A kiberfenyegetések világa folyamatosan változik, és az e-mailes adathalászat továbbra is az egyik legaktívabban fejlődő támadási forma. A támadók nemcsak új módszereket dolgoznak ki a biztonsági szűrők megkerülésére, hanem a korábban már ismert taktikákat is újraértelmezik és finomítják.
Az elmúlt időszakban újra népszerűvé váltak a PDF mellékleteket tartalmazó adathalász levelek. Míg korábban ezek jellemzően egyszerű hivatkozásokat rejtettek, ma a támadók gyakran QR-kódokat ágyaznak a dokumentumokba. Ennek célja, hogy a felhasználót arra ösztönözzék, hogy mobiltelefonról nyissa meg a dokumentumot, ahol gyakran hiányoznak a vállalati szintű biztonsági kontrollok. Az is egyre gyakoribb, hogy a PDF-ek jelszóval védettek. A jelszót sok esetben magában az e-mailben, máskor külön üzenetben küldik meg. Ezzel egyrészt megnehezítik a biztonsági rendszerek automatikus vizsgálatát, másrészt a jelszavas védelem látszólagos professzionalizmust és biztonságtudatosságot sugall, ami növeli a felhasználói bizalmat. A címzett így hajlamosabb megnyitni az állományt, amely a legtöbb esetben adathalász űrlapot vagy átirányítást tartalmaz.
Egy másik, korábban már ismert trükk is visszatért: a naptármeghívóba rejtett adathalászat. Ez a módszer a 2010-es évek végén volt divatban, majd szinte eltűnt, de 2025-ben új formában éledt újjá. A támadó egy látszólag üres e-mailt küld, amely naptáreseményt tartalmaz. Maga az üzenet üres, de a meghívó leírásában ott rejtőzik a rosszindulatú link. Amennyiben a felhasználó elfogadja a meghívást, a link automatikusan megjelenik a naptárban, és később a rendszer értesítést küld róla. Így a felhasználó még akkor is rákattinthat a hivatkozásra, ha az eredeti levelet figyelmen kívül hagyta. A mostani kampányok célzottabbak, kifejezetten irodai dolgozókat és vállalati fiókokat vesznek célba. A meghívókhoz társított álbejelentkezési oldalak (pl. Microsoft fiókokhoz) sokszor megtévesztésig hasonlítanak az eredetire.
Újabb adathalász forma a „hangüzenet érkezett” típusú kampány, amely minimalista felépítésével kelti a hitelesség látszatát. Az e-mail rövid szöveget tartalmaz, benne egy linkkel, amely állítólag a hangüzenet meghallgatásához vezet. A kattintás után a felhasználót több, egymást követő CAPTCHA oldalra irányítják, mintha a rendszer valóban ellenőrizné, hogy nem robotról van szó. Ez valójában a biztonsági botok kicselezését szolgálja. A folyamat végén egy hamis Google bejelentkezési oldal jelenik meg, amely ellenőrzi, hogy az e-mail cím valós-e. Ha igen, a támadók további űrlapokat jelenítenek meg, mindegyik a bejelentkezés látszatát keltve, miközben a megadott azonosítók és jelszavak azonnal a támadók kezébe kerülnek.
A támadók ma már nem elégednek meg a jelszavak megszerzésével. Céljuk a többfaktoros hitelesítés (MFA) megkerülése is. Egy friss, pCloud (file transfer) szolgáltatást utánzó adathalász kampány ennek látványos példája. Az áldozat egy „ügyfélszolgálati értékelésre” hívó e-mailt kap, amely teljesen ártalmatlannak tűnik. A levélben szereplő link azonban nem a valódi pcloud.com, hanem a p-cloud.online címre mutat. A hamis oldal API-n keresztül kommunikál a valódi szolgáltatással, így ha a felhasználó nem létező címet ad meg, hibát kap, pont úgy, mintha a hivatalos oldalon járna. A valós e-mail-cím megadása után megjelenik az OTP (one-time password) kód bekérő felület, a kódot viszont a támadók is megkapják. A felhasználó azt hiszi, valóban hitelesített, majd a következő lépésben a jelszavát is megadja. Ekkor a csalók már teljes hozzáférést szereztek a fiókjához.
A 2025-ös e-mailes adathalász kampányokban a támadók egyszerre építenek a régi technikákra és az új megkerülési taktikákra. A QR-kódos PDF-ek, a jelszóval védett mellékletek, a többszintű CAPTCHA láncok és a valós szolgáltatásokat utánzó, API-alapú hamis bejelentkezési oldalak mind azt a célt szolgálják, hogy az automatizált védelmi rendszereket kijátsszák és a felhasználókat megtévesszék.
A védekezés kulcsa továbbra is a tudatosság:
- minden szokatlan mellékletet vagy QR-kódot tartalmazó dokumentumot gyanúval kell kezelni,
- a bejelentkezési oldalak címét pedig mindig ellenőrizni kell, mielőtt azonosító adatokat adunk meg.
- A vállalatok számára pedig nélkülözhetetlen a rendszeres biztonságtudatossági képzés és
- az e-mail szűrését végző, naprakész védelmi megoldások alkalmazása, amelyek képesek felismerni az ilyen típusú kifinomult támadásokat is.