ویسفیشینگ (Voice Phishing) که با نام کوتاه Vishing نیز شناخته میشود، یکی از خطرناکترین روشهای کلاهبرداری سایبری و مهندسی اجتماعی است که بهجای ایمیل یا پیامک، از تماس صوتی، پیام صوتی و بسترهای VoIP برای فریب کاربران استفاده میکند. در این نوع فیشینگ صوتی، مهاجم با جعل هویت یک نهاد معتبر مانند بانک، پلیس، شرکتهای فناوری یا حتی اعضای خانواده و مدیران سازمانها، تلاش میکند اطلاعات حساس، کدهای امنیتی یا پول را از قربانی دریافت کند.با رشد سریع هوش مصنوعی، بهویژه در حوزه تولید صدا، تقلید صدا و دیپفیک صوتی، ویسفیشینگ وارد مرحلهای بسیار پیشرفته و متقاعدکننده شده است. امروزه تشخیص صدای واقعی از صدای جعلی تولیدشده با هوش مصنوعی برای بسیاری از افراد دشوار است. سازمان امنیت سایبری آمریکا (CISA) هشدار داده که ویسفیشینگ مبتنی بر AI اکنون به یکی از مؤثرترین و رایجترین ابزارهای حملات مهندسی اجتماعی در فضای سایبری مدرن تبدیل شده است.
فهرست مطالب
ویسفیشینگ (Vishing) چیست؟
ویسفیشینگ نوعی حمله مهندسی اجتماعی است که در آن مهاجم از تماس تلفنی، پیام صوتی ضبطشده یا تماسهای اینترنتی VoIP برای سوءاستفاده از اعتماد قربانی استفاده میکند. برخلاف فیشینگ ایمیلی، در این روش صدا نقش اصلی را ایفا میکند و همین موضوع باعث افزایش قدرت اقناع و تأثیرگذاری حمله میشود.اهداف اصلی ویسفیشینگ شامل سرقت اطلاعات بانکی مانند شماره کارت، CVV2 و رمز پویا، دسترسی غیرمجاز به حسابهای کاربری و ایمیل، دریافت کدهای تأیید یکبارمصرف (OTP)، وادار کردن قربانی به انتقال وجه، و سوءاستفاده از هویت افراد یا مدیران سازمانها است. گزارشهای FBI و CISA نشان میدهد که بخش قابلتوجهی از خسارات مالی ناشی از کلاهبرداری تلفنی، مستقیماً به حملات vishing مرتبط است.
روشهای متداول ویسفیشینگ
در حملات ویسفیشینگ، مهاجمان از تکنیکهای متنوعی استفاده میکنند. یکی از رایجترین روشها جعل شماره تماس یا Caller ID Spoofing است که باعث میشود شماره تماس شبیه شماره بانک یا یک سازمان معتبر نمایش داده شود. تماسهای خودکار یا رباتیک (Robocall و IVR) نیز برای برقراری ارتباط انبوه با کاربران بهکار میروند. ایجاد حس اضطرار، تهدید یا فوریت مانند مسدود شدن حساب، تشکیل پرونده قضایی یا بروز مشکل مالی فوری از دیگر تکنیکهای کلیدی است. جعل هویت بانکها، پلیس، شرکتهای فناوری، یا حتی اعضای خانواده نیز نقش مهمی در موفقیت این حملات دارد. FBI تأکید میکند که ایجاد ترس، فشار روانی و فوریت، مهمترین عامل موفقیت حملات vishing است.
نقش هوش مصنوعی در تحول ویسفیشینگ
هوش مصنوعی باعث شده ویسفیشینگ از یک تماس تلفنی ساده و قابلتشخیص، به یک حمله پیچیده، هوشمند و کاملاً مقیاسپذیر تبدیل شود. فناوریهای AI نهتنها کیفیت صدا را به سطحی بسیار واقعی رساندهاند، بلکه امکان مدیریت مکالمات پویا و شخصیسازیشده را نیز فراهم کردهاند.در حوزه تقلید و کلونسازی صدا یا AI Voice Cloning، گزارشهای Trend Micro و Microsoft نشان میدهد که مدلهای هوش مصنوعی میتوانند تنها با چند ثانیه نمونه صدا، صدای یک فرد واقعی را با دقت بالا بازسازی کنند. این صدا میتواند کاملاً شبیه اعضای خانواده، مدیرعامل یک شرکت یا همکار نزدیک باشد. چنین قابلیتی در کلاهبرداریهایی مانند آدمربایی مجازی و کلاهبرداری از سالمندان بهطور گسترده مورد استفاده قرار گرفته است. در یک نمونه واقعی که در سال 2024 توسط People Magazine گزارش شد، زنی پس از شنیدن صدای جعلی دخترش که با هوش مصنوعی ساخته شده بود، بیش از 15 هزار دلار به کلاهبرداران پرداخت کرد.در سطح پیشرفتهتر، دیپفیک صوتی بلادرنگ یا Real-time Audio Deepfake قرار دارد. مطالعات پژوهشی منتشرشده در arXiv، از جمله مقالهای با عنوان PITCH، نشان میدهد که تبدیل صدای زنده در حین تماس تلفنی به صدای فرد دیگر بهصورت آنی امکانپذیر شده است. این فناوری حتی میتواند سیستمهای احراز هویت صوتی را دور بزند و امنیت آنها را با چالش جدی مواجه کند.هوش مصنوعی همچنین با باتهای مکالمه ترکیب شده است. AI صرفاً تولیدکننده صدا نیست، بلکه با استفاده از پردازش زبان طبیعی یا NLP میتواند مکالمهای روان و شبیه انسان واقعی ایجاد کند، به سؤالات قربانی پاسخ منطقی بدهد و مسیر گفتوگو را بر اساس واکنش طرف مقابل تغییر دهد. طبق Microsoft Security Blog، این موضوع باعث شده تماسهای کلاهبرداری دیگر شبیه اسکریپتهای خشک و تکراری نباشند و تشخیص آنها دشوارتر شود.در نهایت، مقیاسپذیری و خودکارسازی حملات یکی از مهمترین مزایای AI برای مهاجمان است. با ادغام هوش مصنوعی در زیرساختهای VoIP، امکان برقراری هزاران تماس جعلی بهصورت همزمان فراهم میشود. پیامها برای هر قربانی شخصیسازی میشوند و حملات هدفمند یا Spear-Vishing با دقت بسیار بالا اجرا میگردند.
