اف‌بی‌آی اعلام کرده هکرها از ابتدای سال 2025 تاکنون، از طریق روش «تصاحب حساب» (Account Takeover) بیش از 262 میلیون دلار از کاربران آمریکایی سرقت کرده‌اند. این حملات افراد، کسب‌وکارها و سازمان‌های مختلف طیف گسترده‌ای از صنایع را تحت تأثیر خود قرار داده است.

بنابر گزارش این نهاد، بیش از 5100 شکایت مرتبط با این نوع کلاهبرداری‌ها ثبت شده و اغلب پرونده‌ها شامل دسترسی غیرمجاز مهاجمان به حساب‌های مالی، سیستم‌های حقوق و دستمزد یا حساب‌های پس‌انداز درمانی می‌شود.

همچنین معمولاً از تکنیک‌های مهندسی اجتماعی، مانند ایمیل‌های فیشینگ، تماس‌های جعلی و پیامک‌های فریبنده برای وادارکردن قربانیان به افشای اطلاعات ورود استفاده شده است. هکرها پس از دسترسی، رمز عبور کاربر را ریست و حساب او را تصاحب می‌کنند و سپس وجوه را به حساب‌های تحت کنترل خود انتقال می‌دهند. در بسیاری از موارد مبلغ سرقتی به رمزارز تبدیل می‌شود تا پیگیری مسیر آن دشوارتر شود.

موج جدید فیشینگ با هوش مصنوعی و کلاهبرداری‌های مناسبتی

اف‌بی‌آی در توضیح روند این حملات اعلام کرده است:

«مجرم سایبری با جا زدن خود به عنوان کارمند بانک، پشتیبان مشتری یا تیم فنی، مالک حساب را فریب می‌دهد تا اطلاعات ورود خود، از جمله کد احراز هویت چندمرحله‌ای (MFA) یا رمز یک‌بارمصرف (OTP) را در اختیار او قرار دهد.»

سپس هکر رمز حساب را ریست می‌کند و کنترل کامل آن را در دست می‌گیرد.

شرکت‌های امنیت سایبری هشدار داده‌اند که استفاده از هوش مصنوعی برای ساخت کمپین‌های فیشینگ حرفه‌ای، وب‌سایت‌های جعلی و تبلیغات فریبنده رو به افزایش است. آزمایشگاه Fortinet FortiGuard گزارش داده تنها در ماه‌های اخیر بیش از 750 دامنه مخرب با موضوعات مناسبتی (از بلک فرایدی تا کریسمس) شناسایی کرده که با ایجاد حس فوریت، احتمال سرقت اطلاعات کاربری را افزایش می‌دهند.

کارشناسان این آزمایشگاه می‌گویند که کلاهبرداران کم‌تجربه امروز می‌توانند حملات بسیار متقاعدکننده‌ای طراحی و خودشان را به‌جای برندهایی مانند آمازون یا Temu معرفی کنند.

اف‌بی‌آی هشدار داده اشتراک‌گذاری اطلاعات ظاهراً ساده‌ای مثل نام حیوان خانگی، مدرسه، تاریخ تولد یا اطلاعات خانوادگی هم می‌تواند سرنخ لازم برای حدس‌زدن رمز عبور یا پاسخ به سؤالات امنیتی را در اختیار مجرمان قرار دهد.

درهمین‌حال، فیشینگ موبایلی نیز رشد چشمگیری داشته و مهاجمان با سوءاستفاده از نام برندهای معتبر، کاربران را به کلیک روی لینک‌های مخرب یا دانلود به‌روزرسانی‌های جعلی ترغیب می‌کنند. همچنین، کلاهبرداری‌های خرید آنلاین با فروشگاه‌های تقلبی که اطلاعات پرداخت کاربران را سرقت می‌کنند، به تهدید مهمی تبدیل شده‌اند.

حملات پیچیده‌تری نیز گزارش شده که از چندین مرحله و سیستم‌های توزیع ترافیک برای شناسایی آسیب‌پذیرترین کاربران استفاده و سپس آنها را به صفحات نهایی کلاهبرداری هدایت می‌کنند. در این عملیات‌ها از آن‌جایی که پرداخت‌ها توسط قربانی تأیید می‌شود، پول فوری به‌دست مهاجمان می‌رسد و بعضاً شامل انجام تراکنش‌های متوالی برای استخراج بیشترین ارزش از کارت بانکی قربانی هستند. داده‌های به‌دست‌آمده نیز در بازارهای دارک وب فروخته و به اجرای حملات جدید منجر می‌شود.

چگونه در برابر حملات هکرها ایمن بمانیم؟

اف‌بی‌آی برای کاهش ریسک‌های احتمالی، توصیه‌های زیر را ارائه کرده است:

• محدودکردن انتشار اطلاعات شخصی در فضای آنلاین
• رصد دائمی حساب‌های مالی برای شناسایی فعالیت‌های مشکوک
• استفاده از رمزهای عبور پیچیده
• بررسی دقیق آدرس وب‌سایت‌ها قبل از ورود اطلاعات
• احتیاط در برابر پیام‌ها یا تماس‌های ناخواسته‌ای که ادعا می‌کنند از سوی نمایندگی نهادهای مالی هستند
• نصب آنتی‌ویروس معتبر
• فعال‌کردن فایروال برای جلوگیری از دسترسی غیرمجاز
• استفاده از سرویس‌های حفاظت از هویت

اف‌بی‌آی تأکید کرده که تأثیر این توصیه‌ها به اجرای منسجم آنها در تمامی دستگاه‌ها و شبکه‌های کاربران وابسته است.