Για τη φετινή Παγκόσμια Ημέρα Κωδικού Πρόσβασης το 2026, η παραδοσιακή συμβουλή «χρησιμοποιήστε έναν σύνθετο κωδικό πρόσβασης με αριθμούς και σύμβολα» φαίνεται εντελώς ξεπερασμένη.
Σήμερα, ένας κωδικός πρόσβασης 16 χαρακτήρων είναι άχρηστος αν ένα κακόβουλο λογισμικό υποκλοπής πληροφοριών τον εξάγει απευθείας από την προσωρινή μνήμη ενός προγράμματος περιήγησης ή αν ένας υπάλληλος τον επικολλήσει οικειοθελώς σε ένα μη ελεγχόμενο chatbot τεχνητής νοημοσύνης.
Καλώς ήρθατε στην πραγματική «Παγκόσμια Ημέρα Κωδικών Πρόσβασης» του 2026. Όχι σε εκείνη όπου σας υπενθυμίζουμε να προσθέσετε ένα θαυμαστικό στο «Password123», αλλά σε εκείνη όπου αποκαλύπτουμε την παγκόσμια βιομηχανική αγορά που έχει χτιστεί σιωπηλά πάνω στις συλλογικές μας αποτυχίες όσον αφορά τους κωδικούς πρόσβασης — έναν μηχανισμό που τώρα, για πρώτη φορά, τροφοδοτείται με τεχνητή νοημοσύνη με τρόπους που αλλάζουν ριζικά τους κανόνες του παιχνιδιού.
Το τοπίο των κυβερνοαπειλών έχει εξελιχθεί ραγδαία σε μια βιομηχανοποιημένη οικονομία «Cybercrime-as-a-Service» (CaaS), η οποία τροφοδοτείται από τη γενετική τεχνητή νοημοσύνη. Οι χάκερ δεν εισβάλλουν πλέον στα συστήματα — απλώς συνδέονται.
Για να κατανοήσουμε το σύγχρονο οικοσύστημα κλοπής ταυτότητας, πρέπει να κοιτάξουμε πέρα από την οθόνη σύνδεσης και να εμβαθύνουμε στη συμβιωτική σχέση μεταξύ του dark web, του Telegram και της τεχνητής νοημοσύνης.
Η πλατφόρμα της παραοικονομίας
Τα παραδοσιακά φόρουμ του Dark Web χρησιμοποιούνται πλέον κυρίως για την εδραίωση της αξιοπιστίας των πωλητών, ενώ οι αγοραστές κατευθύνονται γρήγορα σε ιδιωτικά κανάλια του Telegram και σε αυτοματοποιημένα bots για άμεσες συναλλαγές. Αυτή η μετατόπιση έχει επιταχύνει τον ρυθμό με τον οποίο τα κλεμμένα δεδομένα μετατρέπονται σε χρήμα.
Πόσο αξίζει λοιπόν η ψηφιακή σας ζωή το 2026; Σύμφωνα με τον Δείκτη Τιμών του Dark Web για το 2025/2026 των Privacy Affairs και DeepStrike, η αγορά λειτουργεί με βάση την καθαρή προσφορά και ζήτηση:
Ψυχαγωγία & Κοινωνικά δίκτυα: Η υπερπροσφορά δεδομένων από παραβιάσεις έχει οδηγήσει σε πτώση των τιμών. Ένας παραβιασμένος λογαριασμός Facebook πωλείται για περίπου 45 δολάρια, ενώ ένας λογαριασμός Gmail κοστίζει κατά μέσο όρο 60 έως 65 δολάρια.
Χρηματοοικονομικά: Οι τυπικές πιστωτικές κάρτες με CVV πωλούνται από 10 έως 40 δολάρια, αλλά οι επαληθευμένοι λογαριασμοί σε διαδικτυακές τράπεζες και κρυπτονομίσματα με υψηλό υπόλοιπο έχουν τιμές που κυμαίνονται από 200 έως 1.170+ δολάρια
Εταιρική πρόσβαση: Η πιο κερδοφόρα αγορά ανήκει στους Initial Access Brokers (IAB) που προσφέρουν άμεση πρόσβαση σε συγκεκριμένα εταιρικά δίκτυα (VPN ή RDP). Σύμφωνα με την έκθεση Initial Access Brokers Report της Rapid7, οι μέσες τιμές αναφοράς των IAB κυμαίνονταν γύρω στα 2.700 δολάρια, αλλά η διοικητική πρόσβαση με υψηλά προνόμια έχει δει τις τιμές να εκτοξεύονται σε πάνω από 113.000 δολάρια.
