپای مالی تا حد ممکن گم شود.

هوش مصنوعی، فیشینگ و تب تعطیلات: ترکیب خطرناک جدید

گزارش‌های شرکت‌های امنیت سایبری نشان می‌دهد که هوش مصنوعی حالا به خدمت کلاه‌برداران اینترنتی درآمده است. ایمیل‌ها، پیامک‌ها، صفحه‌های جعلی ورود و حتی تبلیغات شبکه‌های اجتماعی با کمک مدل‌های هوش مصنوعی آن‌قدر واقعی و بدون غلط نوشته می‌شوند که تشخیص آن‌ها برای کاربر عادی تقریباً غیرممکن شده است.

لابراتوار Fortinet FortiGuard در ماه‌های اخیر بیش از ۷۵۰ دامنه مخرب با موضوع تعطیلات و خریدهای فصلی شناسایی کرده است؛ دامنه‌هایی که با سوءاستفاده از موج‌هایی مثل بلک فرایدی یا کریسمس، کاربران را به سمت پیشنهادهای «فوق‌العاده فوری» می‌کشانند تا اطلاعات ورود یا داده‌های کارت بانکی‌شان را وارد کنند.

حالا حتی مهاجمان کم‌تجربه هم می‌توانند با قالب‌های آماده و ابزارهای مبتنی بر هوش مصنوعی، ایمیل‌ها و سایت‌هایی بسازند که به‌سختی از برندهای بزرگ و آشنایی مثل Amazon یا Temu قابل تشخیص است. پرسش اینجاست: در روزی که صندوق ورودی‌تان پر از ایمیل تخفیف است، واقعاً می‌توانید جعلی را از اصلی جدا کنید؟

اطلاعات شخصی؛ سوخت رایگان برای هکرها

طبق هشدار اف‌بی‌آی، بخش بزرگی از مشکل، اشتراک‌گذاری افراطی اطلاعات در شبکه‌های اجتماعی است. وقتی نام حیوان خانگی، مدرسه و دانشگاه، تاریخ تولد یا جزئیات خانواده را به‌صورت عمومی پست می‌کنید، در واقع مواد اولیه لازم برای حدس زدن رمز عبور یا پاسخ سؤالات امنیتی را در اختیار مجرمان می‌گذارید.

بسیاری از قربانیان بعدها متوجه می‌شوند که رمز عبورشان با یک نگاه کوتاه به پروفایل‌شان قابل حدس بوده است؛ ترکیبی از اسم فرزند، تاریخ تولد یا اسم تیم ورزشی محبوب. همین الگوها، کار را برای هکرها و ابزارهای خودکار آن‌ها به‌شدت ساده می‌کند.

از موبایل تا فروشگاه‌های جعلی؛ میدان‌های تازه کلاهبرداری

فیشینگ موبایلی (Smishing) هم به‌سرعت در حال رشد است. مهاجمان با تکیه بر نام برندهای معتبر، پیامک‌هایی درباره «بسته در انتظار تحویل»، «مشکل در پرداخت» یا «مسدود شدن حساب» ارسال می‌کنند. یک لینک کوتاه، یک پیام اضطراری و یک کاربر عجله‌ای، تمام چیزی است که برای آلوده کردن دستگاه یا برداشت اطلاعات لازم است.

در کنار این، کلاهبرداری‌های خرید آنلاین هم به تهدیدی جدی تبدیل شده‌اند. فروشگاه‌های ظاهراً حرفه‌ای با طراحی جذاب و قیمت‌های وسوسه‌انگیز، کاربران را به وارد کردن اطلاعات کارت تشویق می‌کنند. کالا هرگز ارسال نمی‌شود، اما داده‌های پرداخت قربانی ذخیره می‌شود تا بعداً برای تراکنش‌های جعلی یا فروش در بازارهای زیرزمینی استفاده شود.

بسیاری از این حملات بر بستر پلتفرم‌های رایج مانند Adobe، Oracle E-Business Suite، WooCommerce و Magento انجام می‌شود؛ مهاجمان با سوءاستفاده از حفره‌های امنیتی به فروشگاه‌ها یا افزونه‌های آسیب‌پذیر نفوذ می‌کنند و ترافیک یا اطلاعات پرداخت را به سمت سرورهای خودشان منحرف می‌سازند.

در برخی سناریوها، قربانی از یک تبلیغ یا لینک در شبکه اجتماعی وارد «قیف چندمرحله‌ای» می‌شود؛ سیستم‌های توزیع ترافیک (TDS) ابتدا بررسی می‌کنند کاربر از چه کشوری است، از موبایل وارد شده یا دسکتاپ، آیا از VPN استفاده می‌کند یا نه؛ سپس مطابق با این اطلاعات او را به مناسب‌ترین صفحه کلاهبرداری هدایت می‌کنند. این طراحی هوشمند، شانس موفقیت هر حمله را بیشتر می‌کند.

