Οι λογαριασμοί Gmail και Microsoft 365 αποτελούν έναν από τους κύριους στόχους των κυβερνοεγκληματιών, εξαιτίας της τεράστιας ποσότητας προσωπικών δεδομένων που περιέχουν. Το 2025, μια εξαιρετικά εξελιγμένη παραλλαγή της επίθεσης Tycoon 2FA είναι σε πλήρη ανάπτυξη, απειλώντας να παρακάμψει ακόμη και την ασφάλεια που προσφέρει η επαλήθευση δύο παραγόντων (2FA).
Τι είναι το Tycoon 2FA και γιατί είναι τόσο επικίνδυνο
Το Tycoon 2FA είναι ένα εργαλείο τύπου «adversary-in-the-middle» που παρακάμπτει την αυθεντικοποίηση πολλαπλών παραγόντων, κλέβοντας διαπιστευτήρια καθώς οι χρήστες τα πληκτρολογούν σε πλαστά, αλλά πειστικά, login portals.
Οι ερευνητές της Trustwave αποκαλύπτουν ότι οι νέες επιθέσεις χρησιμοποιούν:
- Προσαρμοσμένα CAPTCHA μέσω HTML5, που μιμούνται τα αυθεντικά της Google/Microsoft.
- Αόρατους χαρακτήρες Unicode σε JavaScript για να δυσκολεύουν την ανίχνευση.
- Αντι-debugging τεχνικές που αποκρύπτουν τη λειτουργία από εργαλεία ασφαλείας.
- Αρχεία εικόνας SVG με ενσωματωμένο κακόβουλο JavaScript, που ενεργοποιείται χωρίς κλικ από τον χρήστη.
Ο ρόλος των εικόνων SVG στις επιθέσεις
Οι επιθέσεις με SVG αρχεία αυξήθηκαν κατά 1800% το 2025, καθώς επιτρέπουν την ενσωμάτωση script σε ένα φαινομενικά αθώο αρχείο εικόνας. Οι επιτιθέμενοι τα χρησιμοποιούν για να:
- Παρακάμπτουν antivirus και φίλτρα email.
- Ενεργοποιούν κακόβουλο κώδικα χωρίς καμία ενέργεια από τον χρήστη.
- Εξασφαλίζουν πλήρη πρόσβαση σε συστήματα, κλοπή δεδομένων ή ακόμα και καταγραφή ταυτότητας.
«Precision-validated phishing»: Ο επιλεκτικός εφιάλτης
Η ερευνήτρια Marie Mamaril από την Cofense Intelligence περιγράφει τη νέα τεχνική «precision-validated phishing», όπου:
- Ο επιτιθέμενος ελέγχει σε πραγματικό χρόνο αν ένα email είναι ενεργό.
- Στέλνει το ψεύτικο login μόνο σε ακριβώς επιλεγμένους στόχους υψηλής αξίας.
- Εάν η διεύθυνση email δεν ταιριάζει με τις λίστες τους, ανακατευθύνει σε νόμιμη σελίδα, αποφεύγοντας την ανίχνευση από αναλυτικά εργαλεία και crawlers.
Αυτός ο τύπος επίθεσης είναι ιδιαίτερα επικίνδυνος γιατί αποφεύγει πλήρως τα παραδοσιακά φίλτρα ασφαλείας, την ίδια στιγμή δυσκολεύει την ανάλυση και την ανταπόκριση των ομάδων ασφαλείας και συνάμα παρατείνει τον χρόνο δράσης των εκστρατειών phishing χωρίς να μπορούν να εντοπιστούν.
Τι μπορείτε να κάνετε – Τώρα
Οι ειδικοί της Trustwave προτείνουν τεχνικές όπως:
- Συμπεριφορική ανάλυση αντί για στατική.
- Sandboxing του browser για να απομονώνονται ύποπτες ενέργειες.
- Βαθύτερη επιθεώρηση JavaScript, ειδικά σε SVG αρχεία.
Ωστόσο, οι Google και Microsoft τονίζουν ένα απλό αλλά κρίσιμο βήμα για κάθε χρήστη:
«Χρησιμοποιήστε Passkeys!»
Τα Passkeys αντικαθιστούν τους παραδοσιακούς κωδικούς και την 2FA, χρησιμοποιώντας βιομετρικά στοιχεία ή τοπικά αποθηκευμένα κλειδιά, αχρηστεύοντας εντελώς τις phishing τεχνικές.
Η Google αναφέρει:
«Τα passkeys μειώνουν δραστικά τις επιθέσεις phishing και κοινωνικής μηχανικής. Είναι πιο ασφαλή από SMS, OTP εφαρμογές και κάθε άλλη παραδοσιακή 2FA μέθοδο.»
Η Microsoft συμπληρώνει:
«Εκτός από τη χρήση Passkeys, συστήνουμε προσοχή σε άγνωστα links, αρχεία και μεταφορές. Το Microsoft Authenticator προσφέρει πρόσθετη προστασία.»
Πάρτε άμεσα μέτρα:
- Ενεργοποιήστε τα Passkeys στους λογαριασμούς Gmail και Microsoft σας.
- Μην ανοίγετε SVG ή «εικόνες» από άγνωστες πηγές.
- Μην εμπιστεύεστε CAPTCHAs που εμφανίζονται σε ύποπτες ιστοσελίδες.
- Χρησιμοποιείτε πιστοποιημένες εφαρμογές ελέγχου ταυτότητας.