Phishing-ul rămâne principalul vector de acces inițial — și devine tot mai sofisticat
91% dintre atacurile cibernetice încep cu un email de phishing. Raportul Verizon 2026 Data Breach Investigations confirmă că phishing-ul și pretextarea sunt responsabile pentru majoritatea incidentelor de inginerie socială. IBM estimează costul mediu al unei breșe de date în 2026 la 4,88 milioane de dolari, breșele inițiate prin phishing plasându-se constant în segmentul de cost superior.
Emailurile de spear-phishing generate de AI trec acum cu ușurință majoritatea filtrelor de gramatică și ton. Vishing-ul deepfake este utilizat în escrocherii BEC care vizează echipele financiare. Toolkit-uri phishing-as-a-service precum EvilProxy permit chiar și actorilor cu experiență redusă să lanseze atacuri adversary-in-the-middle care anulează MFA standard.
Definiție phishing: ce este și ce înseamnă
Phishing-ul este o formă de inginerie socială prin care un atacator imită o entitate de încredere pentru a convinge victima să dezvăluie credențiale, să acceseze un link malițios sau să transfere bani. În cadrul MITRE ATT&CK, phishing-ul este clasificat sub Initial Access (TA0001) — tehnicile T1566.001, T1566.002 și T1566.003.
Tipuri de atacuri phishing
Phishing prin email
Varianta cea mai frecventă. Emailuri distribuite în masă imită expeditori legitimi. Chiar și o rată de click de 0,1% din 100.000 de destinatari înseamnă 100 de conturi compromise.
Spear phishing
Direcționat, personalizat și mult mai periculos. Atacatorul cercetează victima și creează un mesaj precis contextual. LLM-urile au redus costul generării unor astfel de capcane la aproape zero în 2026.
Whaling
Spear phishing care vizează specific executivi sau membri ai consiliului de administrație. Credențialele executive deblochează sisteme sensibile și autorizează transferuri bancare.
Smishing și Vishing
Smishing folosește SMS, vishing folosește apeluri vocale. Vishing-ul a crescut semnificativ odată cu clonarea vocilor prin AI.
Phishing Adversary-in-the-Middle
Toolkit-uri precum EvilProxy acționează ca proxy-uri inverse. Victima se autentifică legitimate inclusiv MFA, iar proxy-ul capturează token-ul de sesiune în timp real. MFA bazat pe TOTP este complet anulat.
Anatomia unui email de atac phishing
Spoofing-ul expeditorului: Domenii lookalike sau spoofing direct când DMARC este greșit configurat. Surprinzător de multe domenii corporative publică încă politici DMARC p=none.
Conținut momeală: Urgența și autoritatea sunt pârghiile psihologice — mesaje precum contul dvs. va fi blocat în 24 de ore activează gândirea reactivă.
Payload malițios: Un link spre o pagină de colectare credențiale, un document Office cu macro-uri sau un cod QR care ocolește filtrele URL din gateway-urile de email.
Cum să identificați emailurile de phishing
Pentru utilizatori
Verificați domeniul real al expeditorului în anteturile emailului, nu doar numele afișat. Treceți cu mouse-ul peste linkuri înainte de a da click. Fiți sceptici față de emailurile care creează urgență în jurul credențialelor sau plăților.
Pentru echipele de securitate
Implementați DMARC cu p=reject pe toate domeniile. Folosiți un Secure Email Gateway cu sandbox pentru atașamente. Construiți detecții SIEM pentru înregistrări de domenii lookalike. În contextul unui program de vulnerability management, igiena identității și a emailului trebuie să fie parte integrantă.
Prevenirea phishing-ului: model de apărare stratificat
Controale tehnice
Autentificarea emailului cu SPF, DKIM și DMARC la p=reject este minimul necesar. Instrumentele EDR cu analiză comportamentală detectează executarea malware-ului post-click. Pentru organizațiile cu infrastructură cloud, cloud security trebuie să trateze phishing-ul ca vector principal de acces inițial.
Controale de identitate
MFA rezistent la phishing prin FIDO2 sau WebAuthn are cel mai mare impact individual. Cloud security posture management ar trebui să aplice aceste cerințe ca politici în mediile cloud.
Detectare și răspuns
Un playbook de răspuns la phishing este esențial. Secret detection poate identifica token-uri compromise înainte ca acestea să fie folosite pentru exfiltrare.
Phishing în contextul arhitecturii de securitate globale
Phishing-ul este doar punctul de intrare. Dacă code security are vulnerabilități, o singură credențială de dezvoltator compromisă poate deschide toată infrastructura. Din perspectiva compliance — ISO 27001, SOC 2, NIS2 — securitatea emailului și controalele anti-phishing sunt cerințe explicite cu consecințe reglementare reale în 2026.
Phishing alimentat de AI în 2026
LLM-urile au eliminat în mare parte indicatorii lingvistici ai phishing-ului. Detecția comportamentală și utilizarea LLM-urilor în apărare sunt superioare detecției bazate pe semnături. Echipele care vor să rămână la curent pot urmări blogul SecRails pentru tehnici de detectare și bune practici de inginerie a securității.

