Παλιές τακτικές, νέες απειλές: Η εξέλιξη του phishing το 2025

Μια νέα έκθεση της Kaspersky αποκαλύπτει πώς οι κυβερνοεγκληματίες αναβιώνουν και εξελίσσουν κλασικές τεχνικές phishing, στοχοποιώντας τόσο άτομα όσο και επιχειρήσεις μέσα στο 2025. Τα ευρήματα δείχνουν μια ραγδαία αύξηση επιθέσεων μέσω ημερολογίου, ψεύτικων φωνητικών μηνυμάτων και εξελιγμένων μεθόδων παράκαμψης πολυπαραγοντικού ελέγχου ταυτότητας (MFA). Καθώς οι τεχνικές phishing γίνονται ολοένα και πιο περίπλοκες, η έκθεση υπογραμμίζει την ανάγκη για συνεχή εγρήγορση των χρηστών, εκπαίδευση των εργαζομένων και ισχυρές λύσεις ασφαλείας email για την αντιμετώπιση αυτών των επίμονων απειλών.

Phishing μέσω ημερολογίου: Μια αόρατη απειλή μέσα στο γραφείο

Μια τακτική που εμφανίστηκε για πρώτη φορά στα τέλη της δεκαετίας του 2010 επιστρέφει δυναμικά. Το λεγόμενο “calendar phishing” κάνει εκ νέου την εμφάνισή του, αυτή τη φορά με επίκεντρο τα επιχειρηματικά περιβάλλοντα. Οι επιτιθέμενοι στέλνουν προσκλήσεις για ψεύτικα συμβάντα μέσω email, συχνά χωρίς καθόλου κείμενο στο μήνυμα, ενώ οι κακόβουλοι σύνδεσμοι κρύβονται στην περιγραφή του event.

Μόλις ο χρήστης ανοίξει την πρόσκληση, το συμβάν προστίθεται αυτόματα στο ημερολόγιο, δημιουργώντας υπενθυμίσεις που τον προτρέπουν να πατήσει συνδέσμους που οδηγούν σε πλαστές σελίδες σύνδεσης — συνήθως απομιμήσεις της Microsoft. Ενώ οι πρώτες εκδόσεις της μεθόδου στοχοποιούσαν κυρίως χρήστες του Google Calendar, οι επιθέσεις πλέον επικεντρώνονται σε υπαλλήλους γραφείου με πρόσβαση σε εταιρικά δίκτυα.

Η Kaspersky συνιστά στις επιχειρήσεις να πραγματοποιούν τακτικές εκπαιδεύσεις ευαισθητοποίησης απέναντι στο phishing, όπως προσομοιώσεις επιθέσεων, ώστε οι εργαζόμενοι να μάθουν να επαληθεύουν κάθε απρόσμενη ή ύποπτη πρόσκληση ημερολογίου. Ο στόχος είναι να αναπτυχθεί μια κουλτούρα «ψηφιακής επιφύλαξης» — όχι κάθε πρόσκληση αξίζει ένα αυτόματο “Accept”.

Phishing μέσω φωνητικών μηνυμάτων: Παράκαμψη του CAPTCHA με ύπουλο τρόπο

Σε μια πιο εκλεπτυσμένη εκδοχή, οι δράστες αξιοποιούν phishing emails που παρουσιάζονται ως ειδοποιήσεις φωνητικών μηνυμάτων. Αυτά τα emails είναι σκόπιμα λιτά, περιλαμβάνοντας ελάχιστο κείμενο και έναν μόνο σύνδεσμο που οδηγεί σε φαινομενικά αθώα σελίδα. Όταν ο χρήστης κάνει κλικ, ακολουθεί μια σειρά από CAPTCHA επαληθεύσεις — ένα έξυπνο τέχνασμα για να παρακαμφθούν τα αυτόματα φίλτρα ασφαλείας.

Η διαδικασία καταλήγει σε μια πειστική ψεύτικη σελίδα σύνδεσης της Google, η οποία επαληθεύει τη διεύθυνση email και καταγράφει τους κωδικούς πρόσβασης. Η πολυεπίπεδη αυτή τεχνική εξαπάτησης δείχνει πως οι επιθέσεις phishing πλέον συνδυάζουν τεχνική δεξιοτεχνία με ψυχολογικό χειρισμό.

