Фишинг в 2025 году: как искусственный интеллект превратил email в оружие / forpes.ru

Главная
Фишинг в 2025 году: как искусственный интеллект превратил email в оружие

Фишинг в 2025 году: как искусственный интеллект превратил email в оружие +2

12.12.2025 12:00

MnsDev 0 3000 Источник

Когда письмо стоит 4 миллиона $

Помните смешные письма от нигерийских принцев? Времена изменились. В 2025 году фишинг превратился из примитивного мошенничества в отдельную индустрию, которая по уровню организации не уступает легальному бизнесу.

Сколько стоит фишинг

По официальным данным, среди американских компаний средняя стоимость одного успешного взлома через фишинг сейчас составляет $4,88 миллиона для компании. В то время, как мошенникам такая атака стоит около 500$

Откуда такие суммы?
Всё начинается с обнаружения проблемы.
Компания тратит в среднем $1,47 миллиона только на то, чтобы понять, что произошло. Проводит форензику, аудит безопасности, привлечение экспертов, управление кризисом.

Затем идут потери бизнеса на $1,38 миллиона. Это простои систем, клиенты уходят к конкурентам, репутационные потери. И наконец, ещё $1,2 миллиона на уходят работу с последствиями.

Почту России оштрафовали за утечку 26 млн пользовательских данных. ..на 150 тыс. рублей
Анонсы статей и новости об айти в нашем Telegram

Фишинг как точка входа для ransomware

Также фишинг стал главными воротами для программ-вымогателей. 54% всех заражений ransomware начинаются именно с фишинго��ого письма.

Сотрудник открывает вложение или переходит по ссылке, затем хакеры получают доступ к системе и раскручиваются дальше. И вот уже компания зашифрована и получает требование о выкупе.

В 2025 году ransomware присутствует в 44% всех взломов, это рост с 32% за предыдущий год. 94% всего malware доставляется через email-вложения, и это остаётся самым популярным вектором атаки.

Как устроен фишинг в 2025

Не письмами едины

Конечно фродеры уже давно не ограничиваются одними письмами. Около 40% фишинговых кампаний теперь используют несколько платформ одновременно. Атака может начаться с email, продолжиться в Slack или Телемосте, а закончиться звонком по телефону.

Вишинг, то есть голосовой фишинг, стал серьёзной проблемой. 30% организаций сообщили о попытках вишинга за последний год, это рост на 15%. Технология дипфейков позволяет клонировать голос любого человека, имея всего несколько секунд записи. Представьте, что вам звонит ваш CEO (точнее, его голос) и просит срочно решить какой-то вопрос. По данным Cisco Talos, в первом квартале 2025 года вишинг стал самым распространённым типом фишинга, на него приходится более 60% всех обращений в службы реагирования.

Кишинг, или фишинг через QR-коды, вырос на 331% за год по данным Cofense. Люди привыкли доверять QR-кодам, их сканируют не задумываясь. Злоумышленники этим пользуются. Код же ведет на поддельную страницу входа, загружает вредоносное приложение на смартфон или инициировать платёж.

Смишинг (фишинг через SMS) тоже не теряет популярности. Люди больше доверяют текстовым сообщениям, чем email. Когда приходит SMS якобы от банка или службы доставки, многие переходят по ссылке, не проверяя отправителя.

Кого атакуют чаще всего

Анализ данных из разных источников показывает, что некоторые отрасли атакуют гораздо чаще других. На первом месте финансовый сектор и страхование. Здесь и наибольшее количество атак, и самая высокая уязвимость сотрудников. Производство на втором месте, во многом из-за того, что в этой сфере киберграмотность персонала традиционно ниже.

Нефтегазовая отрасль и добыча полезных ископаемых привлекают хакеров ценностью данных и критичностью инфраструктуры. Успешная атака может не только привести к утечке конфиденциальной информации, но и нарушить производственные процессы.

Здравоохранение остаётся постоянной мишенью. Медицинские данные стоят дорого на чёрном рынке, а больницы и клиники часто не могут позволить себе долгие простои и быстрее соглашаются платить выкуп.

Ритейл атакуют из-за огромных объёмов платёжных данных. Одна успешная атака на крупную розничную сеть может скомпрометировать миллионы кредитных карт.

Внутри компаний тоже есть различия. Юристы, финансисты и IT-специалисты лучше защищены от фишинга. Они чаще проходят тренинги и в целом более осторожны. А вот отделы коммуникаций, продаж и бизнес-девелопмента показывают на 40% больше провалов. Эти сотрудники постоянно общаются с внешним миром, получают много писем от незнакомых людей, и у них просто выше вероятность пропустить подвох.

