Egidio
Dossier · 2026

Apabila antivirus tidak lagi mencukupi

Phishing hari ini tidak lagi sentiasa kelihatan seperti e-mel bereja salah dengan pautan mencurigakan. Dua teknik yang didokumenkan memintas secara khusus pertahanan automatik — satu pengesahan dua faktor, satu lagi penapis anti-spam.

🕵️Kecurian sesi selepas pengesahan (AiTM)

Berbanding mencuri kata laluan, teknik ini memintas sesi sejurus selepas mangsa mengesahkan kod pengesahan dua faktornya — penyerang meletakkan dirinya sebagai perantara yang tidak kelihatan antara mangsa dan perkhidmatan sebenar. Hasilnya: pengesahan dua faktor sudah berlaku, tetapi tidak berguna langsung. Pada Oktober 2025 sahaja, Microsoft menyekat lebih 13 juta e-mel berniat jahat berkaitan dengan satu kit sahaja ("Tycoon 2FA"), digunakan terhadap akaun Microsoft 365 di seluruh dunia.

Microsoft Defender for Office 365, Oktober 2025

☎️Phishing melalui panggilan balik telefon (TOAD)

Satu e-mel tanpa pautan atau lampiran: hanya nombor untuk dihubungi semula bagi satu bil mencurigakan atau langganan yang perlu disahkan. Tanpa URL untuk diimbas atau fail untuk dianalisis, penapis automatik biasa tidak mengesan apa-apa — penipuan berlaku sepenuhnya di telefon, di mana seorang penasihat palsu membimbing mangsa untuk memasang akses jarak jauh atau memberikan kelayakannya. Firma penyelidikan Trustwave mengukur kenaikan 140% kempen sebegini antara Julai dan September 2024, dengan Microsoft, Norton, PayPal dan DocuSign antara jenama yang paling banyak ditiru.

Trustwave, 2024-2025

Persamaan: memintas automasi, bukan perhatian

Dua teknik ini tidak mengeksploitasi kelemahan teknikal dalam erti kata biasa — ia mengeksploitasi had struktur alat pengesanan automatik, dengan menghapuskan elemen yang mampu dianalisisnya (satu pautan, satu lampiran). Apa yang tinggal ialah interaksi manusia yang dibina untuk kelihatan sah: satu halaman log masuk yang serupa dengan yang asal, atau satu suara meyakinkan di talian. Inilah tepatnya jenis skema yang perlu dipelajari oleh perlindungan pelbagai saluran untuk dikesan, bukan diimbas.

🔒 Satu nombor untuk dihubungi semula dalam e-mel mencurigakan, atau satu halaman log masuk yang meminta semula kod yang sudah dimasukkan: dua isyarat yang mungkin terlepas daripada penapis biasa, tetapi boleh dikaitkan oleh enjin yang menghubungkan saluran-saluran. Lihat bagaimana Medusa berfungsi.

Soalan lazim

Adakah pengesahan dua faktor masih melindungi daripada phishing?

Ia masih berguna terhadap kecurian kata laluan mudah, tetapi tidak lagi terhadap serangan "adversary-in-the-middle": penyerang memintas sesi sejurus selepas kod pengesahan dua faktor disahkan, jadi pengesahan dua faktor sudah berlaku — sia-sia.

Apakah phishing melalui panggilan balik telefon (TOAD)?

Satu e-mel tanpa pautan atau lampiran, hanya nombor telefon untuk dihubungi semula atas sebab yang munasabah (bil, langganan). Setelah bercakap di telefon, seorang penasihat palsu membimbing mangsa untuk memasang perisian atau memberikan kelayakannya.

Kenapa teknik-teknik ini terlepas daripada penapis automatik?

Kerana ia selalunya tidak mengandungi pautan mencurigakan atau lampiran berniat jahat untuk diimbas — penipuan berlaku dalam interaksi manusia, di telefon atau pada halaman yang meniru dengan sempurna halaman sebenar.

Untuk maklumat lanjut