A kiberbűnözők egyre inkább az emberi figyelmetlenségekre és kognitív automatizmusokra építik az adathalász támadásaikat. A támadások célja a felhasználói adatok megszerzése, ami szükségtelenné teszi a komplex védelmi rendszerek feltörését. A Microsoft a bűnözői tevékenység teljes ökoszisztémáját veszi célba, hogy megvédje a felhasználókat.
A Microsoft közel 8,3 milliárd e-mail alapú adathalász fenyegetést azonosított világszerte 2026 első negyedévében. Mégsem a hatalmas szám önmagában keltette fel a szakértők figyelmét, hanem egy egyre határozottabban körvonalazódó trend: folyamatosan növekszik a link-alapú támadások száma, kiszorítva a káros mellékletekkel operáló adathalász e-maileket. Előbbiek aránya a teljes negyedévben 78 százalék volt, ezeken belül a QR-kód alapú adathalász-támadások 146 százalékkal növekedtek. Az eredetileg az embereket a robotoktól való megkülönböztetés céljából létrehozott technológiával, a CAPTCHA-val (Completely Automated Public Turing test to tell Computers and Humans Apart) végrehajtott támadások száma pedig csak márciusban 125 százalékkal emelkedett.
A felhasználó inkább kattint, mint megnyit
Mindez arra mutat, hogy a támadók nem annyira a szofisztikált vállalati védelmi rendszerek feltörésére törekednek, hiszen a káros mellékleteket a vírusírtók már nagy hatékonysággal képesek kiszűrni, ehelyett sokkal inkább magát a felhasználót veszik célba, akiben az elmúlt évek hathatós kommunikációja nyomán már kialakult a reflex: „ismeretlen mellékletet megnyitni tilos”, viszont a link továbbra is kattintásra csábít. A CAPTCHA a biztonságérzetet csak tovább fokozza, hiszen az emberek hozzászoktak ahhoz, hogy a „komoly” oldalak így ellenőrzik a felhasználó hitelességét. További előnye ennek a megoldásnak, hogy megállítja a biztonsági szkennereket, amelyek nem képesek feltárni a CAPTCHA mögött megbújó adathalász oldalt.
Ezt a trendet vetítette előre a Microsoft Digital Defence Reportja is, amely szerint a ClickFix volt a legelterjedtebb módszer a támadók első lépéseként, a célpont eszközén keresztüli hozzáférés megszerzésére: a megfigyelt behatolási kísérletek közel felében, 47 százalékában ezt alkalmazták 2025-ben. Ennek lényege egy olyan hamis felugró ablak, amely arra veszi rá a felhasználót, hogy saját maga futtassa le a kártevő kódot. A melléklet ezúttal is hiányzik, nincs letöltés, semmi, amire a rögzült óvatossági reflexek működésbe lépnének, és a kód nem kerül merevlemezre, ezért a hagyományos vírusírtók nagyrésze nem is érzékeli.
Nem betörnek, belépnek
A támadások célja többnyire a felhasználói jelszavak megszerzése. Így a támadóknak nem kell betörniük a rendszerekbe, hanem – az ellopott felhasználói adatok birtokában – egyszerűen belépnek. Ez arra mutat rá, hogy a jelszó önmagában, sőt bizonyos helyzetekben még a többlépcsős azonosítás (MFA) sem nyújt elégséges védelmet a felhasználót támadó módszerek ellen. A klasszikus bejelentkezési folyamatban a felhasználó közvetlenül a valódi szolgáltatással kommunikál. Az AiTM támadásnál egy szerver ékelődik a kettő közé — a felhasználó észrevétlenül, egy valódinak tűnő oldalon keresztül jelentkezik be, a szerver pedig megszerzi a sikeres hitelesítés után keletkező munkamenet-tokent. Ettől fogva a támadónak már nincs szüksége sem jelszóra, sem MFA-kódra.
Az MI a védekezésben a barátunk, bár az ellenséget is segíti
A Microsoft azt is kimutatta, hogy az említett támadások hatékonysága a mesterséges intelligencia alkalmazásával megsokszorozódott: az MI által automatizált adathalász e-mailek 54%-os kattintási arányt érnek el, szemben a hagyományos módszereket alkalmazó e-mailek 12%-os arányával. A ClickFix és hasonló social engineering kampányokat ugyancsak az MI segítségével szabják személyre, ami még meggyőzőbbé teszi őket.
Azonban a védekezésben is az MI siet a felhasználó védelmére: felismer olyan koordinált mintázatokat a támadásokban, amelyeket az ember nem venne észre, minden egyes bejelentkezési kísérletnél milliszekundumok alatt értékeli a kockázatot (pl. szokatlan helyszín, ismeretlen eszköz, abnormális időpont), miközben figyelemmel kíséri a domain-hamisítási kísérleteket is.
Az MI szükséges, ugyanakkor nem elégséges a támadások visszaverésére. A Microsoft tudatosan célozza a teljes bűnözői ökoszisztémát. Nemzetközi együttműködésben – az Europollal és iparági partnerekkel közösen – igyekszik felgöngyölíteni magát a bűnözői hálózatot, felszámolni azokat a platformokat, amelyek a támadókat szolgálják ki, legvégül pedig hatósági intézkedést kezdeményez a hús-vér csalókkal szemben, akik az ökoszisztémákat működtetik. Így történt ez a Tycoon2FA esetében idén márciusban, amikor az adathalász kampányok futtatásához használt Phishing-as-a-Service (PhaaS) platformot számoltak fel partnerekkel és hatóságokkal együttműködve, ami azonnal 15%-os visszaesést eredményezett az adathalász e-mail forgalomban.