مزیت اصلی این مدل برای مجرمان چیست؟ قربانی خودش پرداخت را تأیید می‌کند. بانک از نگاه سامانه‌هایش یک تراکنش عادی از سوی صاحب حساب می‌بیند. بعضی گروه‌ها حتی چند تراکنش پشت‌سرهم و با مبالغ متفاوت ثبت می‌کنند تا حداکثر پول ممکن را قبل از لو رفتن کارت خارج کنند.

در مرحله بعد، داده‌های کارت‌ها و حساب‌های سرقت‌شده در مارکت‌های دارک‌وب به فروش می‌رسد؛ جایی که خریداران تازه، آن‌ها را برای حملات دیگر، خرید کالا یا پولشویی به کار می‌گیرند. چرخه‌ای که اگر یک‌جا قطع نشود، بارها و بارها تکرار خواهد شد.

چطور حساب و هویت دیجیتال خود را امن‌تر کنیم؟

اف‌بی‌آی مجموعه‌ای از توصیه‌های عملی برای کاهش ریسک این نوع حملات منتشر کرده است؛ نکاتی ساده اما مؤثر که اگر به‌صورت مداوم رعایت شوند، شانس موفقیت هکرها را به‌شدت کم می‌کنند:

• کمتر گفتن، امن‌تر بودن: میزان اطلاعات شخصی که به‌صورت عمومی در شبکه‌های اجتماعی به اشتراک می‌گذارید محدود کنید. نام‌ها، تاریخ‌ها و جزئیات خانوادگی را روی حالت عمومی نگذارید.
• چک مداوم حساب‌ها: حساب‌های بانکی، کیف پول‌های دیجیتال و صورت‌حساب کارت‌های اعتباری را منظم بررسی کنید. تراکنش‌های کوچک و مشکوک می‌تواند نشانه تست اولیه هکرها باشد.
• رمزهای منحصربه‌فرد و پیچیده: برای هر سرویس آنلاین، رمز عبور جداگانه، پیچیده و طولانی انتخاب کنید و از مدیر رمز عبور (Password Manager) برای نگهداری آن‌ها بهره ببرید.
• بررسی دقیق آدرس سایت: قبل از وارد کردن رمز عبور، چند ثانیه وقت بگذارید و آدرس URL را چک کنید. از لینک‌های داخل ایمیل و پیامک مستقیماً وارد حساب بانکی نشوید؛ آدرس را خودتان تایپ کنید.
• شک کنید، نجات پیدا می‌کنید: به پیام‌ها و تماس‌های ناخواسته که ادعا می‌کنند از طرف بانک یا مؤسسه مالی هستند اعتماد نکنید. تماس را قطع کنید و شماره رسمی را از وب‌سایت اصلی بردارید و خودتان تماس بگیرید.
• آنتی‌ویروس و به‌روزرسانی: روی موبایل و کامپیوترتان نرم‌افزار امنیتی معتبر نصب کنید و سیستم‌عامل و مرورگر را مرتب به‌روز نگه دارید.
• فایروال را فعال نگه دارید: فایروال سیستم‌ها می‌تواند بسیاری از تلاش‌های دسترسی غیرمجاز را در همان ابتدا مسدود کند.
• خدمات پایش هویت: اگر تراکنش‌های زیاد یا حساب‌های متعدد دارید، استفاده از سرویس‌های رصد سرقت هویت و نشت داده می‌تواند به تشخیص زودهنگام مشکل کمک کند.
• آگاهی از سطح تهدید: حتی امن‌ترین تنظیمات هم ۱۰۰٪ تضمین نمی‌دهند. فیشینگ پیشرفته و حملات مبتنی بر هوش مصنوعی همچنان می‌توانند کاربران بسیار آگاه را هم فریب دهند.
• یکپارچگی در همه دستگاه‌ها: محافظت واقعی زمانی شکل می‌گیرد که روی همه دستگاه‌ها، شبکه‌ها و حساب‌ها، عادت‌های امن را به‌صورت یکپارچه پیاده کنید؛ نه فقط روی یک گوشی یا یک لپ‌تاپ.

دنیای مالی و دیجیتال با سرعتی باورنکردنی در حال تغییر است و مجرمان سایبری هم هر روز ابزارهای جدیدتری در اختیار می‌گیرند. در چنین شرایطی، ترکیب «سواد امنیتی»، «ابزارهای دفاعی» و «کمی شک سالم» بهترین سپری است که می‌توانید برای حفاظت از پول و هویت دیجیتال خود بسازید.