Најчестите закани за фишинг во 2025 година вклучуваат измами насочени кон поединци и компании преку календари, измами со гласовна пошта и софистицирани шеми за заобиколување на повеќефакторска автентикација (MФA), покажува последниот извештај на компанијата за кибер безбедност Касперски.

Касперски предупредува дека фишингот преку календарот е насочен кон канцелариските работници и е техника што датира од 2010 година, а сега повторно се појави.

Како што е наведено, оваа измама сега е фокусирана на Б2Б средини, односно бизнис-до-бизнис опкружувања, така што хакерите испраќаат е-пошта со покани за настани во календарот, честопати без текст во телото на пораката, додека злонамерните врски се скриени во описот на настанот.

Кога ќе се отвори посочениот настан, тој автоматски се додава во календарот на корисникот, со потсетници што го поттикнуваат да кликне на врски до лажни страници за најавување, како што се оние што се претставуваат како од Мајкрософт.

Додека претходните кампањи беа насочени кон приватни корисници на Гугл Календар во масовни напади, овој метод сега ги таргетира канцелариските работници.

Од Касперски потенцираат дека компаниите и организациите треба редовно да спроведуваат обуки за препознавање на фишинг, како што се работилници за симулирани напади, за вработените да научат да проверуваат за неочекувани повици во календарот.

Фишингот со гласовни пораки и избегнувањето на КАПТЧА (CAPTCHA) проверката е измама во која хакерите користат минималистички е-пораки кои се претставени како известувања за гласовни пораки, со многу малку текст и линк до едноставна страница.

Кликнувањето на линкот активира серија КАПТЧА проверки за да се заобиколат безбедносните ботови, а корисникот на крајот е пренасочен кон лажна страница за најавување на Гугл, која ги потврдува е-адресите и собира податоци за пристап.

Оваа повеќеслојна измама укажува на потребата од програми за обука на вработените, како што се интерактивни модули за идентификување на сомнителни линкови, како и напредни решенија за заштита на е-поштенскиот сервер кои ги детектираат и блокираат овие подмолни тактики.

Заобиколувањето на повеќефакторската автентикација преку лажни најавувања на клауд услуги е измама со која овие софистицирани фишинг кампањи ја таргетираат повеќефакторската автентикација (MФA) со лажно претставување на услуги како што е пКлауд (давател на клауд складирање кој нуди шифрирано складирање на датотеки, споделување и резервна копија).

Овие е-пораки, маскирани како неутрална поддршка во форма на следење на претходен контакт, водат до лажни страници за најавување на домени кои изгледаат како вистински (на пр. pcloud.online).

Страниците комуницираат со вистинската услуга пКлауд преку AПИ, потврдувајќи ги е-адресите и барајќи еднократни кодови (OTП) и лозинки, што им овозможува на напаѓачите да добијат пристап до сметката по успешно најавување.

За да се спротивстават на ова, организациите треба да воведат задолжителна обука за сајбер безбедност и да имплементираат решенија за заштита на е-пошта кои ги препознаваат лажните домени и нападите лансирани од AПИ.