10 τρελές ιστορίες phishing (και συναφείς με το phishing) από το 2024–2025 – συμπεριλαμβανομένων σημαντικών διδαγμάτων

Οι κωδικοί QR μετατράπηκαν σε στοιχεία σύνδεσης. Η τεχνητή νοημοσύνη υποδύθηκε τον οικονομικό διευθυντή σας στο Zoom. «Εσωτερικά» email έφτασαν από τον άλλο κόσμο. Τα τελευταία δύο χρόνια ήταν μια ασταμάτητη παρέλαση ευρηματικών απάτων – εξίσου θρασύτατων και ευφυών. Παρακάτω, περιηγούμαστε σε δέκα πραγματικά περιστατικά που χαρακτήρισαν την εποχή και, το πιο σημαντικό, μεταφράζουμε το καθένα σε απλά μέτρα προστασίας που μπορείτε να εφαρμόσετε. Οι πηγές παρατίθενται σε συνδέσμους σε όλο το κείμενο, ώστε να μπορείτε να εμβαθύνετε όποτε θέλετε.
1) Change Healthcare: μία πύλη, χωρίς MFA και ένα πολύ ακριβό μάθημα (Φεβρουάριος 2024)
Τον Φεβρουάριο του 2024, οι επιτιθέμενοι πέρασαν την ψηφιακή πόρτα της Change Healthcare χρησιμοποιώντας κλεμμένα διαπιστευτήρια — χωρίς συναγερμούς, χωρίς δεύτερο παράγοντα, απλώς μια απομακρυσμένη πύλη χωρίς MFA. Η παραβίαση τελικά εξελίχθηκε σε ransomware ALPHV/BlackCat και σε διακοπή της λειτουργίας του συστήματος χρέωσης υγειονομικής περίθαλψης σε εθνικό επίπεδο. Στελέχη της εταιρείας κατέθεσαν αργότερα ότι το σημείο εισόδου που παραβιάστηκε δεν είχε ενεργοποιημένη την MFA — μια παράλειψη που μοιάζει με ανατροπή της πλοκής που μπορείτε να δείτε να έρχεται από μακριά (Reuters; πλαίσιο μέσω Cybersecurity Dive; συνοπτικές αναφορές του τομέα από την AHA και HHS OCR).
Γιατί πέτυχε; Επειδή μια εφαρμογή χωρίς MFA είναι ένα κλειδί-πασπαρτού σε έναν κόσμο γεμάτο αρχεία καταγραφής κλοπής πληροφοριών και επαναχρησιμοποίηση κωδικών πρόσβασης. Το αντίμετρο είναι εντυπωσιακά μη ελκυστικό: MFA ανθεκτική στο phishing (FIDO2) παντού όπου το κοινό μπορεί να σας δει, ιδανικά πίσω από SSO + πρόσβαση υπό όρους, με τα παλαιά πρωτόκολλα απενεργοποιημένα. Προσθέστε βασικές ειδοποιήσεις ανωμαλιών — αδύνατα ταξίδια, περίεργα ASN, παράξενες ώρες — και τουλάχιστον έχετε μια πιθανότητα να εντοπίσετε τα πρώτα ίχνη.
2) Pepco Group: κλασικό BEC, γυαλισμένο σαν διαμάντι (Φεβρουάριος 2024)
Η ουγγρική επιχείρηση της Pepco έχασε περίπου 15,5 εκατομμύρια ευρώ από κάτι που μοιάζει με κλασικό παράδειγμα —αλλά εξαιρετικά καλά εκτελεσμένο— business email compromise. Χωρίς υπερβολές κακόβουλου λογισμικού· απλώς πειστικά μηνύματα, εξουσία, επείγοντα χαρακτήρα και μια διαδικασία πληρωμής που εμπιστευόταν υπερβολικά το εισερχόμενο (ανακοίνωση εταιρείας / PDF; κάλυψη μέσω Reuters και Help Net Security).
Η λύση είναι τόσο πολιτισμική όσο και τεχνική: αντιμετωπίστε τη μεταφορά χρημάτων σαν μια λίστα ελέγχου πιλοτηρίου. Διπλές εγκρίσεις, επαλήθευση με επανάκληση σε γνωστούς αριθμούς, πύλες προμηθευτών με 2FA και μια περίοδος αναμονής για τις πρώτες αλλαγές τραπεζικών στοιχείων μετατρέπουν το «παρακαλώ πληρώστε αυτό επειγόντως» σε «φυσικά — αφού ακολουθήσουμε τη διαδικασία».
