Επιστροφή στο Blog

Phishing σε κινητά: SMS, WhatsApp & QR - Ποιες πολιτικές χρειάζονται πραγματικά οι ΜΜΕ

Τα κινητά είναι πλέον η πρώτη γραμμή του phishing. Το προσωπικό εγκρίνει ειδοποιήσεις MFA στα τηλέφωνά του, σαρώνει κωδικούς QR στην πόρτα του γραφείου και συνδέει τις επαγγελματικές συνομιλίες με τον υπολογιστή μέσω QR. Οι επιτιθέμενοι ακολουθούν αυτό το ίχνος. Αυτός ο οδηγός παρέχει στις ΜΜΕ κείμενα πολιτικής που μπορούν να αντιγραφούν και να επικολληθούν, καθώς και γρήγορους ελέγχους που μπορείτε να εφαρμόσετε αυτή την εβδομάδα, βασισμένους σε πρόσφατες συμβουλές και σε όσα παρατηρούμε στον τομέα.

Από Ομάδα Autophish|Δημοσιεύτηκε στις 9/29/2025
Cover image for Phishing σε κινητά: SMS, WhatsApp & QR - Ποιες πολιτικές χρειάζονται πραγματικά οι ΜΜΕ

Γιατί το phishing σε κινητά έχει σημασία το 2025

  • Το smishing (phishing μέσω SMS) αυξήθηκε κατακόρυφα και αποτελεί τον κύριο φορέα απάτης στην Ευρώπη. Το «quishing» που βασίζεται σε QR αυξάνεται ραγδαία. ENISA
  • Κατάχρηση WhatsApp/συνδεδεμένων συσκευών: οι κρατικά υποστηριζόμενοι δράστες έχουν μετατοπιστεί από το ηλεκτρονικό ταχυδρομείο στην κατάληψη εφαρμογών ανταλλαγής μηνυμάτων, συχνά εξαπατώντας τους στόχους ώστε να σαρώσουν QR κωδικούς του WhatsApp Web. Αντιμετωπίστε τις σαρώσεις σαν κωδικούς πρόσβασης. Microsoft+1
  • Η κόπωση από την MFA ανάγκασε σε επανεξέταση των εγκρίσεων push. Η Microsoft μετέφερε τους χρήστες στο number-matching για να περιορίσει τις εγκρίσεις push-spam. Microsoft Learn+1
  • Το FBI/IC3 προειδοποιεί για απάτες που βασίζονται σε QR κωδικούς — συμπεριλαμβανομένων απάτων όπου ανεπιθύμητα πακέτα περιέχουν έναν QR κωδικό που οδηγεί σε κλοπή διαπιστευτηρίων ή κακόβουλο λογισμικό. Internet Crime Complaint Center+1

Για να μάθετε περισσότερα σχετικά με τα περιστατικά και το «τι πήγε στραβά», ρίξτε μια ματιά στο 10 Wild Phishing Stories (2024–2025)—επισημαίνουμε τις καταλήψεις λογαριασμών με τη βοήθεια QR και τις αλλαγές κατεύθυνσης σε εφαρμογές ανταλλαγής μηνυμάτων με συγκεκριμένα μέτρα προστασίας.


Ο οδηγός phishing με προτεραιότητα στα κινητά (πώς λειτουργούν οι επιθέσεις)

