Πλέον, δεν πρόκειται για «πρόχειρες» απόπειρες εξαπάτησης, αλλά για στοχευμένες και συχνά καλά οργανωμένες επιθέσεις που μπορούν να πλήξουν τόσο ιδιώτες όσο και επιχειρήσεις, ανεξαρτήτως μεγέθους ή βαθμού εξοικείωσης με την τεχνολογία.

Τα τεχνάσματα

Οι επιτήδειοι χρησιμοποιούν διάφορα τεχνάσματα για να αποσπάσουν ευαίσθητα προσωπικά δεδομένα, όπως:

* Κωδικούς πρόσβασης (passwords).

* Στοιχεία τραπεζικών λογαριασμών.

* Αριθμούς καρτών.

* Κωδικούς επαλήθευσης (OTP).

Επιπτώσεις

Σε αρκετές περιπτώσεις, τα δεδομένα αυτά αξιοποιούνται, άμεσα, για οικονομική εκμετάλλευση, ενώ άλλες φορές αποθηκεύονται και πωλούνται σε παράνομα δίκτυα του λεγόμενου «dark web», ενισχύοντας περαιτέρω την αλυσίδα της διαδικτυακής εγκληματικότητας. Οι επιπτώσεις για τα θύματα δεν είναι μόνο οικονομικές, συχνά περιλαμβάνουν και απώλεια πρόσβασης σε λογαριασμούς ή κατάχρηση προσωπικών στοιχείων.

Οι επιθέσεις πραγματοποιούνται κυρίως μέσω e-mail που φαίνονται «επίσημα», SMS, ψεύτικων ιστοσελίδων που μιμούνται πραγματικές, αλλά και μέσω μηνυμάτων στα μέσα κοινωνικής δικτύωσης. Τα τελευταία χρόνια καταγράφεται αύξηση και σε πιο εξελιγμένες μορφές, όπως τα λεγόμενα «smishing» (μέσω SMS) και «quishing» (μέσω QR codes), τα οποία εκμεταλλεύονται τη μεγάλη χρήση κινητών συσκευών και την ταχύτητα με την οποία οι χρήστες αλληλεπιδρούν με ειδοποιήσεις, συχνά χωρίς «δεύτερη σκέψη».

Μάστιγα

Σύμφωνα με στοιχεία της εταιρίας παροχής υπηρεσιών κυβερνοασφάλειας, Kaspersky, χρήστες στην Ευρώπη έκαναν «κλικ» σε περισσότερους από 131 εκατομμύρια κακόβουλους συνδέσμους phishing μέσα στο 2025. Γεγονός που καταδεικνύει την έκταση του φαινομένου και την ευκολία με την οποία μπορεί να εξαπλωθεί. Το μέγεθος αυτό αποτυπώνει όχι μόνο τη συχνότητα των επιθέσεων, αλλά και τη δυσκολία των χρηστών να τις αναγνωρίσουν έγκαιρα, ιδίως όταν αυτές εμφανίζονται μέσα σε γνώριμα ψηφιακά περιβάλλοντα.

Αληθοφανή

Παράλληλα, η χρήση Τεχνητής Νοημοσύνης έχει αλλάξει σημαντικά το τοπίο. Τα phishing μηνύματα, πλέον, είναι πιο καλοδιατυπωμένα, χωρίς εμφανή γλωσσικά λάθη, και συχνά συνοδεύονται από ρεαλιστική αναπαραγωγή επίσημων ιστοσελίδων και λογοτύπων. Σε ορισμένες περιπτώσεις, οι επιθέσεις είναι και προσωποποιημένες, αξιοποιώντας πληροφορίες από τα μέσα κοινωνικής δικτύωσης ή προηγούμενες διαρροές δεδομένων, κάτι που αυξάνει σημαντικά την πιθανότητα επιτυχίας τους.

Το phishing δεν βασίζεται μόνο στην τεχνολογία, αλλά κυρίως στην ανθρώπινη συμπεριφορά. Οι δράστες αξιοποιούν συναισθήματα όπως ο φόβος, η περιέργεια και η αίσθηση του επείγοντος, ώστε να παρακάμψουν την κριτική σκέψη του χρήστη.

