10 дивљих прича о фишингу (и сродним темама) из 2024–2025. – укључујући важне научене лекције
QR кодови су се претворили у пријаве. ВИ је преузела улогу вашег финансијског директора на Зуму. "Унутрашње" имејлове су слали изван ове земље. Последње две године биле су непрекидна парада инвентивних превара – подједнако дрских и генијалних. У наставку, разматрамо десет стварних инцидената који су обележили ову еру и, што је још важније, преводимо сваки од њих у једноставна упутства на енглеском језику која можете применити. Извори су наведени широм текста како бисте могли да продубите истраживање кад год желите.
1) Change Healthcare: један портал, без MFA, и веома скупа лекција (феб 2024)
У фебруару 2024. године, нападачи су ушли кроз дигитална врата компаније Change Healthcare користећи украдене акредитиве — без аларма, без другог фактора аутентификације, само даљински портал без MFA. Пропуст се на крају претворио у упад вируса-отмичара ALPHV/BlackCat и у националне поремећаје у наплати здравствених услуга. Извршни директори су касније сведочили да компромитована тачка улаза није имала омогућено MFA — пропуст који звучи као заплетски обрт који се види издалека (Reuters; контекст преко Cybersecurity Dive; прегледе сектора од AHA и HHS OCR).
Зашто је успело? Зато што је једна апликација без MFA као скривени кључ у свету преплављеном логовима инфостеала и поновним коришћењем лозинки. Контрамерa је сјајно неугледна: MFA отпорна на фишинг (FIDO2) свуда где вас јавност може видети, по могућству иза SSO + условног приступа, уз искључене наслеђене протоколе. Додајте основна упозорења о аномалијама — немогућа путовања, чудни ASN-ови, необична радна времена — и барем ћете имати шансу да ухватите прве кораке.
2) Pepco Group: класични BEC, усавршен као дијамант (феб 2024)
Мађарско пословање компаније Pepco изгубило је око 15,5 милиона евра у ономе што звучи као из уџбеника — али изузетно добро изведена превара путем пословне електронске поште (business email compromise - BEC). Није било реч о екстраваганцији малвера; само убедљиве поруке, ауторитет, хитност и процес плаћања који је превише веровао инбоксу (company notice / PDF; извештавање преко Ројтерс и Help Net Security).
Решење је подеднако културолошко и техничко: третирајте кретање новца као листу провера у кокпиту. Двострука одобрења, верификација повратног позива на познате бројеве, портали за добављаче са 2FA и период чекања за прво промена банкарских података претварају "молим вас, платите ово хитно" у "сигурно — након што пратимо процес."
3) Арпупов дрифек советодавни одбор: када лица лажу (јануар–мај 2024)
Службеник финансија у компанији Арпуп придружио се видео-конференцији са "ЦФО-ом" и колегама. Изгледали су како треба, звучали су како треба, кретали су се како треба — а били су АИ дрифекови. Отприлике 25 милиона долара напушта зграду пре него што је стварност стигла (Financial Times; CFO Dive; позадина преко CNN/Yahoo).
Учили смо људе да "вереују лицу". Дипфејкови уништавају тај инстинкт. Прагматично решење је политика, а не параноја: никакви средства не смеју бити пуштени само на основу позива уживо. Потраживати одобрење уз карту и вербални повратни позив на број преузет из интерног именика — никада са имејла или позива за састанак. Научите тимове да уочавају показатеље (неусаглашеност синхронизације усана, необична кашњења) и да користе повратне канале када им нешто делује сумњиво.
4) Париз 2024: Олимпијске игре лажних карата (средином 2024)
Хипе, реткост и беспрекоран брендинг стварају одличне услове за фишинг. Уочи Париза 2024, органи за спровођење закона и истраживачи су означили стотине лажних сајтова који су нудили карте, услуге угоститељства и "приоритетни приступ". У једном тренутку француска жандармерија је избројала 338 сумњивих домена. Шема је била једноставна: SEO отров, клонирани логотипи и осећај хитности који чини да чак и искусни купци забораве своја правила (Proofpoint; упозорења потрошачима путем CBS News; званична обавештења на Olympics.com).
Ако ваше особље путује или купује улазницу за догађај, унапред дајте безбедносне инструкције: уносите тип, не кликните, и то само на службеним URL адресама. На задњем крају, пазите на typosquats и блокирајте нови домене у категоријама високог ризика на одређено време. Мало додатног напора боље је од скупе FOMO-е.
5) Пробијања везана за Snowflake: једна лозинка да их све влада (пролеће–лето 2024)
Ticketmaster, Santander и други известили су о приступу подацима преко корисничких Snowflake окружења, са познатим злочинцем: украденим акредитивама и одсуству MFA. Сама компанија Snowflake је саопштила да њена платформа није пробијена; нападачи су уместо тога ушли користећи важеће кључеве за инстанце корисника и почели да извршавају упити (Dark Reading; The Verge; Google Threat Intelligence; Push Security).
Ако се ваши подаци налазе у SaaS-у, третирајте идентитет као ваш нови мрежни периметар. Ставите SSO/SAML + MFA испред, додајте листе дозвољених IP адреса/VPN и успоставите надзор за необичне количине упита или изненадне промене улога. Кључеви и токени треба да се ротирају онако како мењате батерије у аларму за дим: редовно, пре пожара.
