تصور کنید یک مدیر سیستم هستید که تمام لایههای امنیتی شبکه را بهروز کردهاید، اما یک استیکر ساده روی دکل برق یا یک فایل PDF، تمام این حصارها را میشکند. همین حالا مهاجمان با تغییر مسیر حمله از کامپیوترهای محافظتشده به گوشیهای موبایل آسیبپذیر، در حال شکار حسابهای امن هستند. موج جدیدی از حملات «کویژینگ» (Quishing) به هکرها اجازه میدهد تا سیستمهای احراز هویت چندعاملی (MFA) را دور زده و حسابهای امن را به سرقت ببرند. آنها با جاسازی لینکهای مخرب در کدهای QR، از فیلترهای سنتی ایمیل که معمولاً تلاشهای فیشینگ متنمحور را شناسایی میکنند، عبور میکنند.
بسیاری از ما به کلاهبرداریهای قدیمی عادت کردهایم؛ ایمیلهایی درباره ارثیههای گمشده از اقوام دور، هشدارهایی از طرف «فیسبوک» مبنی بر مسدود شدن حسابها، یا پیشنهادهای ناخواسته سرمایهگذارانی که میلیونها دلار وعده میدهند. اما بازی تغییر کرده است. اکنون مهاجمان از هوش مصنوعی برای انسانیتر کردن تلاشهای فیشینگ و خودکارسازی کل زنجیره حملات استفاده میکنند. آنها همچنین از کدهای QR بهره میبرند تا حمله را از یک کامپیوتر محافظتشده به یک گوشی موبایل آسیبپذیر منتقل کنند.
طبق گزارش ۲۰۲۶ روند فیشینگ از سوی Hoxhunt، حملات مبتنی بر کد QR در یک سال گذشته ۲۵٪ رشد کرده است. این گزارش بر تغییری در نحوه توزیع این حملات تأکید میکند:
- پیامهای ساده فیشینگ کد QR که مستقیماً در بدنه ایمیل ارسال میشدند، در حال کاهش هستند.
- این حملات اکنون به عنوان بردارهایی بازگشتهاند که درون پیوستهای ایمیلهای کلاهبرداری، بهویژه فایلهای PDF مخرب، پنهان شدهاند.

این تهدیدات تنها به صندوق ورودی ایمیل شما محدود نمیشوند. این گزارش خاطرنشان میکند که کدهای مخرب اکنون در محیطهای فیزیکی ظاهر شدهاند. این کدها در پوسترها جاسازی شده یا روی کارتهای ویزیت جعلی چاپ شدهاند. در برخی موارد، آنها صرفاً استیکرهایی هستند که روی تیرهای چراغ برق در اماکن عمومی چسبانده شدهاند.
همانطور که در تحلیلهای پیشین ما درباره امنیت مدلهای زبانی و تهدیدات مهندسی اجتماعی اشاره کردیم، بستر حملات در حال تغییر است. اکنون مهاجمان از هوش مصنوعی زاینده (Generative AI) — که شبیه نویسندهای است که با تحلیل میلیاردها متن، میتواند دقیقترین و متقاعدکنندهترین پیامها را خلق کند — برای انسانیتر کردن پیامهای فیشینگ و خودکارسازی زنجیره حمله استفاده میکنند.
گوگل در ژوئن سال گذشته از طریق تیم Trust & Safety هشدار داد که بردارهای سنتی در حال جایگزینی توسط تاکتیکهای «مهاجم در میان» (Adversary-in-the-Middle یا AITM) و کویژینگ هستند. کویژینگ با AITM جفت میشود تا لینکهای مخرب را در قالبی قرار دهد که خواندن یا شناسایی آنها برای فیلترهای امنیتی دشوار باشد.
به نقل از گوگل و مایکروسافت، این زنجیره به صورت زیر عمل میکند:
- کاربر ایمیلی حاوی کد QR دریافت میکند و تحت تأثیر کنجکاوی، فوریت، ترس یا وعده یک پاداش، ترغیب به اسکن کد میشود.
