Επιστροφή στο Blog

Πώς λειτουργεί το phishing το 2025: Η σύγχρονη αλυσίδα επίθεσης (email, QR, deepfakes και SaaS)

Από Ομάδα Autophish|Δημοσιεύτηκε στις 9/6/2025
Cover image for Πώς λειτουργεί το phishing το 2025: Η σύγχρονη αλυσίδα επίθεσης (email, QR, deepfakes και SaaS)

TL;DR

  • ΔέλεαρΣύλληψηΚλοπή συνεδρίας/tokenΠλευρική κίνησηΕπίπτωση
  • Η προστασία της ταυτότητας + της συνεδρίας είναι το παν — και ο ταχύτερος δρόμος προς τη διαρκή ανθεκτικότητα είναι η συχνή, ρεαλιστική εξάσκηση που δημιουργεί ένστικτο.

Εισαγωγή

Αν αναρωτιέστε πώς λειτουργεί το phishing το 2025, εδώ είναι η ειλικρινής απάντηση: οι επιτιθέμενοι σπάνια σταματούν στα κωδικά πρόσβασης — θέλουν τη συνεδρία σας. Και αν δεν μπορούν να σας πιάσουν μέσω email, θα δοκιμάσουν έναν κωδικό QR στο τηλέφωνό σας, μια κομψή οθόνη συγκατάθεσης SaaS ή ακόμα και μια βιντεοκλήση με deepfake με τον «Οικονομικό Διευθυντή» σας. Διασκέδαση (για αυτούς).

Παρακάτω παρουσιάζεται η σύγχρονη αλυσίδα επίθεσης που ακολουθούν τα περισσότερα περιστατικά — καθώς και τα σημεία όπου το AutoPhish σας καθιστά πολύ πιο δύσκολο να εξαπατηθείτε.

1) Το δόλωμα: email, QR και τρομακτικά πειστικοί «άνθρωποι»

Το phishing εξακολουθεί να φτάνει μέσω email, αλλά οι URL είναι το αστέρι. Η τελευταία έρευνα Human Factor 2025 της Proofpoint δείχνει ότι οι URL χρησιμοποιούνται περίπου τέσσερις φορές περισσότερο από τα συνημμένα σε κακόβουλα email — και 4,2 εκατομμύρια απειλές με κωδικούς QR (quishing) επισημάνθηκαν μόνο στο πρώτο εξάμηνο του 2025 (επιλεγμένη παρουσίαση blog, σελίδα έκθεσης τόμου 2).

Στη συνέχεια, υπάρχει η ανθρώπινη πτυχή: βίντεο/φωνή deepfake. Η υπόθεση Arup — απώλεια ~25 εκατ. δολαρίων μετά από μια ομαδική κλήση deepfake — δείχνει πώς η κοινωνική μηχανική μοιάζει πλέον με μια απόλυτα φυσιολογική πρόσκληση σε συνάντηση (Guardian, World Economic Forum). Οι πολιτικές που απαιτούν δευτερεύουσα επαλήθευση υπερισχύουν πάντα των «εντυπώσεων».

Θέλετε έναν πρακτικό οδηγό για να εντοπίζετε τα κόλπα μέσα σε ένα απλό μήνυμα; Ξεκινήστε με το The Anatomy of a Modern Phishing Email στο blog μας.


2) Συλλογή: διαπιστευτήρια ή συγκατάθεση — και τα δύο ανοίγουν την πόρτα

Οι επιτιθέμενοι δεν ζητούν πάντα τον κωδικό πρόσβασής σας. Όλο και πιο συχνά, παρουσιάζουν μια οθόνη συγκατάθεσης SaaS/OAuth που φαίνεται νόμιμη («Να επιτρέψετε σε αυτήν την εφαρμογή να διαβάσει τα email σας;»). Αν κάνετε κλικ στο Επιτρέπω, αποκτούν μόνιμη πρόσβαση στο API—χωρίς να χρειάζεται κωδικός πρόσβασης. Οι οδηγίες της Microsoft σχετικά με τις παράνομες χορηγήσεις συγκατάθεσης εξηγούν τον εντοπισμό και την αποκατάσταση (Microsoft Learn Microsoft Learn 2; δείτε επίσης το εγχειρίδιο αντιμετώπισης περιστατικών συγκατάθεσης εφαρμογών).

Οι παραδοσιακοί συλλέκτες διαπιστευτηρίων εξακολουθούν να λειτουργούν, συχνά φιλοξενούμενοι πίσω από αξιόπιστες υπηρεσίες (φόρμες/αποθήκευση/αρχεία μόνο για προβολή) για να αποφύγουν τα φίλτρα. Η σειρά Human Factor της Proofpoint και οι αναρτήσεις της Microsoft σχετικά με τις απειλές υπογραμμίζουν τη στροφή προς την παράδοση με επίκεντρο τις διευθύνσεις URL (Proofpoint, Microsoft).


