Νέες Μορφές Phishing: Οι Κυβερνοεγκληματίες «Ανακυκλώνουν» το Παλιό με Σύγχρονα Όπλα

Οι επιθέσεις phishing, ένα από τα πιο παλιά και γνωστά όπλα των κυβερνοεγκληματιών, επιστρέφουν δυναμικά το 2025 & 2026 με νέες, ιδιαίτερα ευρηματικές μορφές που συνδυάζουν απλότητα, ψυχολογική εξαπάτηση και προηγμένη τεχνολογία. Σύμφωνα με πρόσφατη έκθεση της Kaspersky, οι δράστες αξιοποιούν πλέον καινοτόμες τεχνικές που στοχεύουν τόσο τους απλούς χρήστες όσο και τις επιχειρήσεις, παρακάμπτοντας ακόμα και μηχανισμούς ασφαλείας όπως ο πολυπαραγοντικός έλεγχος ταυτότητας (MFA).

Η έκθεση αναδεικνύει πως οι κυβερνοεπιθέσεις «phishing» δεν είναι πια απλώς μαζικά emails που ζητούν στοιχεία. Αντίθετα, εξελίσσονται σε πολυσύνθετες εκστρατείες εξαπάτησης που αξιοποιούν καθημερινά εργαλεία, όπως τα ημερολόγια και τα φωνητικά μηνύματα, για να παγιδεύσουν ανυποψίαστους χρήστες.

Phishing μέσω Ημερολογίου: Μια παλιά ιδέα με νέα δυναμική

Μία από τις πιο ανησυχητικές μεθόδους είναι το phishing μέσω calendar invitations. Οι επιτιθέμενοι αποστέλλουν προσκλήσεις για υποτιθέμενες συναντήσεις ή ενημερώσεις, με κρυμμένους κακόβουλους συνδέσμους στο πεδίο της περιγραφής. Μόλις ο παραλήπτης αποδεχθεί την πρόσκληση, το συμβάν προστίθεται αυτόματα στο ημερολόγιο του, δημιουργώντας μια αίσθηση νομιμότητας.

Οι υπενθυμίσεις που ακολουθούν οδηγούν σε παραπλανητικές σελίδες σύνδεσης, συχνά αντίγραφα της Microsoft ή της Google, που συλλέγουν διαπιστευτήρια. Η μέθοδος στοχεύει κυρίως υπαλλήλους γραφείου και επαγγελματικά περιβάλλοντα (B2B), αξιοποιώντας τη ρουτίνα και την πίεση χρόνου των εργαζομένων.

Η Kaspersky προτείνει συχνές εκπαιδεύσεις προσωπικού και προσομοιώσεις phishing επιθέσεων, ώστε οι χρήστες να μάθουν να αναγνωρίζουν ύποπτες προσκλήσεις και να επαληθεύουν πάντα την αυθεντικότητα του αποστολέα.

Νέες παγίδες μέσω φωνητικών μηνυμάτων και CAPTCHA

Μια ακόμη τάση που προβλέπεται για το 2026 είναι τα phishing emails που προσποιούνται ειδοποιήσεις φωνητικών μηνυμάτων (voicemail). Αυτά περιέχουν συνήθως έναν απλό σύνδεσμο, ο οποίος οδηγεί σε ψεύτικη σελίδα με CAPTCHA, για να ξεγελάσει τα φίλτρα ασφαλείας και να προσδώσει αξιοπιστία.

Ο τελικός προορισμός του χρήστη είναι μια πλαστογραφημένη σελίδα σύνδεσης της Google ή άλλης γνωστής υπηρεσίας, η οποία υποκλέπτει διευθύνσεις email και κωδικούς.

Πρόκειται για τεχνικά εξελιγμένες επιθέσεις που απαιτούν από τις επιχειρήσεις ισχυρά συστήματα φιλτραρίσματος email και εκπαιδευτικά προγράμματα για την αναγνώριση ύποπτων συνδέσμων. Η Kaspersky τονίζει πως τέτοιες εκστρατείες μπορούν να αναγνωριστούν μόνο μέσα από συνεχή επιμόρφωση και ενισχυμένη εγρήγορση.

Παράκαμψη MFA μέσω ψεύτικων Cloud Login

Η πιο προηγμένη μορφή phishing αφορά την παράκαμψη του πολυπαραγοντικού ελέγχου ταυτότητας (MFA). Οι δράστες δημιουργούν ψεύτικες ιστοσελίδες cloud υπηρεσιών, όπως το pCloud, οι οποίες επικοινωνούν με τις πραγματικές μέσω API.

Με αυτόν τον τρόπο μπορούν να επαληθεύσουν email, να ζητήσουν OTP κωδικούς και τελικά να αποκτήσουν πλήρη πρόσβαση στους λογαριασμούς των θυμάτων.

Η Kaspersky επισημαίνει πως τέτοιες επιθέσεις δεν αντιμετωπίζονται μόνο με τεχνολογία, αλλά με πολιτισμό κυβερνοασφάλειας: υποχρεωτική εκπαίδευση, έλεγχος email domains, και χρήση εξειδικευμένων λύσεων ασφαλείας όπως το Security for Mail Servers.

Η Τεχνολογία δεν αρκεί χωρίς ενημέρωση

Ο ειδικός κατά του spam Roman Dedenok προειδοποιεί:

«Οι επιθέσεις γίνονται τόσο πειστικές που η προσοχή του χρήστη είναι πλέον το ισχυρότερο όπλο. Ακόμα και ένα PDF με κωδικό ή ένα QR code μπορεί να κρύβει παγίδα.»

Το μήνυμα είναι σαφές: το phishing δεν εξαφανίζεται αλλά μεταλλάσσεται. Και το 2026, η ασφάλεια δεν εξαρτάται μόνο από τα firewalls και τα antivirus, αλλά από την εκπαίδευση, την επίγνωση και την ανθρώπινη κρίση.