  1. Smishing & δόλωμα μηνυμάτων
    Σύντομα μηνύματα που πλαστογραφούν εταιρείες παράδοσης, τέλη διοδίων ή επαναρυθμίσεις IT. Οι σύνδεσμοι ανοίγουν σελίδες διαπιστευτηρίων, φόρμες πληρωμής ή οδηγούν τους χρήστες να εγκαταστήσουν κακόβουλες εφαρμογές.
  2. Κωδικοί QR ως διακριτικά σύνδεσης
    Το WhatsApp και άλλες εφαρμογές χρησιμοποιούν QR για τη σύνδεση συσκευών. Μια σάρωση υπό πίεση = κατάληψη της συνεδρίας —ακόμη και χωρίς κωδικό πρόσβασης. Η πολιτική πρέπει να αντιμετωπίζει το «Σάρωση για σύνδεση» ως ευαίσθητο βήμα πιστοποίησης.
  3. Κατάχρηση ειδοποιήσεων MFA
    Οι επιτιθέμενοι στέλνουν αδιάκοπα ειδοποιήσεις μέχρι ένας κουρασμένος χρήστης να πατήσει «Έγκριση». Η αντιστοίχιση αριθμών (εισαγωγή του κωδικού που εμφανίζεται στην οθόνη) και η γεωγραφική θέση/το πλαίσιο του χρήστη μειώνουν αυτές τις εγκρίσεις.
  4. Κακόβουλο λογισμικό σε κινητά
    Οι σύνδεσμοι συνήθως κλέβουν διαπιστευτήρια, αλλά μπορούν επίσης να προωθήσουν κακόβουλες εγκαταστάσεις — κάτι πιο εφικτό στο Android μέσω APK που έχουν εγκατασταθεί παράλληλα (sideloaded); Στο iOS είναι πιο δύσκολο (φραγμός του App Store), αλλά υπάρχουν επικίνδυνα προφίλ/ευπάθειες 0-click. Οι προστασίες για κινητά όπως το Play Protect μειώνουν αλλά δεν εξαλείφουν τον κίνδυνο.

Ποιες πολιτικές χρειάζονται πραγματικά οι ΜΜΕ (έτοιμες για προσαρμογή)

Παρακάτω παρατίθενται συνοπτικές ρήτρες που μπορείτε να ενσωματώσετε στις πολιτικές σας για Αποδεκτή Χρήση, BYOD και Μηνύματα. Κάθε μία περιλαμβάνει έναν έλεγχο και μια σύντομη αιτιολόγηση.

1) BYOD: ελάχιστα πρότυπα ασφάλειας

  • Λειτουργικό σύστημα & επίπεδο ενημερώσεων: Οι προσωπικές συσκευές που χρησιμοποιούνται για εργασία πρέπει να λειτουργούν με λειτουργικό σύστημα που υποστηρίζεται από τον προμηθευτή και να έχουν ενεργοποιημένη την αυτόματη ενημέρωση. (Android, iOS, iPadOS).
  • Μέτρα ασφαλείας συσκευών: Κλείδωμα οθόνης, κρυπτογραφημένη αποθήκευση και δυνατότητα απομακρυσμένης διαγραφής δεδομένων εργασίας μέσω MDM/Work Profile (COPE/COSU ή Android Work Profile/iOS User Enrollment).
  • Πηγές εφαρμογών: Δεν επιτρέπονται εφαρμογές που έχουν εγκατασταθεί από άλλες πηγές για επαγγελματική χρήση. Οι επιχειρηματικές εφαρμογές πρέπει να προέρχονται από διαχειριζόμενα καταστήματα. (Οι άγνωστες πηγές στο Android αυξάνουν τον κίνδυνο. Το Play Protect τον μετριάζει, αλλά δεν υποκαθιστά την πολιτική.) NCSC+2NCSC+2

Γιατί: Οι οδηγίες του NCSC για τις συσκευές τονίζουν την εξισορρόπηση της χρηστικότητας με τους ελέγχους στο BYOD. Χρειάζεστε διαχωρισμό και ανάκληση των διαχειριζόμενων δεδομένων. NCSC+1

2) Εφαρμογές ανταλλαγής μηνυμάτων και κοινωνικής δικτύωσης (WhatsApp, Signal, iMessage κ.λπ.)

  • Όρια επαγγελματικής χρήσης: Εάν οι εφαρμογές ανταλλαγής μηνυμάτων χρησιμοποιούνται για επαγγελματικούς σκοπούς, περιορίστε τη χρήση σε διαχειριζόμενες συσκευές. Απαγορεύεται η σύνδεση μέσω QR σε μη διαχειριζόμενους επιτραπέζιους υπολογιστές.
  • Παρακολούθηση συνδεδεμένων συσκευών: Ειδοποίηση για νέες συνδεδεμένες συσκευές. Απαιτείται επανεξέταση κάθε 30 ημέρες.
  • Καμία έγκριση ευαίσθητων δεδομένων μέσω chat: Οι πληρωμές, οι αλλαγές τραπεζικών στοιχείων ή οι επαναρυθμίσεις SSO πρέπει να γίνονται μέσω ticket + callback σε αριθμό από τον κατάλογο.

