Возможно, вы уже слышали о таком виде фишинга: обычный осторожный пользователь на мгновение теряет бдительность.
Возможно, жертва была осторожной по натуре, её технически подкованный муж часто предупреждал её о мошенничестве, и в целом она скептически относилась к незапрошенным сообщениям. Однако убедительное текстовое сообщение о неоплаченном штрафе за проезд по платной дороге застало её врасплох.
Сообщение показалось ей обычным, правдоподобным и срочным. Она перешла по ссылке, ввела данные своей кредитной карты на сайте, который выглядел вполне законным, и только потом поняла, что что-то не так.
Но если вы всегда начеку, с вами такого не случится… или всё-таки случится?
Фишинг действительно может случиться с каждым: на него попадаются даже эксперты
Вот где фишинг становится ещё более пугающим. Что происходит, когда жертвой становится не обычный пользователь, а опытный специалист по кибербезопасности? В своём откровенном рассказе известный эксперт по безопасности и писатель признался, что он неоднократно проваливал внутренние симуляции фишинга в своей компании, несмотря на многолетний опыт, обучение и осведомлённость.
Эти неудачи были вызваны не невежеством, а неподходящим моментом, контекстом и человеческой природой. Его вывод был прямым и унизительным: любой! включая экспертов!! может стать жертвой фишинга!!! если он отвлечён, эмоционально вовлечён или действует на автопилоте.
Урок был не о стыде, а о реализме: бдительность — это привычка, а не привилегия.
Фишинг: разберёмся
Фишинг — это атака с использованием социальной инженерии, цель которой — обманом заставить пользователей раскрыть конфиденциальную информацию, такую как учётные данные, платёжные реквизиты и токены доступа. Фишинг может осуществляться по электронной почте, через SMS (смишинг), мессенджеры, голосовые вызовы (вишинг) или даже платформы для совместной работы.
Современный фишинг редко выглядит «явно вредоносным». Вместо этого он имитирует повседневные цифровые взаимодействия: уведомления о доставке, сброс паролей, счета, оплату проезда, обновления в отделе кадров или оповещения о безопасности.
Цель не в технической эксплуатации. Это эксплуатация людей. Злоумышленники не взламывают системы, они убеждают людей открыть им дверь.
Психологический аспект фишинга
Фишинг работает, потому что он нацелен на то, как люди мыслят и реагируют, а не на то, как системы проходят аутентификацию.
-
Чувство срочности — самый мощный рычаг. Сообщения призваны вызывать страх, любопытство или тревогу: ваша учётная запись будет заблокирована, платёж не прошёл, необходимо действовать прямо сейчас. Чувство срочности подавляет рациональный анализ и подталкивает пользователей к быстрым решениям.
-
Переключение контекста не менее важно. Атаки часто происходят, когда пользователи отвлекаются: во время совещаний, поездок на работу, выполнения нескольких задач одновременно или когда они эмоционально напряжены. В такие моменты люди полагаются на распознавание шаблонов, а не на тщательный анализ. Сообщение «выглядит правильным», кажется знакомым и вписывается в ожидаемый рабочий процесс. Обычно этого достаточно.
-
Эмоциональный фактор/окно уязвимости — это часто упускаемый из виду рычаг воздействия. Многие фишинговые атаки намеренно нацелены на людей в эмоционально напряженные моменты: на новых сотрудников, стремящихся произвести впечатление, на работников, испытывающих давление из-за результатов труда, на тех, кто испытывает стресс, волнение или усталость. В таких ситуациях жертвы более сговорчивы, реже ставят под сомнение авторитет и более мотивированы действовать быстро и незаметно. Эта история — классический пример: злоумышленник воспользовался желанием жертвы проявить себя в новой роли, превратив стремление быть полезным и амбициозность в оружие. Эмоциональная вовлечённость сужает границы критического мышления, из-за чего даже очевидные тревожные сигналы остаются незамеченными. Одно поручение превращается в несколько, а суммы растут, пока жертва не потратит более 5000 долларов, только тогда она понимает, что это мошенничество.
Технологический аспект фишинга
Что делает эти истории особенно тревожными, так это то, что они больше не являются аномалиями, а представляют собой предсказуемый результат развития фишинговой экосистемы.
-
Исследователи Flare проанализировали 8627 подпольных и полуподпольных обсуждений, которые показали, что фишинг превратился в зрелую индустрию услуг, где злоумышленники больше не полагаются на грубые фейковые страницы или удачу. Вместо этого они покупают или подписываются на платформы «фишинг как услуга» (PhaaS), созданные для полного обхода современных средств защиты. Более 36 % проанализированного контента отражало реальную угрозу с высокой степенью достоверности, а ещё 20 % указывали на предполагаемые оперативные намерения, что свидетельствует о том, что эти инструменты не являются теоретическими — они активно используются в больших масштабах.
-
Генерация контента с помощью ИИ позволяет злоумышленникам создавать грамматически безупречные, контекстно релевантные сообщения в больших масштабах, адаптированные к языку, географическому положению и даже индивидуальному поведению. PhishGPT — это новый класс фишинговых инструментов на основе ИИ, которые используют генеративные модели для создания персонализированных, контекстно релевантных мошеннических сообщений, делая фишинговые атаки более убедительными, масштабируемыми и сложными для обнаружения пользователями и системами защиты. Эти возможности ИИ позволяют злоумышленникам автоматически создавать персонализированные приманки, адаптироваться в режиме реального времени к ответам жертв и имитировать аутентичные стили общения, что значительно снижает порог для запуска сложных кампаний социальной инженерии.
-
За кулисами скрывается огромная инфраструктура: ротационные домены, защищенный хостинг, прокси-сети, SMS-шлюзы и методы быстрой переадресации, которые позволяют кампаниям оставаться активными и трудноблокируемыми. Самое главное, что фишинг работает как хорошо отлаженная экосистема. Существуют платформы PhaaS, готовые наборы, серверы для сбора учетных данных, каналы монетизации и партнерские программы. Некоторые участники специализируются только на приманках, другие — на инфраструктуре, отмывании денег или перепродаже. То, что раньше требовало навыков, теперь требует только доступа.
-
Пожалуй, больше всего настораживает то, насколько низким стал порог вхождения. Наборы для фишинга теперь продаются «под ключ», вместе с хостингом, обучающими материалами, Telegram-ботами и службой поддержки, что делает сложные атаки доступными для неопытных операторов по всему миру.
Злоумышленники создают, распространяют и даже продают обучающие материалы по фишингу
Фишинг нацелен на людей
Эти истории не о беспечности или глупости. Они напоминают нам о том, что фишинг работает не потому, что пользователи глупы, а потому, что злоумышленники понимают людей, и у них всё чаще появляются технологии, позволяющие масштабировать это понимание.
Неприятная правда проста: если вы человек, то вы — мишень. Цель не в совершенстве. Цель в осознанности, сопротивлении и замедлении ровно настолько, чтобы подумать, прежде чем нажать.