🕵️Kradzież sesji po uwierzytelnieniu (AiTM)
Zamiast kraść hasło, ta technika przechwytuje sesję zaraz po tym, jak ofiara zatwierdzi swój kod podwójnego uwierzytelnienia — atakujący pozycjonuje się jako niewidoczny pośrednik między ofiarą a prawdziwą usługą. Rezultat: podwójne uwierzytelnienie faktycznie się odbyło, ale na nic się nie przydało. Tylko w październiku 2025 roku Microsoft zablokował ponad 13 milionów złośliwych e-maili powiązanych z jednym z takich zestawów narzędzi („Tycoon 2FA”), wykorzystywanym przeciwko kontom Microsoft 365 na całym świecie.
Microsoft Defender for Office 365, październik 2025☎️Phishing z oddzwonieniem telefonicznym (TOAD)
E-mail bez linku i bez załącznika: tylko numer do oddzwonienia w sprawie podejrzanej faktury lub subskrypcji do potwierdzenia. Bez adresu URL do przeskanowania i pliku do analizy, klasyczne filtry automatyczne niczego nie wykrywają — oszustwo rozgrywa się w całości przez telefon, gdzie fałszywy konsultant kieruje ofiarę tak, by zainstalowała dostęp zdalny lub podała dane logowania. Firma badawcza Trustwave odnotowała wzrost o 140% takich kampanii między lipcem a wrześniem 2024 roku, przy czym Microsoft, Norton, PayPal i DocuSign znalazły się wśród najczęściej podszywanych marek.
Trustwave, 2024-2025Wspólny mianownik: ominąć automatyzm, nie uwagę
Te dwie techniki nie wykorzystują luki technicznej w klasycznym sensie — wykorzystują strukturalne ograniczenie zautomatyzowanych narzędzi wykrywania, usuwając element, który potrafią one analizować (link, załącznik). To, co pozostaje, to interakcja z człowiekiem zbudowana tak, by wyglądać wiarygodnie: strona logowania identyczna z oryginałem, albo uspokajający głos w słuchawce. To dokładnie ten typ schematu, który ochrona wielokanałowa musi nauczyć się rozpoznawać, zamiast skanować.
Najczęściej zadawane pytania
Czy uwierzytelnianie dwuskładnikowe wciąż chroni przed phishingiem?
Pozostaje przydatne przeciwko zwykłej kradzieży hasła, ale nie przeciwko atakowi typu „adversary-in-the-middle”: atakujący przechwytuje sesję zaraz po zatwierdzeniu kodu, więc podwójne uwierzytelnienie już się odbyło — na nic.
Czym jest phishing z oddzwonieniem telefonicznym (TOAD)?
E-mail bez linku i bez załącznika, zawierający jedynie numer telefonu do oddzwonienia w wiarygodnej sprawie (faktura, subskrypcja). Po połączeniu fałszywy konsultant kieruje ofiarę tak, by zainstalowała oprogramowanie lub podała dane logowania.
Dlaczego te techniki umykają filtrom automatycznym?
Ponieważ często nie zawierają ani podejrzanego linku, ani złośliwego załącznika do przeskanowania — oszustwo rozgrywa się w interakcji z człowiekiem, przez telefon lub na stronie, która idealnie imituje prawdziwą.