3) Η αίθουσα συνεδριάσεων με deepfake της Arup: όταν τα πρόσωπα ψεύδονται (Ιαν.–Μάιος 2024)
Ένας υπάλληλος του τμήματος οικονομικών της Arup συμμετείχε σε μια βιντεοκλήση με τον «CFO» και τους συναδέλφους του. Φαίνονταν σωστά, ακούγονταν σωστά, κινούνταν σωστά — και ήταν deepfakes AI. Περίπου 25 εκατομμύρια δολάρια έφυγαν από το κτίριο πριν η πραγματικότητα προλάβει να αντιδράσει (Financial Times; CFO Dive; πληροφορίες από CNN/Yahoo).
Έχουμε εκπαιδεύσει τους ανθρώπους να «εμπιστεύονται το πρόσωπο». Τα deepfakes καταστρέφουν αυτό το ένστικτο. Η πρακτική λύση είναι η πολιτική, όχι η παράνοια: να μην αποδεσμεύονται κεφάλαια μόνο με ζωντανές κλήσεις. Απαιτήστε έγκριση με αριθμό εισιτηρίου καθώς και λεκτική επανάκληση σε έναν αριθμό που προέρχεται από εσωτερικό κατάλογο — ποτέ από το email ή την πρόσκληση στη συνάντηση. Διδάξτε στις ομάδες να εντοπίζουν προειδοποιητικά σημάδια (απόκλιση συγχρονισμού χειλιών, περίεργες καθυστερήσεις) και να χρησιμοποιούν εναλλακτικά κανάλια επικοινωνίας όταν κάτι δεν φαίνεται σωστό.
4) Παρίσι 2024: οι Ολυμπιακοί Αγώνες των πλαστών εισιτηρίων (μέσα του 2024)
Ο ενθουσιασμός, η σπανιότητα και το άψογο branding δημιουργούν ιδανικές συνθήκες για phishing. Πριν από το Παρίσι 2024, οι αρχές και οι ερευνητές εντόπισαν εκατοντάδες ψευδείς ιστότοπους που πωλούσαν εισιτήρια, πακέτα φιλοξενίας και «προνομιακή πρόσβαση». Σε κάποιο σημείο, η γαλλική χωροφυλακή μέτρησε 338 ύποπτα domain. Το σενάριο ήταν απλό: SEO-poisoning, κλωνοποιημένα λογότυπα και αίσθηση επείγοντος που κάνει ακόμη και τους έμπειρους αγοραστές να ξεχνούν τους κανόνες τους (Proofpoint; προειδοποιήσεις προς τους καταναλωτές μέσω του CBS News; επίσημες ανακοινώσεις στο Olympics.com).
Εάν το προσωπικό σας ταξιδεύει ή αγοράζει εισιτήρια για εκδηλώσεις, δώστε προτεραιότητα στην ενημέρωση για την ασφάλεια: πληκτρολογήστε, μην κάνετε κλικ, και μόνο σε επίσημες διευθύνσεις URL. Στο παρασκήνιο, προσέξτε τα typosquats και αποκλείστε εντελώς νέα domain σε κατηγορίες υψηλού κινδύνου για μια περίοδο αναμονής. Λίγη δυσκολία είναι καλύτερη από το ακριβό FOMO.
5) Παραβιάσεις που συνδέονται με το Snowflake: ένας κωδικός πρόσβασης για να τα κυβερνήσει όλα (άνοιξη–καλοκαίρι 2024)
Η Ticketmaster, η Santander και άλλοι ανέφεραν πρόσβαση σε δεδομένα μέσω περιβάλλοντων Snowflake πελατών, με έναν γνωστό «κακό»: κλεμμένα διαπιστευτήρια και απουσία MFA. Η ίδια η Snowflake δήλωσε ότι η πλατφόρμα της δεν παραβιάστηκε· αντίθετα, οι επιτιθέμενοι χρησιμοποίησαν πραγματικά κλειδιά για να εισέλθουν σε περιπτώσεις πελατών και προχώρησαν σε ερωτήματα (Dark Reading; The Verge; Google Threat Intelligence; Push Security).
Εάν τα δεδομένα σας βρίσκονται σε SaaS, αντιμετωπίστε την ταυτότητα σαν το νέο σας περίμετρο δικτύου. Βάλτε SSO/SAML + MFA μπροστά, προσθέστε λίστες επιτρεπόμενων IP/VPN και εφοδιαστείτε με εργαλεία για ασυνήθιστους όγκους ερωτημάτων ή ξαφνικές αλλαγές ρόλων. Τα κλειδιά και τα tokens πρέπει να εναλλάσσονται με τον ίδιο τρόπο που αλλάζετε τις μπαταρίες σε έναν ανιχνευτή καπνού: τακτικά, πριν από τη φωτιά.