Как фишинг маскируется

Вот, бывало у вас например такое, что в Steam к вам добавляется в друзья какой-то очень-дружелюбный китаец? А затем, спустя пару дней, скидывает ссылку на некий «подарок», оставленный будто по-случайности.

Буквально недавно случилось то же самое и со мной. Давайте как он может замаскировать типовую атаку на обычного клиента.

Маскировка домена

Большая часть доменов используют т.н punycode для регистрации и маскировки под другой домен. Это значит, что они используют другой язык (помимо латиницы) для регистрации (например, меняют русский символы под русские), и при трансляции ссылка выглядит идентично, в то время как на самом деле является поддельной.

Например,
telegram.org -> telegrаm.org (заменена a на русскую)
и так далее.

Часто также меняют похожие символы: например, малую L на большую i; получается что-то вроде
telegram.org -> teIegram.org (l -> i)

Чаще всего такое работает с непопулярными доменами, т.к их проще зарегистрировать.

Браузер-в-браузере

В вышеописанной ситуации чаще всего генерируется ссылка, заходя на которую открывается, на первый взгляд, легитимное окно. При нажатии на кнопку логина же всплывает Oauth-окошко, в котором вам предлагают ввести свои учетные данные.

Выглядит это примерно так:

Вот здесь и кроется ловушка - скорее всего, это окно - поддельное. Да. Мошенники буквально встраивают в страницу «эмулятор» браузера, который по сути является просто HTML-элементом на странице.

Другие методы маскировки домена

Часто также домены маскируют под названия других продуктов компании. Например, вместо vk.com/calls могут прислать ссылку на vkcalls.me, и т.п

Тут побольше примеров надо бы добавить #TODO

Психологическая ловушка

Как бы то ни было банально, фродеры действительно подстраиваются под каждую цель, которую пытаются зафишить. Условно, вот вы геймер, такой прошаренный-гик, который ни за что ни один фиш не откроет. Следите за новыми играми, участвуете в бетатестах, ...
И вот вам приходит приходит сообщение от вашего друга:

Действительно ли здесь фиш?
А на почту вам падает следующее письмо:

Вы, можете, конечно, с пеной у рта доказывать, что никогда бы не повелись на такое, однако бОльшая часть геймеров бы с удовольствием нажала на ссылку - ведь не каждый день ее приглашают в бету невышедшего ААА-хита. И получили бы там пикрелейтед.

ИИ в фишинге

Самое большое изменение последних двух лет случилось, когда хакеры получили доступ к ChatGPT и другим большим языковым моделям. Теперь ИИшка сама сгенерирует им и письмо, и текст, и сверстает красиво.

5 минут для генерации письма

IBM недавно проводила исследование, показывающее впечатляющую разницу в производительности. Команда экспертов по безопасности потратила 16 часов на создание одной фишинговой кампании. Искусственный интеллект справился с той же задачей за 5 минут, используя всего 5 текстовых запросов.

Фродер легко может использовать ИИ для генерации сайта, придумывания легенды и конспирации (например, маскировать свой стиль речи в письме)

Интересный факт: по данным KnowBe4, уже 82,6% всех фишинговых писем содержат текст, сгенерированный искусственным интеллектом.

Но тут есть нюанс. Это цифра показывает, сколько вредоносных писем создаётся. Большая часть этого спама всё ещё отсеивается корпоративными фильтрами. Анализ 386 тысяч писем, которые успешно обошли защиту и попали в почтовые ящики пользователей, показал, что только от 0,7% до 4,7% были точно написаны ИИ.

¯\(ツ)/¯

Когда ИИ обогнал людей

Компания Hoxhunt проводила эксперимент, где ИИ-агент конкурирует с профессиональной командой хакеров в создании фишинговых писем. В 2023 году искусственный интеллект был на 31% менее эффективен, чем люди. К марту 2025 года ситуация полностью перевернулась. ИИ стал на 24% эффективнее в обмане пользователей, чем опытные эксперты.

Защита тренируется на вчерашних атаках, а завтрашние угрозы будут на порядок сложнее. И что самое опасное, барьер входа для киберпреступников снизился почти до нуля. Раньше нужны были технические навыки и знание языка. Теперь достаточно умения правильно формулировать запросы к ChatGPT.

Supply-chain атаки через фишинг

Отдельная тема - фишинг на supply-chain компании и их пользователей.

