Νεότερες ηλεκτρονικές απάτες (18/09/2025): RaccoonO365, VoidProxy MFA-bypass, SMS «δέματα» & “Boss scam” | Latest Online Scams (2025-09-18): RaccoonO365, VoidProxy MFA-bypass, parcel SMS & the “Boss scam”

Ελληνικά

Τι νέο κυκλοφορεί σήμερα: Η Microsoft κατέσχεσε 338+ domains του δικτύου RaccoonO365, διακόπτοντας ευρείας κλίμακας phishing κατά Microsoft λογαριασμών· παράλληλα, η υπηρεσία VoidProxy (phishing-as-a-service) στοχεύει τόσο Microsoft 365 όσο και Google και μπορεί να παρακάμπτει MFA μέσω υποκλοπής cookies συνεδρίας· καταγράφονται επίσης νέα κύματα SMS smishing που προσποιούνται ταχυδρομικές αρχές/ηγεσία οργανισμών, και αναζωπύρωση του στοχευμένου “boss scam” (στέλεχος ζητά gift cards) ειδικά σε νέους υπαλλήλους.
*Πηγές: Cybersecurity Dive, Reuters, Microsoft Blog*

Πώς να το αναγνωρίσεις

- Ύποπτα domains/TLDs (.xyz, .icu κ.ά.), σελίδες login που «μοιάζουν» με Microsoft/Google. *(TechRadar)*
- Επείγον ύφος για «ανεπιτυχή πληρωμή», «απλήρωτα διόδια/τέλη», «πακέτο σε αναμονή». *(Consumer Advice)*
- Αποστολέας από παραβιασμένο email ή SMS που φαίνεται από ταχυδρομείο/τελωνεία. *(TechRadar)*
- Οδηγίες copy–paste URL στο browser (παράκαμψη φίλτρων). *(Consumer Advice)*
- Αίτημα για gift cards / QR πληρωμές από «CEO/διευθυντή» σε WhatsApp/Telegram. *(Financial Times)*

Πώς να προστατευτείς

- Μην πατάς σε links από απρόσμενα emails/SMS· χρησιμοποίησε σελιδοδείκτες ή την επίσημη εφαρμογή.
- Επαλήθευσε μέσω γνωστού τηλεφώνου/καναλιού της τράπεζας/εταιρείας.
- Χρησιμοποίησε passkeys/FIDO2 ή app-based 2FA· έλεγξε ενεργές συνεδρίες και κάνε sign-out από παντού. *(TechRadar)*
- Αναφορά & μπλοκάρισμα: report phishing στο email client, block στα SMS. *(Consumer Advice)*
- Στο γραφείο: σαφής πολιτική «όχι gift cards μέσω email/SMS», διαδικασίες εγκρίσεων, ενημέρωση onboarding. *(Financial Times)*

---

English

What’s new today: Microsoft seized 338+ domains tied to RaccoonO365, disrupting phishing campaigns against Microsoft accounts; the VoidProxy PhaaS now targets both Microsoft 365 and Google, bypassing MFA via session-cookie theft; fresh parcel/leadership smishing waves are spreading; and a resurgence of the “boss scam” (gift-card requests) is targeting new hires.
*Sources: Cybersecurity Dive, Reuters, Microsoft Blog*

How to recognize it

- Lookalike domains/TLDs (.xyz, .icu, etc.) and fake Microsoft/Google login pages. *(TechRadar)*
- Urgent wording about failed payments, unpaid tolls/fees, or “parcel pending.” *(Consumer Advice)*
- Sender anomalies: spoofed or compromised emails, SMS imitating postal/customs. *(TechRadar)*
- Copy–paste URL instructions (filter evasion tactic). *(Consumer Advice)*
- Gift-card/QR payment requests from a “CEO/manager,” often via WhatsApp/Telegram. *(Financial Times)*

How to protect yourself

- Don’t click links in unexpected emails/SMS; use bookmarks or official apps.
- Verify out-of-band via known phone numbers or official channels.
- Prefer passkeys/FIDO2 or app-based 2FA; review sessions and sign out everywhere. *(TechRadar)*
- Report & block phishing in email clients, block suspicious SMS. *(Consumer Advice)*
- At work: “no gift cards via email/SMS” policy, clear approvals, onboarding awareness. *(Financial Times)*