6) Η στροφή της Star Blizzard στο WhatsApp: ο κωδικός QR σας είναι ένα διακριτικό συνεδρίας (τέλη 2024–Ιαν. 2025)
Η Star Blizzard, που συνδέεται με την FSB, άρχισε να παρασύρει διπλωμάτες και πολιτικούς να σαρώσουν κωδικούς QR του WhatsApp, μετατρέποντας μια απλή παράδοση σε κατάληψη λογαριασμού. Η κίνηση αυτή παρακάμπτει έξυπνα τους ελέγχους των email και μεταφέρει τη συνομιλία σε μια παραβιασμένη εφαρμογή όπου η εμπιστοσύνη είναι υψηλή και ο έλεγχος χαμηλός (Microsoft; BleepingComputer; The Guardian).
Η αλλαγή νοοτροπίας είναι κρίσιμη: οι κωδικοί QR συχνά αποτελούν αυθεντικοποίηση. Εκπαιδεύστε τους χρήστες να αντιμετωπίζουν τις σαρώσεις σαν κωδικούς πρόσβασης, περιορίστε τη σύνδεση σε μη διαχειριζόμενες συσκευές μέσω MDM και απαιτήστε MFA με αντιστοίχιση αριθμών όπου είναι διαθέσιμο. Επίσης, προσέξτε για νέες συνδεδεμένες συσκευές και ύποπτες αλλαγές τοποθεσίας — και τα δύο είναι πρώιμα προειδοποιητικά σημάδια.
7) Quishing σε μεγάλη κλίμακα: Το Microsoft Sway ως εργοστάσιο δόλωμα (Αύγ. 2024)
Οι επιτιθέμενοι βασίστηκαν στο Microsoft Sway για να φιλοξενήσουν κομψές σελίδες phishing με QR κωδικούς που πέρασαν τα φίλτρα χάρη στα φαινόμενα φωτοστέφανου πρώτου μέρους. Η εικόνα QR έκρυβε τον πραγματικό προορισμό, και οι σαρωτές που δεν ήταν κατασκευασμένοι για να αποκωδικοποιούν εικόνες έβλεπαν μόνο ένα ωραίο, καθαρό αρχείο που φιλοξενούσε μια αξιόπιστη μάρκα (BleepingComputer; πρωτότυπη έρευνα από την Netskope).
Οι υπερασπιστές μπορούν να απαντήσουν με τον ίδιο τρόπο: προσθέστε αποκωδικοποίηση QR στην ασφάλεια email/web, εξετάστε προσεκτικά τους νέους συνδέσμους Sway/Forms/Sites και ασφαλίστε την ταυτότητα με MFA χωρίς κωδικό πρόσβασης, υπό όρους πρόσβαση και συνεχή αξιολόγηση πρόσβασης. Στα κινητά, διδάξτε στους χρήστες πώς να κάνουν προεπισκόπηση των URL πριν τα ανοίξουν — μικρή δεξιότητα, τεράστια απόδοση.
8) Trezor: όταν το τμήμα υποστήριξης γίνεται κοινωνικός μηχανικός (Ιαν. 2024 & Ιουν. 2025)
Τον Ιανουάριο του 2024, μια πύλη υποστήριξης τρίτου μέρους συνδεδεμένη με την Trezor εξέθεσε τα στοιχεία επικοινωνίας περίπου 66.000 χρηστών — καύσιμο για επακόλουθες επιθέσεις phishing. Μέχρι τον Ιούνιο του 2025, οι επιτιθέμενοι προχώρησαν ένα βήμα παραπέρα, καταχρώμενοι τη φόρμα υποστήριξης της Trezor για να στείλουν πειστικές αυτόματες απαντήσεις που φαινόταν αρκετά επίσημες ώστε να ξεγελάσουν ακόμη και τους βετεράνους (BleepingComputer; BleepingComputer).
Το σύστημα υποστήριξής σας αποτελεί μέρος του περιμέτρου ασφαλείας σας. Αντιμετωπίστε το ανάλογα: περιορίστε τον αριθμό των αυτόματων απαντήσεων, επιβάλλετε αυστηρή συμμόρφωση με τα πρότυπα DKIM/DMARC, ελέγξτε τις πρότυπες απαντήσεις για επικίνδυνη γλώσσα (ειδικά όσον αφορά την «ανάκτηση» και τα κρυπτονομίσματα) και δημοσιεύστε σαφείς δημόσιες ανακοινώσεις ασφαλείας, ώστε οι πελάτες να γνωρίζουν τι δεν θα τους ζητήσετε ποτέ να κάνουν.
