Μια σιωπηλή - αλλά βαθιά - αλλαγή στις τακτικές του κυβερνοεγκλήματος αποκαλύπτει η εκρηκτική άνοδος των επιθέσεων phishing μέσω κωδικών QR. Όπως προκύπτει από τα στοιχεία της Kaspersky για το 2ο εξάμηνο του 2025, οι κυβερνοεγκληματίες εγκαταλείπουν σταδιακά τα κλασικά κακόβουλα links και υιοθετούν τους QR κώδικες ως πιο «αόρατο» και χαμηλού κόστους όχημα εξαπάτησης.

Πενταπλάσια αύξηση των επιθέσεων στο 2ο εξάμηνο του 2025, με emails και συνημμένα PDF να γίνονται βασικό κανάλι εξαπάτησης

Το αποτέλεσμα είναι μια νέα γενιά επιθέσεων, που παρακάμπτει τεχνικά φίλτρα, εκμεταλλεύεται την εμπιστοσύνη στις καθημερινές εταιρικές επικοινωνίες και στοχεύει απευθείας τον ανθρώπινο παράγοντα. Τα δεδομένα είναι αποκαλυπτικά: οι ανιχνεύσεις phishing emails με κακόβουλους κωδικούς QR αυξήθηκαν από 46.969 τον Αύγουστο σε 249.723 τον Νοέμβριο του 2025 - περισσότερο από πενταπλάσια αύξηση μέσα σε μόλις τρεις μήνες.

Η απότομη αυτή άνοδος καταδεικνύει ότι οι κώδικες QR δεν αποτελούν πια περιθωριακή τεχνική, αλλά κεντρικό εργαλείο στις σύγχρονες εκστρατείες phishing. Σύμφωνα με τους ειδικούς της Kaspersky, οι δράστες ενσωματώνουν τους κακόβουλους κωδικούς QR είτε απευθείας στο σώμα των emails είτε, συχνότερα, μέσα σε συνημμένα αρχεία PDF.

Η μέθοδος αυτή προσφέρει διπλό πλεονέκτημα: αφενός αποκρύπτει τα κακόβουλα URLs από πολλές λύσεις προστασίας, που βασίζονται στον έλεγχο συνδέσμων, αφετέρου ωθεί τους χρήστες να σαρώνουν τα αρχεία από κινητά τηλέφωνα. Οι κινητές συσκευές, σε αντίθεση με τους εταιρικούς υπολογιστές, διαθέτουν συχνά ασθενέστερα επίπεδα ασφάλειας, γεγονός που αυξάνει δραματικά την πιθανότητα επιτυχούς επίθεσης.

Η πρακτική αυτή μετατρέπει ακόμη και ένα φαινομενικά ακίνδυνο συνημμένο PDF σε όχημα εισόδου σε κακόβουλες ιστοσελίδες. Με ένα απλό σκανάρισμα, ο χρήστης μεταφέρεται σε σελίδες, που μιμούνται γνωστές υπηρεσίες ή εσωτερικά συστήματα, χωρίς να αντιλαμβάνεται ότι έχει παρακάμψει τους συνήθεις μηχανισμούς προστασίας.

Από μαζικές εκστρατείες σε στοχευμένες επιθέσεις

Οι κακόβουλοι QR κώδικες εμφανίζονται τόσο σε μαζικές εκστρατείες phishing, όσο και σε πιο στοχευμένες επιθέσεις. Οι σύνδεσμοι, που ενσωματώνονται σε αυτούς, οδηγούν συνήθως σε τρεις βασικές κατηγορίες σεναρίων. Πρώτον, σε φόρμες phishing που μιμούνται σελίδες σύνδεσης σε υπηρεσίες, όπως λογαριασμοί Microsoft ή εσωτερικές εταιρικές πλατφόρμες, με στόχο την υποκλοπή ονομάτων χρήστη, κωδικών πρόσβασης και άλλων διαπιστευτηρίων.

Δεύτερον, σε ψεύτικες ειδοποιήσεις από τμήματα ανθρώπινου δυναμικού, οι οποίες προτρέπουν εργαζομένους να ελέγξουν ή να υπογράψουν έγγραφα, όπως προγράμματα αδειών ή ακόμη και λίστες απολυμένου προσωπικού. Οι σύνδεσμοι καταλήγουν σε ιστοσελίδες υποκλοπής διαπιστευτηρίων, αξιοποιώντας το αίσθημα επείγοντος και την εμπιστοσύνη στην εσωτερική επικοινωνία.

Τρίτον, σε πλαστά τιμολόγια ή επιβεβαιώσεις αγορών μέσα σε συνημμένα PDF, συχνά σε συνδυασμό με τακτικές vishing. Τα θύματα παροτρύνονται να καλέσουν συγκεκριμένους τηλεφωνικούς αριθμούς για να «ακυρώσουν» ή να διευκρινίσουν συναλλαγές, δίνοντας στους επιτιθέμενους χώρο για περαιτέρω κοινωνική μηχανική.

Γιατί η απειλή είναι πιο επικίνδυνη

Οι τακτικές αυτές δεν στοχεύουν απλώς στη στιγμιαία εξαπάτηση. Εκμεταλλεύονται την εμπιστοσύνη στις καθημερινές εταιρικές ροές επικοινωνίας και οδηγούν σε υποκλοπή διαπιστευτηρίων, παραβίαση λογαριασμών, διαρροές δεδομένων και οικονομικές απάτες.

Σύμφωνα με την Kaspersky, οι κακόβουλοι κωδικοί QR έχουν εξελιχθεί σε ένα από τα πιο αποτελεσματικά εργαλεία phishing του 2025, ιδιαίτερα όταν «κρύβονται» σε PDF ή εμφανίζονται ως νόμιμες εταιρικές επικοινωνίες. Η εκρηκτική αύξηση του Νοεμβρίου υπογραμμίζει πώς οι κυβερνοεγκληματίες αξιοποιούν αυτή τη χαμηλού κόστους τεχνική αποφυγής εντοπισμού, στοχεύοντας εργαζομένους σε κινητές συσκευές.