3) Κλοπή συνεδρίας/token: παράκαμψη MFA με ένα μικρό man-in-the-middle

Εδώ είναι η ανατροπή του 2025: τα εργαλεία Adversary-in-the-Middle (AiTM) τοποθετούνται ανάμεσα σε εσάς και τη Microsoft/Google, μεταβιβάζουν τη σύνδεση και κλέβουν το cookie της συνεδρίας σας αφού περάσετε με επιτυχία την MFA. Στη συνέχεια, ο εισβολέας αναπαράγει αυτό το cookie και εισέρχεται απρόσκοπτα — χωρίς κωδικό πρόσβασης, χωρίς δεύτερο παράγοντα. Δείτε τις αναλύσεις και τα εγχειρίδια της Microsoft, καθώς και τις αναφορές της Proofpoint και της Talos (MSFT Security Blog; δείτε επίσης:


4) Πλευρική κίνηση: μόλις εισέλθουν, οι επιτιθέμενοι αισθάνονται άνετα

Με πρόσβαση στο γραμματοκιβώτιο ή στο token, οι επιτιθέμενοι ορίζουν κανόνες για τα εισερχόμενα, καταχωρούν κακόβουλες εφαρμογές OAuth και προχωρούν σε BEC — μερικές φορές για εβδομάδες πριν το αντιληφθεί κανείς (δείτε τις οδηγίες της Microsoft σχετικά με τις ειδοποιήσεις κλοπής session-cookie: learn.microsoft.com). Για μια εικόνα της πραγματικότητας (και γρήγορες προφυλάξεις), δείτε [10 Τρελές ιστορίες phishing (και συναφείς) Stories from 2024–2025](https://autophish.io/blog/10-wild-phishing-and-phish-adjacent-stories-from-2024-2025-including-important-lessons-learned from-2024-2025-including-important-lessons-learned).


5) Τι μπορεί πραγματικά να το σταματήσει αυτό; (Πρακτικοί έλεγχοι)

  • MFA ανθεκτική στο phishing (passkeys/FIDO2) και περιορισμός των αδύναμων εναλλακτικών λύσεων (SMS/κωδικοί φωνής). Κατευθυντήριες οδηγίες σύμφωνα με το CISA και το NIST: Επιτυχημένη περίπτωση CISA (USDA), CISA HISG σχετικά με τα κλειδιά πρόσβασης και το Εγχειρίδιο για εργαλεία πιστοποίησης ανθεκτικά στο phishing (IDManagement.gov). Για μια απλή εξήγηση, δείτε την επισκόπηση του WIRED σχετικά με τον τρόπο λειτουργίας των κλειδιών πρόσβασης.
  • Διαχείριση συγκατάθεσης: αποκλεισμός επικίνδυνων συγκαταθέσεων εφαρμογών OAuth, απαίτηση έγκρισης από διαχειριστή και ενημέρωση των χρηστών σχετικά με τι ζητά μια εφαρμογή (Microsoft Learn.
  • Έλεγχοι Anti‑AiTM: πρόσβαση υπό όρους με σύνδεση token όπου είναι δυνατό, προσεκτική ανάκληση συνεδριών και ειδοποιήσεις για ασυνήθιστους κανόνες εισερχομένων (MSFT Token Theft Playbookicrosoft.com/en-us/security/operations/token-theft-playbook)).
  • Συμπεριφορά χρήστη: αντιμετωπίστε τους κωδικούς QR σαν συνδέσμους· μην σαρώνετε από ανεπιθύμητα μηνύματα. Τα δεδομένα της Proofpoint για το 2025 δείχνουν ότι το quishing είναι πλέον ευρέως διαδεδομένο (Proofpoint blog).

Πού το AutoPhish κάνει μια μετρήσιμη διαφορά

Το AutoPhish έχει σχεδιαστεί γύρω από αυτά ακριβώς τα σημεία αποτυχίας (και είναι συμβατό με την ΕΕ/GDPR από τη σχεδίασή του):