От письма к доступу в XX компаний

Представим такую ситуацию. Сотрудник IT-отдела получает убедительное письмо якобы от облачного провайдера. Он переходит по ссылке, вводит свои учётные данные на поддельной странице. Теперь у хакеров есть доступ к административной панели, где они могут создавать новые учётные записи, изменять права доступа, устанавливать бэкдоры.

Особенно опасны такие атаки на поставщиков услуг и разработчиков ПО. Ведь после компрометации компании, которая предоставляет сервисы другим организациям, эффект распространяется по цепочке.

Показательным примером можно считать взлом одного из разработчиков XZ-Utils, который привел к бекдору в OpenSSH не так давно.

Как защищаться

Лучшая защита от таких атак, это ограничение потенциального ущерба. Принцип наи��еньших привилегий означает, что даже если учётная запись скомпрометирована, злоумышленник получает доступ только к тому минимуму, который был необходим этому сотруднику для работы.

Да-да, очевидная мысля: не нужно давать всем права администратора. Нельзя одной учётной записи предоставлять доступ ко всем критическим системам одновременно.

Сегментация сети, раздельные учётные записи для разных уровней доступа, обязательное подтверждение критических операций через отдельный канал. Всё это усложняет жизнь хакерам и даёт время на обнаружение атаки до того, как она перерастёт в полномасштабную компрометацию инфраструктуры.

Технологический периметр

На техническом уровне обязательны SPF, DKIM и DMARC с жёсткой политикой. Статистика показывает, что 99% организаций, правильно настроивших DMARC, блокируют 90% попыток спуфинга. Современные email-фильтры с искусственным интеллектом умеют находить аномалии и обнаруживать атаки нулевого дня, которых ещё нет в базах сигнатур.

Все вложения и ссылки должны проверяться в sandbox-среде перед тем, как попасть к пользователю. Это создаёт изолированное пространство, где можно безопасно открыть подозрительный файл и посмотреть, что он делает.

На устройствах конечно нужны EDR системы с AI-анализом. Они мониторят поведение приложений в реальном времени и могут остановить атаку даже после того, как вредонос попал в систему.

Тренинги

Поговорим о главном источнике проблем - человеке.

Без тренингов статистика выглядит устрашающе. Только 7% сотрудников сообщают о подозрительных письмах. 20% кликают на вредоносные ссылки. 11% вообще открывают все вложения в письмах. :)

При ежемесячных тренингах ситуация совсем иная.

Та же Foxhunt собрала данные, и согласно им после адаптивного тренинга успешное распознавание угроз достигает 60-74%.

В финансовом секторе этот показатель самый высокий. Частота кликов на вредоносные ссылки падает до 2-3%, это снижение в 5,5 раза. Но самое важное: 64% сотрудников начинают сообщать о реальных фишинговых атаках, не только о тренировочных симуляциях.

Для той же организации в тысячу человек количество вредоносных действий снижается с 466 до 74,6 в год. Это сокращение на 86%.

Что главное в обучении

Самое главное - тренинг должен быть адаптивным. Сложность симуляций растёт по мере того, как растут навыки п��льзователя.

Также важна и персонализация под отделы, регионы и роли. Финансист и менеджер по продажам получают разные письма, потому что настоящие атаки на них тоже будут разными.

Самое главно - реалистичность. Симуляции должны быть основаны на реальных атаках, которые происходят прямо сейчас. Лучше всего - нанимать отдельную outsource команду пентестеров, которая занимается Red Team.

Ну и самое важное - частота. Тренинг раз в год не создаёт устойчивого навыка. Нужны регулярные проверки, чтобы держать сотрудников в тонусе.

Учите также проверять домен на принадлежность: делать проверки whois, если необходимо и проверять, когда домен был зарегистрирован.

Почему они не всегда работают?

Фродеры развиваются каждый день. Теперь атаки производятся не только с подменой номера телефона/почты, но в том числе и с подменой голоса,

Про развитие дипфэйков в этой связи и говорить не приходится. Вам буквально могут прислать ссылку на «Телемост», на встрече в котором вы будете говорить с 1-в-1 настоящим коллегой.

Делайте выводы

Данные 2025 года абсолютно однозначны. Фишинг больше не просто IT-проблема, с которой должны разбираться технари, а скорее бизнес-риск, который напрямую влияет на финансовую устойчивость и репутацию компании.

Организации, внедрившие многоуровневую защиту с технологическими барьерами и поведенческим тренингом персонала, сокращают успешные атаки на 86%. Остальные остаются в зоне риска.