Μηνύματα που περιλαμβάνουν εκφράσεις όπως: «Ο λογαριασμός σας κινδυνεύει» ή «Απαιτείται άμεση ενέργεια» αυξάνουν σημαντικά την πιθανότητα ο χρήστης να αντιδράσει βιαστικά, χωρίς να ελέγξει την αξιοπιστία τους. Σε ένα περιβάλλον συνεχούς πληροφόρησης και πίεσης, όπου οι χρήστες λαμβάνουν δεκάδες ειδοποιήσεις καθημερινά, οι γρήγορες αποφάσεις ευνοούν τα λάθη.

Καμπανάκια

Ορισμένες βασικές ενδείξεις phishing:

* Αίτημα για ευαίσθητα στοιχεία (κωδικούς, PIN, στοιχεία κάρτας).

* Πίεση για άμεση ενέργεια ή πληρωμή.

* Υποπτα links με λάθη ή ασυνήθιστα domains.

* Γενικός τρόπος προσφώνησης («Αγαπητέ πελάτη»).

* Προτροπή για σύνδεση μέσω συνδέσμου.

Είναι σημαντικό να επισημανθεί πως κανένας επίσημος οργανισμός δεν ζητά κωδικούς ή πληρωμές μέσω συνδέσμων σε SMS ή e-mail. Σε περίπτωση αμφιβολίας συνιστάται ο έλεγχος μέσω των επίσημων ιστοσελίδων ή η απευθείας επικοινωνία με τον οργανισμό, ώστε να επιβεβαιωθεί η εγκυρότητα του μηνύματος.

Τα πιο συνηθισμένα σενάρια εξαπάτησης

 Στην Ελλάδα, οι επιθέσεις βασίζονται κυρίως στην εκμετάλλευση της εμπιστοσύνης των πολιτών προς γνωστούς οργανισμούς και υπηρεσίες. Τα πιο συνηθισμένα παραδείγματα είναι:

* Ειδοποιήσεις για «μπλοκαρισμένο» τραπεζικό λογαριασμό.

* Μηνύματα για παράδοση δέματος (π.χ. ΕΛΤΑ ή ιδιωτικές εταιρίες courier).

* Απαιτήσεις για άμεση πληρωμή λογαριασμών ενέργειας.

* Ειδοποιήσεις για επιστροφές φόρου ή πρόστιμα (π.χ. ΑΑΔΕ).

Τα μηνύματα αυτά συχνά συνοδεύονται από συνδέσμους που οδηγούν σε ψεύτικες σελίδες, σχεδόν πανομοιότυπες με τις αυθεντικές, καθιστώντας δύσκολη την αναγνώρισή τους με την πρώτη ματιά, ιδιαίτερα από χρήστες που δεν είναι εξοικειωμένοι με τέτοιου είδους απειλές.

Πού μπορούμε να απευθυνθούμε

 Κάποιος που θα πέσει θύμα phishing καλό είναι να κινηθεί, άμεσα, απευθυνόμενος:

Στις Αρχές: Η αρμόδια υπηρεσία είναι η Δίωξη Ηλεκτρονικού Εγκλήματος Ελληνικής Αστυνομίας, στην οποία μπορούν να αναφερθούν περιστατικά ηλεκτρονικής απάτης, phishing και κλοπής στοιχείων.

Στην τράπεζα: Αν έχουν δοθεί τραπεζικά στοιχεία ή έχουν πραγματοποιηθεί συναλλαγές, απαιτείται άμεση επικοινωνία με την τράπεζα για μπλοκάρισμα λογαριασμών ή καρτών και έλεγχο ύποπτων κινήσεων.

Για προσωπικά δεδομένα: Σε περιπτώσεις διαρροής ή κακής χρήσης προσωπικών δεδομένων, αρμόδια είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Ηλεκτρονικά: Καταγγελία μπορεί να γίνει και μέσω των ψηφιακών υπηρεσιών της ΕΛ.ΑΣ. ή της πλατφόρμας gov.gr.

Το phishing εξελίσσεται διαρκώς και γίνεται όλο και πιο πειστικό, καθιστώντας δύσκολη την άμεση αναγνώρισή του. Σε ένα ψηφιακό περιβάλλον όπου οι συναλλαγές και η επικοινωνία πραγματοποιούνται όλο και περισσότερο on-line, η επαγρύπνηση, η επιβεβαίωση της αξιοπιστίας των μηνυμάτων και η βασική γνώση των κινδύνων αποτελούν την πιο αποτελεσματική «γραμμή άμυνας» για τους πολίτες.