9) «Εσωτερικό» χωρίς συμβιβασμούς: Το M365 Direct Send γίνεται αυθάδες (Ιουν.–Αυγ. 2025)
Οι εκστρατείες που κάνουν κατάχρηση του Direct Send του Microsoft 365 κατέστησαν δυνατή την πλαστογράφηση εσωτερικών χρηστών χωρίς να καταλαμβάνουν πραγματικά έναν λογαριασμό. Αυτή η μικρή λεπτομέρεια έχει σημασία, επειδή το «από IT@yourcompany» εξακολουθεί να έχει ψυχολογικό βάρος —ακόμη και όταν η ιστορία της πιστοποίησης είναι ασαφής (Varonis; περιλήψεις μέσω Dark Reading και Arctic Wolf).
Σφίξτε τους κανόνες σύνδεσης, περιορίστε το εύρος του Direct Send και προτιμήστε το αυθεντικοποιημένο SMTP όπου είναι δυνατόν. Διδάξτε στους ανθρώπους ότι το «εσωτερικό» δεν είναι μαγική λέξη. Εάν ένα email προσπαθεί να μεταφέρει χρήματα ή διαπιστευτήρια, η επαλήθευση πρέπει να γίνεται σε μια πύλη ή μέσω ενός γνωστού backchannel — όχι μέσω ενός βολικού μπλε συνδέσμου.
10) Δημιουργοί ιστότοπων με τεχνητή νοημοσύνη που στρατολογούνται στο εργοστάσιο phishing: Lovable σε μεγάλη κλίμακα (2025)
Τέλος, μια πολύ χαρακτηριστική πλοκή για το 2025: επιτιθέμενοι που χρησιμοποιούν εργαλεία δημιουργίας ιστότοπων με τεχνητή νοημοσύνη —ιδιαίτερα το Lovable— για να παράγουν δεκάδες χιλιάδες σελίδες phishing και κακόβουλου λογισμικού με σχεδιασμό που ταιριάζει με την επωνυμία και σχεδόν άμεση απόδοση. Νέα domain και όμορφα πρότυπα ισοδυναμούν με μια σταθερή ροή κλικ πριν τα συστήματα φήμης προλάβουν να αντιδράσουν (Proofpoint; κάλυψη μέσω BleepingComputer και TechRadar).
Αμυντικά, επεκτείνετε την ανάλυση URL ώστε να περιλαμβάνει τον χρόνο από την εγγραφή και τη φήμη του δημιουργού/φιλοξενίας, και μην προσθέτετε αυτόματα στη λίστα επιτρεπόμενων νέους, λαμπερούς τομείς μόνο και μόνο επειδή φαίνονται επαγγελματικοί. Οι εγκληματίες μπορούν να φαίνονται επαγγελματίες πλέον, είναι το φόρτε τους.
Το μοτίβο που δεν μπορείτε να αγνοήσετε
Και στις δέκα ιστορίες, εμφανίζονται συνεχώς τα ίδια μοτίβα. Τα διαπιστευτήρια και τα tokens συνεδρίας είναι χρυσάφι. Τα κενά στην MFA είναι θανατηφόρα. Το «εσωτερικό» είναι μια αίσθηση, όχι ένας έλεγχος. Και η τεχνητή νοημοσύνη είναι ταυτόχρονα επιταχυντής και πυροσβεστικός σωλήνας — επιταχύνει τους επιτιθέμενους και κατακλύζει τους υπερασπιστές, αλλά μας προσφέρει επίσης καλύτερη εκπαίδευση και ανίχνευση αν επιλέξουμε να τη χρησιμοποιήσουμε.
Αν κάνετε μόνο λίγα πράγματα αυτό το τρίμηνο, ας είναι τα εξής: εφαρμόστε MFA ανθεκτική στο phishing και αποσύρετε την παλαιά πιστοποίηση· προσθέστε αποκωδικοποίηση QR στο email/web stack σας· οργανώστε ρεαλιστικές ασκήσεις BEC και deepfake για το τμήμα οικονομικών και τα στελέχη (με υποχρεωτικές επανακλήσεις)· και εντάξτε τις ροές εργασίας υποστήριξης, μάρκετινγκ και εκδηλώσεων στο μοντέλο απειλών σας με όρια ρυθμού, ευθυγράμμιση DMARC και προληπτικές προειδοποιήσεις.
Και αν θέλετε να εξασκηθείτε με ασφάλεια, αυτό είναι το φόρτε μας. Το AutoPhish μπορεί να αναπαράγει τις τάσεις για τις οποίες μόλις διαβάσατε — quishing, δόλωμα τύπου AI, «εσωτερική» πλαστογράφηση και σχολαστικό BEC — και στη συνέχεια να ακολουθήσει μια σύντομη εκπαίδευση που πραγματικά μένει. Διότι το να δείτε το τέχνασμα μία φορά, σε ένα ασφαλές περιβάλλον, είναι ο τρόπος με τον οποίο το σταματάτε όταν πραγματικά μετράει.