  • Ρεαλισμός με γνώμονα τον ρόλο. Δημιουργούμε συνεχώς ανανεωμένα δόλωμα ανά ρόλο και κλάδο (χρηματοοικονομικά, ανθρώπινο δυναμικό, στελέχη) — καλύπτοντας email, εκστρατείες QR και προτροπές συγκατάθεσης SaaS. Αυτό δημιουργεί ένα ένστικτο ενάντια στις επιθέσεις που αντιμετωπίζουν πραγματικά οι άνθρωποι. Μάθετε πώς το κάνουμε στο Επεξήγηση των προσομοιώσεων phishing ως υπηρεσία.
  • Προσομοιώσεις με γνώμονα την αλυσίδα επίθεσης. Δεν σταματάμε σε ένα κλικ — διδάσκουμε πώς μοιάζει μια οθόνη συγκατάθεσης, γιατί είναι επικίνδυνη και πώς να ανταποκριθείτε (δείτε επίσης τον οδηγό μας Ανατομία ενός σύγχρονου email phishing).
  • Εκπαίδευση την κατάλληλη στιγμή + σαφείς αναφορές που μπορείτε να χρησιμοποιήσετε σε ελέγχους (συμβατές με NIS2/ISO). Αν εξετάζετε τις διαθέσιμες μορφές, συγκρίνετε τις αυτοματοποιημένες και τις χειροκίνητες καμπάνιες.
  • Φιλικό προς τους υπαλλήλους & συμβατό με τον GDPR. Επιλογές για ανωνυμοποίηση/ψευδωνυμοποίηση, σύντομη διατήρηση και προστατευτικά μέτρα συμβατά με το συμβούλιο εργαζομένων — επειδή η κουλτούρα και η συμμόρφωση έχουν σημασία. Λεπτομέρειες: Εκπαίδευση για το phishing με σεβασμό στην ιδιωτικότητα.

Ενδιαφέρεστε για τις διαφορές μεταξύ ανοιχτού κώδικα και SaaS; Τις συγκρίναμε στο Εργαλεία ανοιχτού κώδικα έναντι διαχειριζόμενων λύσεων.

Συχνές ερωτήσεις: Πώς λειτουργεί το phishing

Μπορεί ένας σύνδεσμος phishing να εγκαταστήσει κακόβουλο λογισμικό;
Ναι. Ένας σύνδεσμος μπορεί να ενεργοποιήσει μια αυτόματη λήψη ή να οδηγήσει σε έναν ιστότοπο που εγκαθιστά κακόβουλο λογισμικό — ή μπορεί απλά να κλέψει τα διαπιστευτήριά σας. Ενημερώνετε τακτικά το λογισμικό σας, χρησιμοποιείτε αξιόπιστη προστασία τερματικών συσκευών και αποφύγετε να ανοίγετε συνδέσμους/συνημμένα από άγνωστες πηγές (Επεξήγηση της Emsisoft, Kaspersky).

Μπορεί το phishing να γίνει μέσω τηλεφώνου;
Απολύτως. Το vishing (φωνή) και το smishing (SMS) είναι ευρέως διαδεδομένα — συχνά ενισχυμένα με κλωνοποίηση φωνής μέσω τεχνητής νοημοσύνης. Επαληθεύστε μέσω ενός γνωστού καναλιού πριν προβείτε σε οποιαδήποτε ενέργεια (ορισμοί από το FBI και την FCC).

Τι είναι το «quishing»;
Phishing μέσω κωδικού QR: ένα μήνυμα/αφίσα περιέχει έναν κωδικό QR που σας μεταφέρει σε έναν κακόβουλο ιστότοπο — συχνά στο τηλέφωνό σας, μακριά από τις εταιρικές προστασίες. Αντιμετωπίστε τους κωδικούς QR σαν συνδέσμους· μην σαρώνετε από ανεπιθύμητα μηνύματα (δείτε τα δεδομένα της Proofpoint για το 2025 σχετικά με τις απειλές QR: επισκόπηση).

Η MFA σταματάει κάθε phishing;
Η MFA είναι απαραίτητη, αλλά το AiTM μπορεί να κλέψει το cookie συνεδρίας μετά την MFA. Προτιμήστε MFA ανθεκτική στο phishing (passkeys/FIDO2) και απενεργοποιήστε τις αδύναμες εναλλακτικές λύσεις (SMS/φωνή) όπου μπορείτε ([MSFT σχετικά με το AiTM](https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/; δείτε επίσης https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/; Cisco Talos IR: https://blog.talosintelligence.com/ir-trends-q2-2025/)); CISA playbooks.

Τι είναι το phishing συγκατάθεσης OAuth, με μία φράση;
Μια κακόβουλη εφαρμογή ζητά άδεια πρόσβασης στα δεδομένα σας. Αν κάνετε κλικ στο Allow, διατηρεί την πρόσβαση στο API μέχρι να ανακληθεί η συγκατάθεση —ακόμη και χωρίς τον κωδικό πρόσβασής σας (Microsoft Learn).

Θέλετε να το εξηγήσετε σε όλη την ομάδα σας — με πρακτική εξάσκηση; Ξεκινήστε ένα μηνιαίο πρόγραμμα με βάση τους ρόλους σε λίγα λεπτά με το AutoPhish. Κάντε τους ανθρώπους σας το τείχος προστασίας.


Είστε έτοιμοι να ενισχύσετε τις άμυνές σας;

Εγγραφείτε σήμερα και ξεκινήστε την πρώτη σας προσομοίωση phishing μέσα σε λίγα λεπτά.