← Πίσω στο Blog

Η ταυτότητά σας είναι η νέα επιφάνεια επίθεσης: Προστασία στην εποχή της πρακτορικής AI

Alexandros Fotiadis
ασφάλεια ai ταυτότητα απάτη μμε
Η ταυτότητά σας είναι η νέα επιφάνεια επίθεσης: Προστασία στην εποχή της πρακτορικής AI

Μέχρι πρόσφατα η σοβαρή απάτη ταυτότητας ήταν ακριβή υπόθεση. Χρειαζόσουν έναν πειστικό μιμητή φωνής, μια αξιόπιστη πρόφαση, μια ομάδα να τρέξει την κλήση και αρκετή έρευνα ώστε η ιστορία να κρατήσει. Αυτό το κόστος φιλτράριζε τη λίστα στόχων: CEO, CFO, οικογένειες υψηλής περιουσίας και, περιστασιακά, ένας έμπειρος λογιστής που είχε βρεθεί σε κάποια λίστα.

Το 2026, τίποτα από αυτά δεν ισχύει πια. Τριάντα δευτερόλεπτα καθαρού ήχου, σαράντα ευρώ κόστους API και ένα απόγευμα με ένα μέτρια καλό μοντέλο αρκούν για να κλωνοποιήσει κανείς μια φωνή αρκετά πειστικά ώστε να εξαπατήσει έναν απρόσεκτο άνθρωπο σε μια θορυβώδη γραμμή. Αυτή η μετατόπιση αλλάζει το μοντέλο απειλών για όποιον διοικεί επιχείρηση, χειρίζεται χρήματα ή έχει συγγενείς που τα κάνουν.

Ποιοι πραγματικά αποτελούν στόχο σήμερα

Το παλιό μοντέλο — «η απάτη είναι πρόβλημα για επικεφαλής και πολιτικούς» — είναι λάθος το 2026. Τα οικονομικά ευνοούν πλέον τις επιθέσεις μεγάλου όγκου και μέσης αξίας αντί για τη μία μεγάλη λεία.

  • Ιδιοκτήτες ΜμΕ με δικαίωμα υπογραφής σε εταιρικούς λογαριασμούς, όπου ένα έμβασμα 12.000 € κάθεται κάτω από τα όρια αυτόματης ανίχνευσης.
  • Υπάλληλοι λογιστηρίου που χειρίζονται αλλαγές προμηθευτών, ενημερώσεις IBAN και μισθοδοσίες — το ιδανικό στενό σημείο για μια απάτη τύπου «αλλάξαμε τράπεζα».
  • Family offices, δικηγορικά γραφεία και συμβολαιογραφεία όπου ένα μόνο λάθος έμβασμα εγγύησης χρηματοδοτεί τον υπόλοιπο μήνα του επιτιθέμενου.
  • Προμηθευτές σε αλυσίδες που μιμούνται απέναντι στους δικούς τους πελάτες. Αν τιμολογείτε νοσοκομειακό όμιλο, είστε πλέον αξιόπιστος στόχος, επειδή οι πελάτες σας είναι.
  • Ηλικιωμένοι συγγενείς επαγγελματικά εκτεθειμένων προσώπων. Το LinkedIn σας είναι η επιφάνεια επίθεσής τους.

Όσοι αμφέβαλλαν πέρυσι αν τους αφορούσε, αξίζει να ξαναρυθμίσουν.

Πώς μοιάζουν οι επιθέσεις σήμερα

Τέσσερα μοτίβα κυριαρχούν στις περιπτώσεις που ακούμε από πελάτες και συναδέλφους:

  1. Απάτη εμβασμάτων με κλωνοποιημένη φωνή. Ένας «διευθύνων» τηλεφωνεί στη λογίστρια αργά την Παρασκευή, αναφέρει με όνομα μια πραγματική τρέχουσα συμφωνία (από δελτίο τύπου ή ανάρτηση LinkedIn), και ζητά επείγουσα μεταφορά. Η φωνή ταιριάζει. Η πρόφαση ταιριάζει. Η προθεσμία είναι τεχνητή.
  2. AI phishing μαζικά. Εξατομικευμένα email γραμμένα με βάση το πραγματικό σας βιογραφικό στο LinkedIn, με αναφορά σε ομιλία που δώσατε ή repo που αστεροποιήσατε, με σύνδεσμο σε μια πειστική σελίδα σύνδεσης. Τα ορθογραφικά λάθη έχουν εξαφανιστεί. Το ίδιο και το γλωσσικό χάσμα — Ελληνικά, Αγγλικά και Γερμανικά κυλούν εξίσου φυσικά.
  3. Πρακτορική κατάληψη λογαριασμού. Όχι άνθρωπος, αλλά ένας πράκτορας του επιτιθέμενου δοκιμάζει συστηματικά ροές ανάκτησης σε δεκάδες υπηρεσίες, συνδυάζοντας αποσπάσματα κωδικών από διαρροές, επιθέσεις αναχαίτισης SMS και social engineering στο helpdesk μέχρι κάτι να σπάσει.
  4. Συνθετική απάτη ταυτότητας. Πρόσωπα εξ ολοκλήρου πλαστά με AI-πρόσωπα, AI-φωνές και AI-βιογραφικά, που ανοίγουν λογαριασμούς, υποβάλλουν αιτήσεις πίστωσης ή περνούν KYC σε ρυθμιζόμενες πλατφόρμες.