Γιατί: Οι κακόβουλοι χρήστες εκμεταλλεύονται ενεργά τη σύνδεση μέσω εφαρμογών ανταλλαγής μηνυμάτων και τα QR. Αντιμετωπίστε τη σάρωση QR σαν σύνδεση SSO. Microsoft

3) Χειρισμός κωδικών QR

  • Αντιμετωπίστε τα QR ως διαπιστευτήρια: Η σάρωση QR για σύνδεση ή σύνδεση συσκευής ισοδυναμεί με την εισαγωγή κωδικού πρόσβασης. Σαρώστε μόνο από αξιόπιστες πηγές σε διαχειριζόμενες συσκευές.
  • Προεπισκόπηση πριν από το άνοιγμα: Το προσωπικό πρέπει να προβάλλει το URL (το πρόγραμμα περιήγησης/η εφαρμογή για κινητά το υποστηρίζει) και να επαληθεύει τον τομέα πριν από το άνοιγμα.
  • Αποκλείστε επικίνδυνους συντομευτές: Φιλτράρετε τους συνηθισμένους συντομευτές (εκτός από τις επιχειρηματικές χρήσεις που περιλαμβάνονται στη λίστα επιτρεπόμενων).

Γιατί: Το FBI/IC3 έχει καταγράψει περιπτώσεις απάτης μέσω QR. Οι επιτιθέμενοι κρύβουν τους προορισμούς και εκμεταλλεύονται την εμπιστοσύνη. Κέντρο Καταγγελιών Διαδικτυακών Εγκλημάτων

4) Ενίσχυση της MFA (αποφυγή κόπωσης από ειδοποιήσεις push)

  • Επιβολή αντιστοίχισης αριθμών για εγκρίσεις μέσω ειδοποιήσεων push σε όλο το περιβάλλον.
  • Προτιμήστε μεθόδους ανθεκτικές στο phishing (FIDO2/κλειδιά πρόσβασης) και απενεργοποιήστε την εφεδρική λύση SMS μετά την εγγραφή. Microsoft Learn+1

Γιατί: Το spam push λειτουργεί· η αντιστοίχιση αριθμών και τα κλειδιά πρόσβασης μειώνουν σημαντικά την κατάχρηση.

5) Έλεγχοι για προγράμματα περιήγησης και εφαρμογές σε κινητά

  • Ασφαλής περιήγηση και έλεγχος εφαρμογών: Διατηρήστε ενεργοποιημένο το Play Protect· αποκλείστε την εγκατάσταση εφαρμογών από άγνωστες πηγές· απαιτήστε τη χρήση διαχειριζόμενων καταστημάτων εφαρμογών. Βοήθεια Google
  • Προφίλ/διαμορφώσεις: Απαγορεύστε την εγκατάσταση μη εγκεκριμένων προφίλ διαμόρφωσης στο iOS. Τα προφίλ μπορούν να αλλάξουν τις ρίζες εμπιστοσύνης, το VPN/DNS ή το MDM — σοβαρός κίνδυνος. TechTarget

6) Πληρωμές και εγκρίσεις μέσω κινητού

  • Διπλός έλεγχος + επανάκληση: Οποιαδήποτε πληρωμή, αλλαγή τράπεζας προμηθευτή ή αγορά δωροκάρτας απαιτεί δύο εγκρίνοντες + επανάκληση χρησιμοποιώντας έναν γνωστό αριθμό (όχι από το μήνυμα).
  • Όχι «έγκριση μέσω συνδέσμου σε SMS» για ροές εργασιών χρηματοοικονομικών/ανθρώπινου δυναμικού.

Γιατί: Το κλασικό BEC παραμένει δαπανηρό· τα μέτρα προστασίας των διαδικασιών υπερισχύουν της ανθρώπινης κρίσης υπό πίεση χρόνου.

