Современная кибербезопасность требует не только оперативного реагирования на возникающие угрозы, но и построения проактивной модели, способной выявлять потенциальные инциденты до их реализации. Особенно это актуально для фишинга — одной из самых быстро развивающихся угроз цифрового мира.

Рассмотрим конкретные инструменты, позволяющие определять фишинг нового поколения, и расскажем, насколько он изменился за последние годы, как работает Phishing-as-a-Service и что делать, чтобы защититься от мошенников.

Развитие фишинга

Фишинг давно перестал быть примитивной рассылкой сообщений вида «Скачай бесплатно без регистрации и СМС». В 2025 году злоумышленники действуют тоньше, умнее и изощреннее.

Ключевое изменение — персонализация и интеллект атак. С помощью ИИ злоумышленники создают письма, сайты и ботов в мессенджерах, которые полностью имитируют реальность. Они действуют, как психологи: знают, как надавить, какую тревогу вызвать и какие «триггеры» применить. Разберем несколько примеров из практики и выделим яркие маркеры фишинга:

Жадность/выгода — обещание «дохода», «дивидендов в тот же день».

Подмена легитимности — ссылка на «нормативный акт» и использование известного бренда.

Срочность — «зарегистрироваться сейчас».

Эксклюзивность — «закрытый проект», «ограниченное число клиентов», «приоритетный доступ».

Выгода/жадность — «от 150 тр в месяц».

Страх упущенной выгоды (FOMO) — «раньше рынка», «одним из первых».

Персонализация — письмо обращено к конкретному адресу.

Апелляция к эмоциям/доверие — «скучаю», «нашла контакт» — чтобы сбить бдительность.

Давление ожидания — «Жду твоего письма», заставляет ответить быстро.

Знакомый контекст — вредоносная ссылка замаскирована под привычным форматом.

Сообщения от мошенников могут касаться проблем со здоровьем близких или напоминать уведомления от служб поддержки — отличить их от настоящих часто можно только по домену ссылки. Например, официальный сайт Сбера может иметь адрес sber.ru, а мошенники — s6er.ru, где всего один замененный символ вводит пользователей в заблуждение. При этом содержание сайта может быть полностью скопировано и выглядеть абсолютно так же, как у оригинала. Поэтому важно всегда внимательно проверять домен, чтобы не стать жертвой мошенников.

Современные скамеры используют поведенческие паттерны и пользуются невнимательностью людей. Один из популярных видов фишинга — через QR-коды, которые размещаются на электросамокатах, уличной рекламе или сервисах для аренды велосипедов. В таких случаях жертвы, как правило, сканируют QR-коды с личных мобильных устройств, которые часто не имеют должного уровня защиты, не глядя и не проверяя содержимое. Кроме того, мобильные браузеры обычно отображают только начало URL-адреса, создавая обманчивое чувство безопасности.

Теневая индустрия Phishing-as-a-Service (PhaaS)

К 2025 году в даркнете активно развиваются PhaaS-платформы — сервисы по подписке, предоставляющие фишинговые инструменты. Проникнуть внутрь и получить разрешение на использование подобных сервисов непросто: нужно пройти «собеседование». Среди прочего на нем спрашивают: как давно ты в сфере ИБ, сколько человек «скамил», откуда узнал о конкретной платформе? Если «собеседование» пройдено, начинается месяц «стажировки». Только тогда можно получить доступ к полному функционалу платформы, включая:

●      готовые шаблоны сайтов банков, маркетплейсов, форм оплаты и отслеживания заказов, интерфейсов мессенджеров;

●      панели CMS;

●      метрики, отслеживающие количество переходов и утечек данных.

Стикер, который используют скамеры в своих чатах.

Еще один фактор развития современного фишинга — простота регистрации мошеннических доменов. Если раньше зарегистрировать фишинговый домен было сложно, сегодня для этого существуют специальные сервисы, которые за считаные секунды помогают зарегистрировать домен у абузоустойчивых регистраторов. Обычно это домены третьего уровня, например: telegram.id454354543.ru. По данным на июнь 2024 года, было зарегистрировано около 500 тыс. фишинговых доменов, к середине 2025-го — уже около 600 тыс.

Возникает вопрос, как с этим жить и как настроить инструменты выявления и автоматизированного реагирования так, чтобы они работали эффективно.

Современные технологии против фишинга

Чтобы противостоять все более технологически грамотным мошенникам, требуется применение инструментов автоматизации и ИИ.

Инструменты:

●      BERT — извлекает смысл письма, определяет его интонацию и эмоциональный окрас. Это помогает создать скоринговую модель, оценивающую фишинговую вероятность по атрибутам;

●      NLP — анализирует стиль текста, выделяет отклонения от нормы. Например:
«Отправьте срочно отчеты по этому адресу» — может выглядеть безобидно, но стиль не соответствует внутреннему деловому тону компании, что вызывает подозрение;

●      CatBoost и другие ML-модели — классифицируют письма на фишинговые и безопасные;

●      n8n — система, в которой каждый элемент — это нода в цепочке логики. Она позволяет интегрировать API-источники, назначать шедулеры, автоматически оповещать пользователей;

●      ИИ-дозор. Telegram-бот, Ticket-система, интеграция со сторонними источниками по API (OpenPhish, PhishTank).

Мини-кейс отлова фишинга

В компанию поступило такое письмо.  

Вот его текстовая расшифровка.

Архитектура пайплайна выглядит так:

Она состоит из следующих этапов:

●      IMAP email;

●      Functions (извлечение ссылки);

 ●      IF (проверка на сокращенную ссылку);

●      Parse Headers (DKIM/SPF/DMARC);

●      Code (вывод результата).

Таким образом, мы разоблачили попытку взлома.

Рекомендации

Фишинг перестал быть простой массовой рассылкой — он превратился в персонализированную, технологичную и коммерциализированную индустрию. Ответ на нее — не просто защита, а активное выявление, анализ поведения и автоматическое реагирование.

Для этого нужны:

• современные модели ИИ (ML, n8n, BERT и антифишинг-алгоритмы);

• анализ отклонений в коммуникациях (whoIs, DKIM, SPF, DMARC);

• инструменты автоматизации;

• настройка ИИ-дозора на всех этапах: от входящего сообщения до действия пользователя.