Για την αντιμετώπιση αυτών των εξελιγμένων απειλών, η Kaspersky προτείνει στις επιχειρήσεις να επενδύσουν σε διαδραστικά προγράμματα εκπαίδευσης που βοηθούν τους εργαζόμενους να αναγνωρίζουν ύποπτους συνδέσμους και ανωμαλίες σε σελίδες σύνδεσης. Παράλληλα, προηγμένες λύσεις προστασίας email, όπως το Kaspersky SecureMail, μπορούν να εντοπίζουν και να μπλοκάρουν τέτοιες καμουφλαρισμένες επιθέσεις προτού φτάσουν στα εισερχόμενα.

Παράκαμψη MFA: Η νέα γενιά κλοπής διαπιστευτηρίων

Ακόμη και ο πολυπαραγοντικός έλεγχος ταυτότητας — που θεωρούνταν μέχρι πρόσφατα από τα πιο ασφαλή μέτρα προστασίας — δέχεται πλέον επιθέσεις. Οι πιο πρόσφατες καμπάνιες phishing χρησιμοποιούν ψεύτικες σελίδες σύνδεσης σε υπηρεσίες cloud, με στόχο όχι μόνο τους κωδικούς πρόσβασης αλλά και τους OTP κωδικούς επαλήθευσης.

Χαρακτηριστικό παράδειγμα αποτελεί η απομίμηση της πλατφόρμας pCloud, μιας νόμιμης υπηρεσίας αποθήκευσης και κοινής χρήσης αρχείων. Οι επιτιθέμενοι στέλνουν φαινομενικά ουδέτερα emails υποστήριξης που παραπέμπουν σε πλαστές σελίδες σύνδεσης, φιλοξενούμενες σε domains που μοιάζουν εντυπωσιακά με τα αυθεντικά, όπως pcloud.online.

Οι ψεύτικες αυτές σελίδες επικοινωνούν μέσω API με την πραγματική πλατφόρμα pCloud για να επαληθεύουν σε πραγματικό χρόνο τις διευθύνσεις email, προσθέτοντας μια αίσθηση αυθεντικότητας. Όταν ο χρήστης εισάγει τα στοιχεία του και τον MFA κωδικό, οι πληροφορίες αποστέλλονται άμεσα στους επιτιθέμενους, δίνοντάς τους πλήρη πρόσβαση στον λογαριασμό.

Οι συνέπειες τέτοιων επιθέσεων είναι σοβαρές: πέρα από την απώλεια προσωπικών δεδομένων, οι οργανισμοί κινδυνεύουν με παραβιάσεις εταιρικών συστημάτων. Για την αντιμετώπιση αυτών των κινδύνων, οι ειδικοί συνιστούν υποχρεωτική εκπαίδευση κυβερνοασφάλειας και χρήση λύσεων όπως το Kaspersky Security for Mail Servers, που ανιχνεύουν ύποπτα domains και επιθέσεις βασισμένες σε API.

Η νέα μορφή του phishing: τεχνολογία και ψευδαίσθηση

Αυτό που κάνει το phishing του 2025 τόσο επικίνδυνο είναι ο συνδυασμός παλιών τεχνασμάτων με σύγχρονη τεχνολογία. Οι εγκληματίες του κυβερνοχώρου δεν στηρίζονται πλέον σε κακογραμμένα emails ή φτηνές απομιμήσεις. Αντίθετα, χρησιμοποιούν πειστικό σχεδιασμό, πραγματικά λογότυπα και ρεαλιστική γλώσσα, δημιουργώντας την ψευδαίσθηση αξιοπιστίας.

Οι σύγχρονες εκστρατείες phishing εκμεταλλεύονται τόσο την ανθρώπινη ψυχολογία όσο και τα τεχνικά κενά ασφαλείας. Από την κατάχρηση εργαλείων όπως τα ημερολόγια και τα cloud APIs έως τη δημιουργία σύνθετων ροών επαλήθευσης, οι επιτιθέμενοι θολώνουν τη γραμμή ανάμεσα στο πραγματικό και στο ψεύτικο.

Οι επιχειρήσεις δεν μπορούν πια να βασίζονται μόνο σε αντιδραστικές άμυνες. Η ανάπτυξη μιας ενεργητικής κουλτούρας κυβερνοασφάλειας — που συνδυάζει συνεχή εκπαίδευση, έξυπνα φίλτρα email και ανίχνευση απειλών σε πραγματικό χρόνο — είναι πλέον απαραίτητη. Η έκθεση τονίζει ότι ο πιο αδύναμος κρίκος παραμένει η ανθρώπινη συμπεριφορά· η ενημέρωση των χρηστών είναι εξίσου σημαντική με την τεχνολογική προστασία.