Το μέγεθος αυτής της παραοικονομίας είναι συγκλονιστικό. Οι συνδρομές σε κορυφαία κακόβουλα προγράμματα υποκλοπής πληροφοριών, όπως το LummaC2 ή το RedLine, κυμαίνονται από 100 έως περίπου 1.024 δολάρια το μήνα, καθιστώντας φθηνότερο από ποτέ για τους αρχάριους κυβερνοεγκληματίες να συλλέγουν εκατομμύρια κωδικούς πρόσβασης.
Η επιδημία των κωδικών πρόσβασης
Η αποτελεσματικότητα αυτών των κλεμμένων βάσεων δεδομένων βασίζεται εξ ολοκλήρου στην ανθρώπινη ψυχολογία. Παρά τις επί χρόνια προειδοποιήσεις, οι χρήστες συνεχίζουν να επαναχρησιμοποιούν τους κωδικούς πρόσβασης. Το 94% των κωδικών πρόσβασης επαναχρησιμοποιείται σε δύο ή περισσότερους λογαριασμούς. Τα στοιχεία από την Έκθεση Ερευνών για Παραβιάσεις Δεδομένων 2025 της Verizon δείχνουν ότι μόνο το 3% των κωδικών πρόσβασης πληροί τις απαιτήσεις πολυπλοκότητας του NIST για τις βέλτιστες πρακτικές κωδικών πρόσβασης. Όταν παραβιάζεται μια πλατφόρμα, οι αυτοματοποιημένες επιθέσεις credential stuffing ξεκλειδώνουν αμέσως τα προφίλ των χρηστών σε εκατοντάδες άλλες υπηρεσίες.
Ωστόσο, η μεγαλύτερη απειλή που σχετίζεται με τον ανθρώπινο παράγοντα το 2026 δεν είναι απλώς η επαναχρησιμοποίηση κωδικών πρόσβασης, αλλά η ακούσια απειλή από εσωτερικούς χρήστες που δημιουργείται από τη Γενετική ΤΝ. Ο κόσμος βιώνει σήμερα μια επιδημία εργαζομένων που εισάγουν κατά λάθος εταιρικά μυστικά απευθείας σε εργαλεία ΤΝ.
Το «τυφλό σημείο» της Γενετικής ΤΝ: Σύμφωνα με την Έκθεση Ασφάλειας Προγραμμάτων Περιήγησης της LayerX για το 2025, η αντιγραφή-επικόλληση σε προγράμματα περιήγησης έχει ξεπεράσει τη μεταφορά αρχείων ως τον κύριο φορέα διαρροής εταιρικών δεδομένων. Ένα τεράστιο ποσοστό 45% των εργαζομένων χρησιμοποιεί ενεργά εργαλεία τεχνητής νοημοσύνης, και το 77% αυτών των χρηστών επικολλά δεδομένα απευθείας σε προτροπές τεχνητής νοημοσύνης, κάτι που δεν είναι ασφαλές. Σύμφωνα με την Check Point Research, για τον μήνα Μάρτιο του 2026, 1 στις 28 προτροπές γενετικής τεχνητής νοημοσύνης που υποβλήθηκαν από εταιρικά περιβάλλοντα παρουσίαζε υψηλό κίνδυνο διαρροής ευαίσθητων δεδομένων, επηρεάζοντας το 91% των οργανισμών που χρησιμοποιούν εργαλεία γενετικής τεχνητής νοημοσύνης τακτικά. Ένα επιπλέον 17% των προτροπών περιείχε δυνητικά ευαίσθητες πληροφορίες.