7) Αναφορά & αντίδραση (γρήγορη διαδικασία)

  • Μία μόνο πάτημα για αναφορά: Προσθέστε μια ενέργεια Αναφορά SMS/Μηνύματος στην εφαρμογή βοήθειας MDM· προωθήστε την στο SecOps + προμηθευτή για κατάργηση.
  • Διατήρηση αποδεικτικών στοιχείων: Το προσωπικό πρέπει να διατηρήσει το μήνυμα, να κάνει screenshot της πλήρους διεύθυνσης URL και να σημειώσει την ώρα πριν τη διαγραφή.
  • Αυτόματοι αποκλεισμοί: Προσθέστε τους τομείς/κεντρικούς υπολογιστές αποστολέα και προορισμού στις πύλες κινητών και email. Παρακολουθήστε για νέες συνδεδεμένες συσκευές.

Λίστα ελέγχου εφαρμογής

  1. Ενεργοποιήστε την αντιστοίχιση αριθμών (Microsoft Entra ID) και ελέγξτε τις μεθόδους MFA. Προτιμήστε τα κλειδιά πρόσβασης/FIDO2.
  2. Ενημερώστε την πολιτική BYOD με τις παραπάνω ρήτρες· απαιτήστε διαχειριζόμενα καταστήματα εφαρμογών και απαγόρευση σύνδεσης μέσω QR σε μη διαχειριζόμενους επιτραπέζιους υπολογιστές.
  3. Ορίστε κανόνες MDM: αποκλείστε άγνωστες πηγές σε Android, αποκλείστε μη εγκεκριμένα προφίλ iOS, ειδοποιήστε για νέες συνδεδεμένες συσκευές WhatsApp/Signal.
  4. Διοργανώστε μια σύντομη εκπαίδευση χρησιμοποιώντας το AutoPhish. Για μια προσέγγιση φιλική προς το Εργατικό Συμβούλιο, χρησιμοποιήστε ανώνυμες μετρήσεις — ο οδηγός μας εξηγεί πώς.

Συχνές ερωτήσεις

Ε1) Μπορεί το phishing να γίνει μέσω τηλεφώνου;

Ναι. Το smishing (SMS) και τα απευθείας μηνύματα (DM) σε εφαρμογές ανταλλαγής μηνυμάτων είναι συνηθισμένοι δίαυλοι phishing. Τα μηνύματα συνδέονται με ψεύτικες σελίδες σύνδεσης, ιστότοπους πληρωμών ή εγκαταστάσεις εφαρμογών. Μπορεί επίσης να επιχειρήσουν φωνητικό phishing (vishing) με επιστροφή κλήσης. Η CISA ορίζει το smishing ως κοινωνική μηχανική μέσω SMS και περιγράφει λεπτομερώς πώς οι σύνδεσμοι μπορούν να προκαλέσουν ενέργειες σε κινητά τηλέφωνα. CISA

Ε2) Μπορεί το phishing να χρησιμοποιηθεί για κλοπή ταυτότητας;

Απολύτως. Ο στόχος είναι συχνά η κλοπή διαπιστευτηρίων (email, τραπεζικά στοιχεία, εφαρμογές cloud) ή η συλλογή προσωπικών δεδομένων που επιτρέπουν την κατάληψη λογαριασμών και την οικονομική απάτη. Οι ανακοινώσεις του FBI/IC3 έχουν προειδοποιήσει επανειλημμένα ότι οι εκστρατείες QR/smishing συλλέγουν προσωπικά και οικονομικά δεδομένα για σκοπούς απάτης. Κέντρο Καταγγελιών Διαδικτυακών Εγκλημάτων

Ε3) Μπορεί ένας σύνδεσμος phishing να εγκαταστήσει κακόβουλο λογισμικό στο τηλέφωνό μου;

Μερικές φορές — αλλά συνήθως απαιτούνται επιπλέον βήματα.

