Nazad na blog

Како фишинг функционише 2025: Модерни ланац убијања (е-пошта, QR, дипфејкови и SaaS)

Autor Tim AutoPhish|Objavljeno 9/6/2025
Cover image for Како фишинг функционише 2025: Модерни ланац убијања (е-пошта, QR, дипфејкови и SaaS)

Укратко

  • НалетањеЗаробљавањеКрађа сесије/токенаЛатерално кретањеУтицај
  • Заштита идентитета и сесије је све — а најбржи пут до трајне отпорности јесте честа, реалистична пракса која гради инстинкт.

Увод

Ако се питате како фишинг функционише 2025. године, ево искреног одговора: нападачи се ретко заустављају на лозинкама — они желе вашу сесију. А ако вас не могу преварити путем е-поште, покушаће са QR кодом на вашем телефону, елегантним SaaS екраном за пристанак или чак видео-позивом са дипфејк "финансијским директором". Забавно (за њих).

Испод је модеран ланац напада који већина инцидената прати — као и тачка у којој вас AutoPhish чини много тежим за преварити.

1) Удица: имејл, QR код и застрашујуће убедљиви "људи"

Фишинг и даље стиже путем е-поште, али URL-ови су у првом плану. Најновије истраживање компаније Proofpoint под називом Human Factor 2025 показује да се URL-ови користе око четири пута чешће од приложених фајлова у злонамерним имејловима — а само у првој половини 2025. године пријављено је 4,2 милиона претњи са QR-кодовима (кушинг) (преглед блога, страница извештаја Vol. 2).

Потом је ту људски слој: дипфејк видео/глас. Случај компаније Arup — ~25 милиона долара изгубљено након групног позива са дипфејк гласом — показује како социјални инжењеринг сада изгледа као сасвим обичан позив на састанак (Guardian, Светски економски форум). Политике које захтевају секундарну верификацију побеђују "вибрације" сваки пут.

Желите ли пољски водич за препознавање трикова у једној поруци? Почните са Анатомија модерног фишинг имејла на нашем блогу.

2) Захват: акредитиви или сагласност — оба отварају врата

Нападачи не траже увек вашу лозинку. Све чешће приказују SaaS/OAuth екран за пристанак који изгледа легитимно ("Дозволите овој апликацији да чита вашу пошту?"). Ако кликнете на Дозволи, они добијају трајни API приступ — без потребе за лозинком. Microsoft-ове смернице о нелегално додељеним дозволама објашњавају откривање и отклањање проблема (Microsoft Learn Microsoft Learn 2; такође погледајте playbook за одговор на инциденте са одобрењем апликација).

Стари креденцијал-харвестери и даље функционишу, често хостовани иза реномираних услуга (образаца/складишта/датотека за само преглед) како би заобишли филтере. Proofpoint-ова серија Human Factor и Microsoft-ови постови о претњама истичу прелазак ка URL-центричној испоруци (Proofpoint, Microsoft).

3) Крађа сесије/токенa: заобилажење MFA помоћу малог посредника (man-in-the-middle)

Ево заплета за 2025. годину: Алијанса у средњем положају (AiTM) алати се налазе између вас и Мајкрософта/Гугла, проксирају пријаву и краду ваш сесијски колачић након што успешно прођете MFA. Нападач затим поново шаље тај колачић и улази без проблема — без лозинке, без другог фактора. Погледајте анализе и приручнике компаније Microsoft, као и извештаје компанија Proofpoint и Talos (MSFT Security Blog; видети такође:

4) Латерално кретање: када уђу, нападачи се сместе

Са приступом поштанском сандучету или токену, нападачи подешавају правила улазне поште, региструју злонамерне OAuth апликације и прелазе на извођење BEC — понекад недељама пре него што ико примети (погледајте Microsoft-ове смернице о упозорењима на крађу колачића сесије: learn.microsoft.com). За опис из стварног света (и брзе смернице), погледајте [10 дивљих фишинг (и сродних) Приче из 2024–2025](https://autophish.io/blog/10-wild-phishing-and-phish-adjacent-stories-from-2024-2025-including-important-lessons-learned from-2024-2025-including-important-lessons-learned).