Αυτό που συνδέει και τα τέσσερα: το οριακό κόστος μιας ακόμη προσπάθειας έχει καταρρεύσει. Η άμυνα που βασιζόταν στο «κανείς δεν θα μπει στον κόπο για εμάς» δεν ισχύει πια.

Συγκεκριμένο σχέδιο άμυνας σε 5–7 βήματα

Τίποτα από αυτά δεν απαιτεί CISO ή εξαψήφιο προϋπολογισμό. Απαιτεί ένα απόγευμα αποφάσεων και δύο εβδομάδες υλοποίησης.

  1. Passkeys ή hardware keys για κάθε λογαριασμό που αγγίζει χρήματα ή δεδομένα. Οι κωδικοί με SMS-fallback τελείωσαν. Ένα YubiKey των 50 € ανά εργαζόμενο είναι φθηνότερο από ένα αποτυχημένο έμβασμα.
  2. Πρωτόκολλο αντικλήσης για κάθε αλλαγή πληρωμής. Κάθε αίτημα αλλαγής IBAN, δικαιούχου, τραπεζικού λογαριασμού προμηθευτή ή λογαριασμού μισθοδοσίας απαιτεί αντίκληση σε προϋπάρχον αριθμό των αρχείων σας — όχι στον αριθμό του email, όχι στον αριθμό που έδωσε ο καλών. Γραπτώς. Εκπαιδεύστε πάνω του.
  3. Κωδική λέξη για επείγοντα φωνητικά αιτήματα. Συμφωνήστε μια περιστρεφόμενη λέξη με τη λογίστριά σας, τον/τη σύζυγο, τον ηλικιωμένο γονιό. «Έφαγε η γάτα τα τριαντάφυλλα αυτή τη βδομάδα;» ακούγεται παράλογο — αυτό ακριβώς είναι το νόημα· δεν μαντεύεται από δημόσια δεδομένα.
  4. Παγώστε τα πιστωτικά σας ίχνη όπου επιτρέπεται. Στην ΕΕ στις περισσότερες χώρες αυτό είναι δωρεάν ή οιονεί δωρεάν. Στην Ελλάδα, ενημερώστε τις επικοινωνίες σας με την Τειρεσίας και επιμείνετε σε ειδοποιήσεις δραστηριότητας από τις τράπεζες. Αφαιρεί τη διαδρομή εξαργύρωσης για συνθετική απάτη εναντίον σας.
  5. Απογραφή όσων είναι δημόσια για εσάς και την εταιρεία σας. Βιογραφικά στελεχών με ημερομηνία γέννησης, σελίδες προσωπικού με εσωτερικά τηλέφωνα, οργανογράμματα σε pitch decks — το καθένα είναι δωρεάν δώρο σε επιτιθέμενο. Κόψτε ό,τι κόβεται.
  6. Απενεργοποιήστε το SMS ως δεύτερο παράγοντα όπου προσφέρεται authenticator ή passkey. Οι επιθέσεις SIM-swap είναι φθηνές και τοπικά διαθέσιμες.
  7. Μία άσκηση το τρίμηνο. Στείλτε ψεύτικο email «CEO fraud» στην ίδια σας την ομάδα. Τηλεφωνήστε τη λογίστριά σας από άγνωστο αριθμό και ζητήστε κάτι ύποπτο. Μετρήστε την αντίδραση. Διορθώστε ό,τι βρείτε.

Πώς μοιάζει το «καλό»

Μια υγιής μικρή επιχείρηση το 2026 μοιάζει έτσι: passkeys παντού, hardware keys για διαχειριστές, κανένα SMS 2FA, γραπτός κανόνας αντικλήσης που κάθε υπάλληλος λογιστηρίου απαγγέλλει, μια κωδική λέξη με τη λογίστρια και μια τριμηνιαία άσκηση που πιάνει τουλάχιστον ένα λάθος. Τίποτα από όλα αυτά δεν είναι εξωτικό. Όλα είναι φθηνά σε σύγκριση με την εναλλακτική.

Βοηθάμε πελάτες να στήσουν ακριβώς αυτό το στοιχειώδες — συχνά ως μέρος ενός ευρύτερου έργου αυτοματοποίησης και ταυτότητας. Αν θέλετε ένα δεύτερο ζευγάρι μάτια πάνω στη σημερινή σας στάση, ελάτε σε επαφή. Μία ώρα κουβέντα που συνήθως ανταποδίδει το κόστος της με το πρώτο ύποπτο που θα εμφανιστεί στο inbox.