Egidio
Ulat · 2026

Kapag hindi na sapat ang antivirus

Ang phishing ngayon ay hindi laging mukhang isang email na maling spelling at may kaduda-dudang link. Dalawang dokumentadong technique ang partikular na nagbabypass sa automated defenses — isa ay lumalampas sa two-factor authentication, ang isa ay dumadaan sa spam filter.

🕵️Pagnanakaw ng session pagkatapos ng authentication (AiTM)

Sa halip na magnakaw ng password, ang technique na ito ay nagha-hijack ng session kaagad-agad pagkatapos i-validate ng biktima ang kanilang two-factor code — pinopoposisyon ng attacker ang sarili bilang isang invisible na intermediary sa pagitan ng biktima at ng tunay na service. Ang resulta: nangyari na ang two-factor authentication, pero walang naitulong ito. Noong Oktubre 2025 lang, na-block ng Microsoft ang mahigit 13 milyong malicious na email na konektado sa iisang kit lang na ito ("Tycoon 2FA"), na ginamit laban sa mga Microsoft 365 account sa buong mundo.

Microsoft Defender for Office 365, Oktubre 2025

☎️Telephone-oriented attack delivery (TOAD) phishing

Isang email na walang link o attachment: numero lang na tatawagan ulit tungkol sa isang kaduda-dudang invoice o subscription na kailangang kumpirmahin. Walang URL na iskan o file na i-analyze, walang mahuhuli ang klasikong automated filter — ang buong scam ay nagaganap sa telepono, kung saan gagabayan ng fake advisor ang biktima sa pag-install ng remote-access software o pagbigay ng credentials. Sinukat ng research firm na Trustwave ang 140% na pagtaas ng mga kampanyang ito sa pagitan ng Hulyo at Setyembre 2024, na ang Microsoft, Norton, PayPal, at DocuSign ang kabilang sa pinaka-impersonate na brand.

Trustwave, 2024-2025

Ang pagkakatulad: bypass ang automation, hindi ang atensyon

Wala sa dalawang technique ang gumagamit ng technical na flaw sa klasikong sense — ginagamit nila ang structural na limitasyon ng mga automated detection tool, sa pamamagitan ng pag-alis sa mismong elemento na alam ng mga tool na iyon na i-analyze (isang link, isang attachment). Ang natitira ay isang human interaction na dinisenyo para mukhang legitimate: isang login page na eksaktong kapareho ng tunay, o isang reassuring na boses sa telepono. Ito mismo ang uri ng pattern na kailangang matutunan makilala ng multi-channel na proteksyon, hindi lang i-scan.

🔒 Ang callback number sa isang kaduda-dudang email, o isang login page na hinihingi ulit ang code na na-enter mo na: dalawang signal na puwedeng hindi makuha ng klasikong filter, pero puwedeng i-cross-reference ng isang engine na nagkokonekta ng mga channel. Tingnan kung paano gumagana ang Medusa.

Mga madalas itanong

Nagpoprotekta pa rin ba ang two-factor authentication laban sa phishing?

Kapaki-pakinabang pa rin ito laban sa simpleng pagnanakaw ng password, pero hindi laban sa isang "adversary-in-the-middle" na atake: kinukuha ng attacker ang session kaagad-agad pagkatapos i-validate ng biktima ang kanilang code, kaya nangyari na ang two-factor authentication — pero walang saysay.

Ano ang telephone-oriented attack delivery (TOAD) phishing?

Isang email na walang link o attachment, numero lang na tatawagan ulit para sa isang kapani-paniwalang dahilan (isang invoice, isang subscription). Pagkatawag, gagabayan ng fake advisor ang biktima sa pag-install ng software o pagbigay ng credentials.

Bakit nakakalusot ang mga technique na ito sa automated filter?

Dahil kadalasan wala silang kaduda-dudang link o malicious na attachment na iskan — ang scam ay nagaganap sa human interaction, sa telepono o sa isang page na eksaktong ginagaya ang tunay.

Para sa karagdagang basahin