5) Шта ово заправо зауставља? (Практичне контроле)

  • МФА отпорна на фишинг (пас-кијеви/FIDO2) и ограничавање слабих резервних опција (СМС/гласовни кодови). Упутства усклађена са CISA и NIST: CISA прича о успеху (USDA), CISA HISG о паскјима, и Playbook за аутентикаторе отпорне на фишинг (IDManagement.gov). За објашњење на једноставном енглеском језику погледајте преглед WIRED-а о начину на који пасквиди функционишу.
  • Управљање сагласноћу: блокирајте ризичне OAuth апликације приликом давања сагласности, захтевајте одобрење администратора и едукујте кориснике о томе шта апликација тражи (Microsoft Learn.
  • Контроле Anti-AiTM: условни приступ са везивањем токена где је то могуће, опрезно поништавање сесија и упозорења на необична правила улазне поште (MSFT Playbook за крађу токена).
  • Понашање корисника: третирајте QR кодове као линкове; не скенирајте из непотражених порука. Подаци компаније Proofpoint за 2025. годину показују да је квашинг сада уобичајена појава (блог Proofpoint).

Где AutoPhish прави мерљиву разлику

AutoPhish је дизајниран управо око тих тачака неуспеха (и по свом дизајну је у складу са ЕУ/ГДПР):

  • Реализам прилагођен улогама. Генеришемо увек свеже мамце за сваку улогу и индустрију (финансије, људски ресурси, руководиоци)—покривајући имејлове, QR кампање, и SaaS-сагласности. То развија инстинкт против напада са којима се људи заиста суочавају. Сазнајте како то радимо у Објашњење фишинг симулација као услуге.
  • Симулације свесне кил-чејна. Не заустављамо се на клику — учимо како изгледа екран за пристанак, зашто је ризичан и како реаговати (погледајте и наш водич Анатомија модерног фишинг имејла).
  • Обука у правом тренутку + јасни извештаји које можете приложити у ревизијама (у складу са NIS2/ISO). Ако разматрате формате, упоредите Аутоматизоване насупрот ручним кампањама.
  • Прилагођено запосленима и у складу са GDPR-ом. Опције за анонимизацију/псевдонимизацију, краткорочно чување и заштитне мере компатибилне са саветом радника — јер су култура и усаглашеност важни. Детаљи: Обука за фишинг пријатељска према приватности.

Занима вас разлика између open-source и SaaS решења? Упоредили смо их у Open-Source Tools vs. Managed Solutions.

ЧПП: Како фишинг функционише

Може ли фишинг линк да инсталира малвер? Да. Линк може да покрене drive-by download или да вас упути на сајт који преузима малвер — или може једноставно да украде ваше податке за пријаву. Држите софтвер ажурираним, користите поуздану заштиту крајњих тачака и избегавајте отварање линкова/прилога од непознатих пошиљалаца (Emsisoft explainer, Касперски).

Да ли се фишинг може радити телефоном? Апсолутно. Вишинг (глас) и смишинг (СМС) су уобичајени — често употпуњени клонирањем гласа вештачке интелигенције. Проверите преко познатог канала пре него што предузмете било какве радње (дефиниције из ФБИ и FCC).

Шта је "кушинг"? QR-код фишинг: порука/постер садржи QR-код који вас усмерава на злонамерну веб-страницу — често на вашем телефону, далеко од заштите предузећа. Третирајте QR кодове као линкове; не скенирајте их из непотражених порука (погледајте Proofpoint-ове податке за 2025. о QR претњама: преглед).

Да ли MFA зауставља сав фишинг? MFA је неопходна, али AiTM може украсти сесијски колачић након MFA. Преферирајте MFA отпорну на фишинг (passkeys/FIDO2) и онемогућите слабе алтернативе (SMS/гласовне поруке) где год можете ([MSFT о AiTM](https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/; види такође https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/; Cisco Talos IR: https://blog.talosintelligence.com/ir-trends-q2-2025/)); CISA playbooks.

Шта је OAuth consent phishing, у једној реченици?
Злонамерна апликација тражи дозволу за приступ вашим подацима; ако кликнете на Дозволи, она задржава приступ API-ју док се сагласност не поништи — чак и без ваше лозинке (Microsoft Learn).

Желите да ово објасните целом свом тиму — уз практичну обуку? Покрените месечни програм прилагођен улогама за неколико минута уз AutoPhish. Учините своје људе заштитним зидом.

Nazad na sve postove

Spremni da ojačate svoju odbranu?

Registrujte se danas i pokrenite svoju prvu simulaciju fišinga za nekoliko minuta.

Počnite da simulirate odmahKontaktirajte nas