چرا ویسفیشینگ مبتنی بر AI بسیار مؤثر است؟
تحلیلهای CISA و Trend Micro نشان میدهد که موفقیت بالای ویسفیشینگ مبتنی بر هوش مصنوعی به عوامل متعددی وابسته است. اعتماد ذاتی انسان به صدا و واکنش احساسی به شنیدن صدای آشنا، یکی از مهمترین دلایل این موفقیت است. فشار روانی، اضطرار و تهدید، توان تصمیمگیری منطقی قربانی را کاهش میدهد. از سوی دیگر، کیفیت بالای دیپفیکهای صوتی باعث شده تشخیص صدای جعلی برای انسانها بسیار دشوار شود. دسترسی آسان و ارزان به ابزارهای هوش مصنوعی نیز موجب شده این نوع کلاهبرداری صوتی بهسرعت گسترش یابد.
روشهای شناسایی و مقابله با ویسفیشینگ
در سطح فردی، مهمترین اصل این است که هرگز صرفاً به صدا اعتماد نشود. هرگونه درخواست مالی یا درخواست اطلاعات حساس باید از طریق یک کانال مستقل مانند تماس با شماره رسمی سازمان تأیید شود. استفاده از رمز یا سؤال امنیتی خانوادگی یا Safe Word میتواند در برابر کلاهبرداریهای مبتنی بر تقلید صدای اعضای خانواده مؤثر باشد. یعنی اگر یکی از اعضای خانواده یا آشناها با شما تماس گرفت از او بخواهید یک چیزی بگوید که هویت خودش را تایید کند. چیزی که جزو موارد محرمانه یا خصوصی خانوادگی شماست و دیگران از آن مطلع نیستند. همچنین توصیه میشود به تماسهایی که درخواست پرداخت فوری دارند پاسخ داده نشود.در سطح سازمانی، پیادهسازی سیاستهای تأیید چندمرحلهای برای درخواستهای مالی اهمیت زیادی دارد. آموزش مداوم کارکنان درباره ویسفیشینگ و روشهای جدید vishing، استفاده از احراز هویت چندعاملی (MFA) و بهرهگیری از سیستمهای تشخیص دیپفیک صوتی از جمله اقدامات کلیدی هستند که توسط CISA و Microsoft توصیه شدهاند.
چالشهای حقوقی و اخلاقی
پیشرفت سریع هوش مصنوعی باعث شده قوانین و چارچوبهای حقوقی با این فناوری همگام نباشند. تشخیص قانونی صدای جعلی و اثبات سوءاستفاده از آن در بسیاری از کشورها هنوز با ابهام مواجه است. از سوی دیگر، انتشار نمونههای صوتی افراد در شبکههای اجتماعی، حریم خصوصی آنها را در معرض خطر قرار داده است. McAfee این وضعیت را یک مسابقه تسلیحاتی بین مهاجمان و مدافعان توصیف میکند.
در پایان
ویسفیشینگ دیگر یک کلاهبرداری ساده تلفنی نیست، بلکه با کمک هوش مصنوعی به یک تهدید جدی سایبری و اجتماعی تبدیل شده است. تقلید صدا، دیپفیکهای صوتی، مکالمات هوشمند و حملات گسترده باعث شده اعتماد انسانی به صدا به نقطه ضعف امنیتی تبدیل شود. آینده مقابله با ویسفیشینگ مبتنی بر هوش مصنوعی، نیازمند ترکیبی از آگاهی کاربران، سیاستهای سازمانی، فناوریهای تشخیص AI و قوانین بهروز و کارآمد خواهد بود.
منابع
CISA – Avoiding Social Engineering and Phishing Attacks
FBI – Spoofing and Phishing
Microsoft Security Blog – AI-powered deception
Trend Micro – AI Voice Scam Reports
arXiv – PITCH: AI-assisted Tagging of Deepfake Audio Calls
People Magazine – AI Voice Cloning Scam Report
McAfee – Deepfake Audio Detection