6) Прометни потез Star Blizzard-а са WhatsApp-ом: ваш QR код је токен сесије (крајем 2024–јануар 2025)
Star Blizzard, повезан са ФСБ-ом, почео је да тера дипломате и креаторе политике да скенирају WhatsApp QR кодове, претварајући једноставан пренос у преузимање контроле над налозом. Овај потез је вешто заобишао контроле е-поште и пренео разговор у компромитовану апликацију у којој је поверење велико, а надзор слаб (Microsoft; BleepingComputer; The Guardian).
Промена начина размишљања је кључна: QR кодови често јесу аутентификација. Учите људе да скенирање третирају као лозинке, ограничите повезивање на неуправљаним уређајима преко MDM-а и захтевајте MFA са подударним бројевима где је то могуће. Такође, пазите на нове повезане уређаје и сумњиве скокове локације — оба су рани знаци упозорења.
7) Квишинг у великом обиму: Microsoft Sway као фабрика мамцима (август 2024)
Нападачи су се ослањали на Microsoft Sway да хостују углађене странице за квишинг преко QR кодова које су пролазиле кроз филтере захваљујући ефектима ауторитета прве стране. Слика QR кода је прикривала стварну дестинацију, а скенери који нису направљени за декодирање слика видели су само леп, чист фајл хостован од стране поузданог бренда (BleepingComputer; оригинално истраживање из Netskope).
Заштитници могу узвратити истом мером: додајте декодирање QR кодова у безбедност е-поште/веба, пажљиво прегледајте нове Sway/Forms/Sites линкове и закључајте идентитет помоћу MFA без лозинке, условљеног приступа и континуиране процене приступа. На мобилним уређајима, научите људе како да прегледају URL адресе пре отварања — мала вештина, велика корист.
8) Trezor: када ваш сервис за подршку постане социјални инжењер (јануар 2024. и јун 2025.)
У јануару 2024., спољни портал за подршку повезан са Trezor-ом открио је контакт информације за ~66.000 корисника — гориво за даље фишинг нападе. До јуна 2025., нападачи су отишли корак даље, злоупотребљавајући Трезор формулар за подршку да би слали убедљиве аутоматске одговоре који су изгледали довољно званично да натерају чак и ветеране да трепну (BleepingComputer; BleepingComputer).
Ваш систем за корисничку подршку је део вашег безбедносног периметра. Поступите у складу с тим: ограничите брзину аутоматских одговора, примените строгу усаглашеност DKIM/DMARC, скенирајте шаблонисане одговоре на ризичан језик (посебно у вези са "опоравком" и криптовалутама) и објавите јасне безбедносне саопштења за јавност како би клијенти знали шта их никада нећете затражити да ураде.
9) "Интерно" без компромиса: M365 Direct Send постаје дрзак (јун–август 2025)
Кампање које злоупотребљавају Direct Send у Microsoft 365 омогућиле су лажно представљање интерних корисника без стварног преузимања налога. Тај мали детаљ је важан, јер "од IT@вашакомпанија" и даље има психолошку тежину — чак и када је прича о аутентификацији нејасна (Varonis; резимеа преко Dark Reading и Arctic Wolf).
Затегните своја правила за конекторе, ограничите обим Direct Send-а и где год можете користите аутентиковани SMTP. Научите људе да "интерно" није магична реч; ако е-пошта покушава да пребаци новац или акредитиве, верификација би требало да се одвија на порталу или преко познатог тајног канала — а не преко практичне плаве везе.
10) AI алатке за прављење сајтова мобилисане у фабрику фишинга: Lovable у великом обиму (2025)
Коначно, заплет типичан за 2025. годину: нападачи користе AI алате за прављење веб-сајтова—Lovable конкретно — да произведу десетине хиљада фишинг и малвер страница са дизајном у складу са брендом и скоро тренутном испоруком. Нови домени плус лепи шаблони једнаки су сталној киши кликова пре него што системи за репутацију стигну (Proofpoint; извештај преко BleepingComputer и TechRadar).
Са аспекта одбране, проширите своје разумевање УРЛ адреса тако да укључује време од регистрације и репутацију креатора/домаћина, и не стављајте аутоматски на белу листу нове, сјајне домене само зато што изгледају професионално. Криминалци сада такође могу да изгледају професионално — то је уосталом њихова специјалност.
Шемa коју не можете да игноришете
Кроз свих десет прича, исте нити се стално појављују. Акредитиви и токени сесије су злато. Пропусте у MFA-у су фатални. "Интерно" је осећај, а не контрола. И ВИ је и убрзавајуће гориво и пожар-црево — она убрзава нападаче и преоптерећује одбрану, али нам такође пружа боље обучавање и детекцију ако одлучимо да је користимо.
Ако овог квартала урадите само неколико ствари, нека то буду ове: уведете MFA отпорну на фишинг и укинете наследни аутентификациони систем; додате декодирање QR кодова у ваш имејл/веб стек; организујте реалистичне вежбе BEC и deepfake за финансијско особље и руководиоце (са обавезним повратним позивима); и укључите радне токове за подршку, маркетинг и догађаје директно у ваш модел претњи са ограничењима брзине, DMARC усклађивањем и превентивним упозорењима.
А ако желите да вежбате безбедно, то је наша специјалност. AutoPhish може да рекреира трендове о којима сте управо прочитали — квишинг, намере у стилу вештачке интелигенције, "интерно" прерушавање и педантно BEC — а затим да настави са кратким обукама које се заиста урезују. Јер једном видети трик у безбедном окружењу јесте начин да га зауставите када је то заиста важно.