Ο κίνδυνος του Shadow IT: Ακόμα χειρότερα, το 82% αυτών των ενεργειών αντιγραφής-επικόλλησης πραγματοποιείται μέσω μη διαχειριζόμενων, προσωπικών λογαριασμών σύμφωνα με την έκθεση της LayerX, δημιουργώντας ένα τεράστιο τυφλό σημείο.
Οι συνέπειες: Τι συμβαίνει όταν αυτά τα εργαλεία τεχνητής νοημοσύνης παραβιάζονται; Η εταιρεία πληροφοριών απειλών Group-IB ανέφερε ότι τουλάχιστον 225.000 σύνολα διαπιστευτηρίων OpenAI/ChatGPT τέθηκαν προς πώληση στο dark web, αφού συλλέχθηκαν από προγράμματα υποκλοπής πληροφοριών8. Όταν οι εργαζόμενοι χρησιμοποιούν προσωπικές συσκευές μολυσμένες με προγράμματα υποκλοπής πληροφοριών για να συνδεθούν σε εργαλεία τεχνητής νοημοσύνης με εταιρικά διαπιστευτήρια, ο κύκλος των δεδομένων είναι καταστροφικός.
Phishing 2.0: AI, Deepfakes και η κρίση της προσωποποίησης
Με το AI να μειώνει το όριο εισόδου, το Phishing 2.0 έχει φτάσει. Εξατομικευμένα, κιτ “Phishing-as-a-Service” που καθοδηγούνται από AI πωλούνται για λιγότερο από 100 δολάρια τον μήνα στο Telegram. Το πιο συνηθισμένο—και επιτυχημένο—κόλπο παραμένει το ψευδές αίτημα επαναφοράς κωδικού ασφαλείας από IT/HR ή το απατηλό πύλη VPN. Το AI διασφαλίζει ότι αυτές οι δολώσεις είναι τέλεια γραμμένες, απαλλαγμένες από τυπογραφικά σφάλματα και εξαιρετικά στοχευμένες.
Λόγω αυτής της εξέλιξης, τα email phishing που δημιουργούνται από AI επιτυγχάνουν εντυπωσιακά ποσοστά κλικ έως και 54% (σε σύγκριση με περίπου 12% για παραδοσιακό phishing) σύμφωνα με μια μελέτη της Brightside AI 2024.
Αλλά η απειλή έχει επεκταθεί πέρα από το κείμενο:
Το Κόστος των Deepfakes: Οι βασικές συνδρομές κλωνοποίησης φωνής με AI κοστίζουν μόλις λίγα δολάρια τον μήνα, τροφοδοτούμενες από τεχνολογία deepfake. Σύμφωνα με την Identity Fraud Report 2024 της Onfido, υπήρξε αύξηση 3.000% στα deepfakes.
Πλαστοπροσωπία Διευθυντικών Στελεχών: Η προηγμένη κοινωνική μηχανική προκαλεί ευρεία καταστροφή. Είναι εξαιρετικά συνηθισμένο για τους εγκληματίες του κυβερνοχώρου να προσποιούνται τον επικεφαλής του IT ή ένα στέλεχος C-level για να αποσπάσουν διαπιστευτήρια σύνδεσης από υπαλλήλους. Ένα μόνο deepfake video call κόστισε στην εταιρεία μηχανικής Arup 25,6 εκατομμύρια δολάρια. Η επίθεση περιελάμβανε μια εξελιγμένη τηλεδιάσκεψη πολλών ατόμων με deepfaked, AI-generated ομοιώσεις του CFO της εταιρείας και άλλων ανώτατων στελεχών. Αυτή η υπόθεση απέδειξε ότι οι σύνθετες, πολυτροπικές επιθέσεις δεν είναι πλέον θεωρητικές — συμβαίνουν τώρα, με καταστροφικά αποτελέσματα.
Deepfake Vishing:Η κλωνοποίηση φωνής μπορεί να δημιουργηθεί από μόλις 3 δευτερόλεπτα ήχου, αυξάνοντας σημαντικά την έκθεση των χρηματοοικονομικών ομάδων σε απάτη προσωποποίησης. Όπως κάνει λόγο το Fortune τον Δεκέμβριο 2025, η κλωνοποίηση φωνής έχει υπερβεί το “κατώφλι αδιάκρισης” — δηλαδή, οι ανθρώπινοι ακροατές δεν μπορούν πλέον να διακρίνουν αξιόπιστα τις κλωνοποιημένες φωνές από τις αυθεντικές.
