Фишинг атаките вече не са просто имейли с правописни грешки и подозрителни линкове. През последните години те се превърнаха в добре организиран бизнес модел, познат като Phishing-as-a-Service (PhaaS). Това означава, че всеки, който иска да извърши кибератака, може да си „наеме“ готови инструменти за фишинг – бързо, евтино и без да е експерт.
Най-новото попълнение в този „черен пазар“ е Salty2FA – комплект за фишинг атаки, който беше разкрит от изследователи на платформата ANY.RUN. Той е особено опасен, защото може да заобикаля различни методи за двуфакторна автентикация (2FA) – SMS кодове, push известия и дори обаждания по телефона. С други думи, дори ако една компания има защитени акаунти с 2FA, Salty2FA може да излъже служителите и да „открадне“ както паролата, така и еднократния код.
Кои са най-застрашени?
Атаките вече се наблюдават активно в САЩ и Европа, като най-силно засегнати са секторите:
В някои държави като Индия, Канада и Франция са засегнати дори индустрии като металургия и индустриално производство.
Salty2FA започва да набира скорост през лятото на 2025 г., а първи следи от активността му са засечени още през март–април. Към днешна дата нови кампании се регистрират ежедневно.
Как работи една такава атака? (Реален случай)
Един от анализираните от ANY.RUN сценарии показва колко добре са подготвени тези кампании.
Имейл примамка – служител получава писмо със заглавие „External Review Request: 2025 Payment Correction“. Това звучи като важна и спешна задача, свързана с плащане.
Фалшива страница за вход – в имейла има линк, който води към страница, изглеждаща досущ като официален вход в Microsoft. Тя минава през Cloudflare проверки, за да избегне автоматични филтри.
Кражба на данни – служителят въвежда своето потребителско име и парола, които моментално се изпращат към сървър на атакуващите.
Заобикаляне на 2FA – ако акаунтът има двуфакторна защита, системата „подканя“ потребителя да въведе кода. Salty2FA може да прихване SMS, push или телефонно потвърждение.
В резултат – хакерите получават пълен достъп до корпоративния акаунт.
Защо е толкова опасно?
Традиционните методи за защита като антивирусни програми или статични индикатори (домейни, IP адреси, хешове) често не успяват да спрат подобни атаки, защото инфраструктурата на Salty2FA се променя ежедневно. Това, което остава постоянно, са поведенческите модели – например структурата на фалшивите страници и логиката на процеса.
Как компаниите могат да се защитят?
За да се намали рискът от подобни атаки, експертите препоръчват:
Какво печелят организациите от модерните решения?
Заключение
Salty2FA е ярък пример как фишингът се развива със скоростта на истински бизнес, а не на хаотични измамници. Той комбинира социално инженерство, технически трикове и автоматизация, за да заобиколи дори модерни защити като двуфакторната автентикация.
Затова организациите трябва да променят подхода си – от реактивна защита към проактивно засичане и обучение. Само така може да се намали рискът служител да стане следващата „врата“ за сериозен пробив в компанията.