- گوشی کاربر وبسایتی را باز میکند که یک نسخه کلون شده (کپی) از یک دامنه مورد اعتماد است؛ مانند یک بانک، ارائهدهنده خدمات مالی یا یک پلتفرم کاری.
- کاربر با این باور که در حال ورود به یک سایت مورد اعتماد است، اطلاعات شناسایی (Credentials) خود را ارسال میکند.
- مهاجم رمز عبور و «توکن نشست» (Session Token) را میرباید و از این طریق سیستمهای احراز هویت چندعاملی (MFA) را دور میزند.
از آنجا که کاربر با یک دستگاه شخصی اسکن میکند، تمام لایههای امنیتی شبکه سازمانی و تورهای ایمنی، مانند ابزارهای تشخیص فیشینگ، کاملاً دور زده میشوند. تیم Microsoft Defender این تغییر روند را تأیید کرد و مشاهده نمود که کمپینهای مبتنی بر کد QR در ماههای اخیر از ۱۰٪ به ۳۰٪ کل تلاشهای فیشینگ افزایش یافته است.
این تغییر رویکرد بار سنگینی بر دوش کاربر نهایی میگذارد. از آنجا که کدهای QR مقصد، لینکها و محتوای خود را در قالبی تصویر-مانند پنهان میکنند، شما نمیتوانید پیش از کلیک، URL یا منشأ سایت را تأیید کنید. شما در واقع هر بار که یک کد غیرمنتظره را اسکن میکنید، «کورکورانه» پیش میروید. در حالی که روشهای سنتی برای تشخیص انسان از ربات در حال تکامل هستند و برخی رویکردها جایگزینی اثبات انسانیت با تأیید هویت رمزنگاریشده را پیشنهاد میدهند، در حملات کویژینگ، این خودِ کاربر است که با اسکن کد، امنیت خود را به مخاطره میاندازد.
برای مالکان کسبوکارها و کارکنان، این بدان معناست که «دیوار آتش انسانی» تنها دفاع باقیمانده است. اگر ایمیلی حاوی کد QR دریافت کردید که به نظر میرسد از طرف بانک شماست، امنترین اقدام این است که کد را نادیده بگیرید و در یک تب مجزا به وبسایت رسمی بانک مراجعه کنید یا اپلیکیشن رسمی موبایلی را باز کنید.
دنیایی را تصور کنید که هر سطح عمومی، از یک منو در کافه گرفته تا یک پارکمتر، یک نقطه ورود احتمالی برای هکرها باشد. راحتیِ کدهای QR یک آسیبپذیری سیستماتیک گسترده ایجاد کرده است. حتی پیامی که شما را به دلیل برنده شدن در یک لاتری تبریک میگوید، میتواند شما را به دامنهای هدایت کند که برای سرقت دادههای شما طراحی شده است.
برای ایمن ماندن، با هر کد QR غیرمنتظره با همان تردیدی برخورد کنید که به یک لینک یا پیوست مشکوک در ایمیل مینگرید. هر زمان که تردید داشتید، مستقیماً از طریق یک کانال تأییدشده به منبع مراجعه کنید. برای حفظ ایمنی و امنیت، تا زمانی که کاملاً مطمئن نشدهاید منبع معتبر است، روی لینکها کلیک نکنید و کدها را اسکن نکنید.
گام بعدی شما
- هر کد QR غیرمنتظره را با همان تردیدی نگاه کنید که به یک لینک مشکور در ایمیل مینگرید.
- در صورت تردید، هرگز کد را اسکن نکنید و مستقیماً از کانالهای تأییدشده (سایت یا اپلیکیشن رسمی) استفاده کنید.
- برای کارکنان خود آموزش دهید که اسکن کدهای QR در محیط کار نباید جایگزین ورود مستقیم به پورتالهای شرکتی شود.
اما این تنها بخشی از معماری جدید حملات است؛ تأثیر هوش مصنوعی در جعل هویتهای بصری در گزارش بعدی ما بررسی خواهد شد.




گفتگو