Το Σχέδιο Άμυνας για το 2026
Ο χρόνος από ένα διαρρευμένο κωδικό ασφαλείας σε μια πλήρη ανάπτυξη ransomware συρικνώνεται με τρομακτικά γρήγορο ρυθμό. Σύμφωνα με την Beazley Security (Q3 2025), το 48% των επιθέσεων ransomware χρησιμοποίησαν κλεμμένα διαπιστευτήρια VPN ως διάνυσμα αρχικής πρόσβασης. Ωστόσο, η IBM 2025 Cost of a Data Breach Report διαπίστωσε ότι οι παραβιάσεις που βασίζονται σε διαπιστευτήρια χρειάζονται κατά μέσο όρο 246 ημέρες για να εντοπιστούν και να περιοριστούν.
Σε αντίθεση, οι χειριστές ransomware κινούνται με ταχύτητα του φωτός. Αν η εταιρεία σας χρειάζεται εβδομάδες για να ανιχνεύσει ένα κλεμμένο διαπιστευτήριο, η μάχη είναι ήδη χαμένη.
Προτείνουμε κάποιες μεθόδους για τις οργανώσεις να υπερασπιστούν τον εαυτό τους το 2026:
Υιοθετήστε Passwordless & FIDO2: Η μόνη πραγματική άμυνα ενάντια στο phishing και infostealers είναι η απόλυτη απάλειψη του κωδικού ασφαλείας. Η μετάβαση σε FIDO2 passkeys διασφαλίζει ότι ακόμα κι αν ένας υπάλληλος δολιχθεί να επισκεφθεί μια ψευδή σελίδα σύνδεσης, δεν υπάρχει επαναχρησιμοποιήσιμο διαπιστευτήριο προς κλοπή.
Εφαρμόστε Identity–Centric Zero Trust: Τα σχήματα ασφάλειας πρέπει να αντιμετωπίζουν κάθε προσπάθεια ταυτοποίησης με σκεπτικισμό και να συνδυάζουν το Endpoint Detection and Response (EDR) με το Identity Threat Detection and Response (ITDR) για να συσχετίσουν ανωμαλίες συμπεριφοράς και στα δύο περιβάλλοντα.
Ελέγξτε το AI Browser Vector: Τα παραδοσιακά εργαλεία Data Loss Prevention (DLP) που παρακολουθούν τις μεταφορές αρχείων είναι ξεπερασμένα αν ένας υπάλληλος απλώς πατήσει “Ctrl+V” στο ChatGPT. Οι επιχειρήσεις πρέπει να υιοθετήσουν enterprise browsers ή επεκτάσεις ασφάλειας περιηγητή για να παρακολουθούν, να διακυβερνούν και να μπλοκάρουν τα ευαίσθητα δεδομένα από το να επικολλώνται σε μη εξουσιοδοτημένα GenAI chatbots.
Συνεχής Παρακολούθηση Dark Web & Telegram: Η αναμονή για μια ειδοποίηση παραβίασης είναι πολύ αργά. Οι οργανώσεις χρειάζονται συνεχή παρακολούθηση απειλών από threat intelligence για να εντοπίσουν τα διαπιστευτήρια που διαπραγματεύονται προτού οι Initial Access Brokers να τα πουλήσουν σε συνδεδεμένους ransomware.
Οι κωδικοί ασφαλείας ήταν κάποτε τα κλειδιά της φρουράς. Σήμερα, είναι ένα θύμα που διαπραγματεύεται έντονα στο dark web. Καθώς κοιτάμε το μέλλον, το μέλλον της ασφάλειας των επιχειρήσεων βασίζεται στην επαλήθευση της συμπεριφοράς, όχι μόνο μιας σειράς χαρακτήρων.
Πηγή: ot.gr
Πηγή: in.gr
