Directoratul Național de Securitate Cibernetică (DNSC) a emis avertizări recente despre spear phishing, o formă avansată de atac cibernetic în care atacatorii trimit mesaje personalizate, aparent credibile, pentru a convinge victimele să ofere informații sensibile sau să acceseze linkuri periculoase. Spre deosebire de phishing-ul clasic de tip „spray and pray”, spear phishing este direcționat, iar personalizarea îl face mult mai eficient.
Ceea ce face spear phishing-ul din 2026 mai periculos decât versiunile anterioare este utilizarea AI pentru personalizare la scară, combinată cu tehnici de bypass pentru autentificarea cu doi factori clasică.
Ce este spear phishing și cum diferă de phishing clasic
Phishing-ul clasic trimite același mesaj generic la mii sau milioane de destinatari, mizând pe faptul că un procent mic va cădea în capcană. Spear phishing este opusul: un mesaj creat specific pentru o singură persoană sau un grup restrâns, care include detalii personale credibile, numele complet, funcția, compania, un proiect recent sau chiar numele unui coleg de lucru.
Aceste detalii provin din surse publice: LinkedIn, site-ul companiei, postări pe rețele sociale, comunicate de presă, sau date obținute în breșe anterioare de securitate. Un atacator dedicat poate construi în câteva ore un profil detaliat al țintei din informații disponibile public.
Rolul AI în personalizarea atacurilor la scară
Dacă înainte spear phishing-ul era limitat de efortul manual necesar pentru personalizare, modelele de limbaj mari au schimbat această ecuație. Un atacator poate acum genera sute de emailuri personalizate pe oră, fiecare adaptat profilului specific al destinatarului, cu ton și vocabular corespunzătoare industriei și funcției acestuia.
AI poate analiza stilul de scriere al unui angajat din emailurile publice sau din postările online și poate genera un mesaj care imită acel stil, crescând credibilitatea unui email care pretinde că vine de la un coleg sau superior. Aceasta este una dintre cele mai îngrijorătoare evoluții în peisajul amenințărilor cibernetice din 2026.
De ce MFA clasic nu mai este suficient
Autentificarea cu doi factori (2FA sau MFA) bazată pe SMS sau pe aplicații de tip TOTP (Time-based One-Time Password) a reprezentat mult timp un strat eficient de protecție. Un atacator care obține parola victimei nu poate accesa contul fără codul temporar. Dar metodele de atac au evoluat.
Atacuri de tip adversary-in-the-middle (AiTM)
Atacurile AiTM folosesc un server proxy care stă între victimă și serviciul legitim. Victima accesează o pagină de phishing care arată identic cu serviciul real, introdusă parola și codul MFA, iar atacatorul le transmite în timp real către serviciul real, obținând acces și un token de sesiune valid. Token-ul de sesiune permite accesul ulterior fără a mai necesita MFA.
Platforme de tip phishing-as-a-service ca EvilProxy sau Evilginx implementează această tehnică și o fac accesibilă atacatorilor fără competențe tehnice avansate. Aceasta este o evoluție importantă față de phishing-ul tradițional, care era ocolit de MFA.
SIM swapping și vulnerabilitățile SMS
MFA bazat pe SMS este vulnerabil la SIM swapping: atacatorul convinge operatorul de telefonie mobilă să transfere numărul de telefon al victimei pe o cartelă SIM controlată de atacator. Odată realizat, atacatorul primește toate SMS-urile, inclusiv codurile MFA. Tehnica necesită inginerie socială aplicată angajaților operatorului.
Oboseala MFA (MFA fatigue)
O tehnică mai simplă, dar surprinzător de eficientă: atacatorul trimite repetat solicitări de autentificare MFA push pe telefonul victimei, până când aceasta, exasperată sau confuză, apasă „Aprobare” pentru a opri notificările. Câteva breșe majore din ultimii ani au exploatat exact această vulnerabilitate.
Ce funcționează efectiv ca protecție
DNSC recomandă o serie de măsuri care rămân eficiente chiar și împotriva formelor avansate de spear phishing:
- Chei de securitate fizice FIDO2/WebAuthn – dispozitive hardware ca YubiKey sunt rezistente la atacurile AiTM, deoarece autentificarea este legată criptografic de domeniul legitim al site-ului. O cheie fizică nu poate fi păcălită de un site de phishing, chiar dacă arată identic cu cel real.
- Verificare independentă a cererilor sensibile – orice cerere primită prin email care implică transferuri financiare, acces la sisteme sau informații confidențiale ar trebui verificată printr-un canal diferit (telefon, în persoană) înainte de a fi executată.
- Politici de acces condiționat – restricționarea accesului la sisteme critice pe baza dispozitivelor cunoscute, locației geografice sau altor semnale de risc, nu doar pe baza parolei și MFA.
- Instruirea regulată a angajaților – simulări de phishing și training periodic sunt mai eficiente decât o singură sesiune anuală de conștientizare.
Semnale de avertizare pentru un email de spear phishing
- Urgență artificială: „Acționați imediat” sau „Contul va fi blocat în 24 de ore”.
- Cerere neobișnuită pentru rolul sau contextul expeditorului.
- Adresa de email a expeditorului care diferă subtil de cea reală (de exemplu, un zero în locul literei O).
- Linkuri care la hover afișează un URL diferit de cel din text.
- Atașamente neașteptate, în special fișiere Office cu macrocomenzi sau fișiere executabile.
- Greșeli gramaticale sau de formulare nespecifice persoanei respective.
Reglementări relevante pentru organizațiile din România
Directiva NIS2, transpusă în România prin OUG nr. 155/2024, impune organizațiilor din sectoarele esențiale și importante să implementeze măsuri tehnice și organizatorice pentru gestionarea riscurilor de securitate cibernetică. Spear phishing-ul intră în categoria amenințărilor care trebuie acoperite de aceste măsuri, inclusiv prin programe de instruire a personalului.
Concluzie
Spear phishing-ul din 2026 combină personalizarea bazată pe AI cu tehnici de bypass MFA care fac metodele clasice de protecție insuficiente. Protecția eficientă necesită un mix de soluții tehnice avansate (chei FIDO2, politici de acces condiționat), proceduri organizatorice clare și instruire continuă a angajaților.
Dacă doriți să evaluați nivelul de protecție al organizației dumneavoastră împotriva phishing-ului și a altor amenințări cibernetice, consultați scannerul de securitate GOAI sau articolul nostru despre securizarea WordPress. Contactați echipa GOAI pentru o evaluare personalizată a riscurilor.