  • Στο Android, ένας ιστότοπος μπορεί να προσπαθήσει να σας κάνει να εγκαταστήσετε ένα APK. Το Play Protect μειώνει τον κίνδυνο, αλλά η προσθήκη πηγών στη λίστα επιτρεπόμενων στην πολιτική είναι καθοριστική. Βοήθεια Google
  • Στο iOS, οι άμεσες εγκαταστάσεις είναι περιορισμένες. Οι επιτιθέμενοι ενδέχεται να προωθήσουν κακόβουλα προφίλ διαμόρφωσης ή να εκμεταλλευτούν σπάνιες ευπάθειες zero-click. (Πρόσφατες συμβουλές της WhatsApp επισημαίνουν στοχευμένα ζητήματα zero-click που έχουν επιδιορθωθεί. Διατηρήστε τις εφαρμογές ενημερωμένες.) TechTarget+1Τις περισσότερες φορές, ο μεγαλύτερος κίνδυνος είναι η συλλογή διαπιστευτηρίων και η κλοπή συνεδρίας, κάτι που οδηγεί σε απάτη ταυτότητας ακόμη και χωρίς κακόβουλο λογισμικό. CISA

Ε4) Είναι ασφαλές να σαρώνετε QR κωδικούς;

Αντιμετωπίστε τους QR κωδικούς σαν σύνδεσμο: σαρώστε μόνο από αξιόπιστες πηγές, προτιμήστε διαχειριζόμενες συσκευές και προβάλετε την URL πριν την ανοίξετε. Το FBI/IC3 προειδοποίησε συγκεκριμένα για απάτες που βασίζονται σε QR (συμπεριλαμβανομένων ανεπιθύμητων αντικειμένων με ενσωματωμένο QR). Κέντρο Καταγγελιών Διαδικτυακών Εγκλημάτων

Ε5) Είναι πραγματικό το phishing στο WhatsApp αν έχω 2FA;

Ναι. Οι επιτιθέμενοι μπορούν να ξεγελάσουν τους χρήστες ώστε να συνδέσουν μια νέα συσκευή μέσω QR, παρακάμπτοντας τους κωδικούς πρόσβασης με την κλοπή της πρόσβασης στη συνεδρία. Ενεργοποιήστε τον κωδικό PIN επαλήθευσης δύο βημάτων του WhatsApp, παρακολουθήστε τις συνδεδεμένες συσκευές και μην συνδέεστε ποτέ από έναν μη αξιόπιστο επιτραπέζιο υπολογιστή. Microsoft

Ε6) Τι πρέπει να κάνουν διαφορετικά τα τμήματα Οικονομικών/Ανθρώπινου Δυναμικού στα κινητά;

Καμία έγκριση ή αλλαγή τραπεζικών στοιχείων μέσω συνδέσμων ή συνομιλίας. Χρησιμοποιήστε αίτημα + διπλό έλεγχο + επανάκληση σε γνωστό αριθμό, κάθε φορά. Η ανασκόπηση περιστατικών μας εξηγεί γιατί αυτό σταματά ακόμη και τα πιο εξελιγμένα κόλπα deepfake/DM.


Περαιτέρω ανάγνωση & πόροι

  • Βέλτιστες πρακτικές CISA για κινητά και γιατί η FIDO/MFA ανθεκτική στο phishing υπερισχύει των κωδικών SMS/εφαρμογών. CISA
  • Οδηγίες του NCSC για το BYOD για τη διαμόρφωση μιας λογικής και εφαρμόσιμης πολιτικής για τις προσωπικές συσκευές. NCSC+1
  • Η Microsoft για τις εξελισσόμενες επιθέσεις ταυτότητας (κόπωση από ειδοποιήσεις → αντιστοίχιση αριθμών → κλειδιά πρόσβασης). Microsoft Learn+1
  • Δημόσια ανακοίνωση του IC3 σχετικά με την απάτη μέσω QR (τρέχουσες απάτες, αναφορά). Κέντρο καταγγελιών για εγκλήματα στο Διαδίκτυο

Πώς μπορεί να βοηθήσει το AutoPhish

  • Προσομοιώσεις με γνώμονα τις κινητές συσκευές: Ασφαλή σενάρια smishing, QR και τύπου messenger με άμεση καθοδήγηση (σύντομα διαθέσιμο)
  • Εκπαίδευση βασισμένη σε πολιτικές: Η προσέγγιση εκπαίδευσης που σέβεται την ιδιωτικότητα μας διατηρεί τη στήριξη των Εργατικών Συμβουλίων, ενώ παράλληλα αλλάζει τη συμπεριφορά.

Είστε έτοιμοι να ενισχύσετε τις άμυνές σας;

Εγγραφείτε σήμερα και ξεκινήστε την πρώτη σας προσομοίωση phishing μέσα σε λίγα λεπτά.