АІ підвищує ефективність фішингу в 4,5 раза: звіт Microsoft 2025
Світ кібербезпеки переживає одну з найстрімкіших трансформацій, і каталізатором цього процесу є штучний інтелект. Технології, які ще вчора обговорювалися як інструмент майбутнього, сьогодні стали невід'ємною частиною арсеналу кіберзлочинців. Видання The Register опублікувало матеріал, що ґрунтується на ключових висновках Microsoft Digital Defense Report 2025 року. Цей звіт не просто констатує проблему, а надає чіткі кількісні показники та описує кардинальні зміни у методах атак. Ми підготували виклад найважливішого: детальний аналіз того, як ШІ змінив ландшафт загроз, і практичні рекомендації, які допоможуть організаціям та приватним користувачам адаптувати свій захист до нової реальності. Далі ми розберемо, чому старий добрий фішинг перетворився на високоефективну зброю, та які нові вектори атак, наприклад, ClickFix, прийшли на зміну традиційному злому.
Нова ера фішингу: 4,5-кратне зростання клікрейту
Головний, і найбільш тривожний висновок звіту полягає в тому, що використання штучного інтелекту підняло ефективність фішингу на безпрецедентний рівень. Користувачі, які отримують фішинговий електронний лист, автоматизований ШІ, мають у 4,5 раза більшу ймовірність клікнути на шкідливе посилання чи файл, ніж на лист без АІ-допомоги.
Звіт Microsoft демонструє це на цифрах: якщо традиційні фішингові атаки без участі АІ мали середній показник клік-рейту (CTR) близько 12%, то АІ-автоматизовані кампанії досягли вражаючих 54% CTR. Такий стрибок ефективності кардинально змінює економіку кіберзлочинності, адже, за оцінками Microsoft, це потенційно збільшує прибутковість фішингу до 50 разів. Подібна масивна рентабельність інвестицій (ROI) є потужним стимулом для кіберзагрожувачів, які ще не використовують АІ, негайно додати його до свого інструментарію. Це зростання масштабу та ефективності атак названо найбільш значущою зміною у фішингу за останній рік.
Механізми підвищеної ефективності та новий арсенал
Підписуйтеся на наші соцмережі
Секрет успіху АІ криється в його здатності до глибокої персоналізації та локалізації. На відміну від старих, часто граматично некоректних фішингових повідомлень, ШІ дозволяє злочинцям створювати більш таргетовані (цільові) електронні листи, написані бездоганною місцевою мовою жертви, що підвищує довіру, а також використовувати більш правдоподібні «приманки».
Окрім покращення текстових атак, АІ також розширює інструментарій зловмисників новими поверхнями та можливостями:
- Клонування голосу та deepfake-відео для посилення соціальної інженерії в гібридних атаках.
- Експлуатація великих мовних моделей (LLMs), які відкривають абсолютно нові поверхні для експлойту.
Крім фінансово мотивованих криміналістів, АІ активно інтегрують і суб'єкти націй-держав у свої кібероперації впливу. Ця діяльність посилилася за останні шість місяців, роблячи державні зусилля з впливу більш просунутими, масштабованими та цілеспрямованими. Кількісний приріст АІ-згенерованого контенту від урядових груп зріс від нуля у липні 2023 року до приблизно 225 зразків у липні 2024 року.
Зміна парадигми доступу: домінування ClickFix
Однією з найбільш помітних змін, які відзначили експерти Microsoft, є кардинальна зміна підходів до початкового доступу. Тепер злочинці «входять у систему, а не зламують її» (logging in, not breaking in). Це означає відхід від «простого фішингу» до складних, багатоетапних ланцюгів атак, які змішують технічні експлойти, соціальну інженерію, зловживання інфраструктурою та ухилення через легітимні платформи.
Це призвело до домінування нового методу, відомого як ClickFix:
- Суть ClickFix. Метод передбачає запуск шкідливого коду на власних машинах жертв, часто під виглядом легітимних виправлень або системних запитів. Це дозволяє шкідливому ПЗ обійти конвенційні фішингові захисти.
- Статистика. ClickFix став найпоширенішим методом початкового доступу, зафіксованим Microsoft Defender Experts, відповідаючи за 47% атак. Класичний фішинг, для порівняння, використовувався лише у 35% атак, опустившись на друге місце.
- Мета. ClickFix використовується як шлях для доставки інфостілерів, троянів віддаленого доступу, бекдорів та іншого зловмисного програмного забезпечення.
Практичні рекомендації: як захиститися від гібридних атак
Еволюція загроз вимагає перегляду стандартних практик кібербезпеки. Фокус має зміститися з блокування початкових фішингових листів на захист початкового доступу та ідентифікації.
-
1
Посилення захисту ідентифікації (MFA). Оскільки злочинці намагаються саме "входити" в системи, а не зламувати їх, багатофакторна аутентифікація (MFA) стає абсолютно критичною. Впроваджуйте надійні форми MFA, віддаючи перевагу апаратним ключам або біометрії, замість простих кодів через SMS.
-
2
Навчання протидії гібридним схемам. Працівники мають бути навчені розпізнавати не лише візуальні ознаки фішингу, але й багатоетапні схеми. Наприклад, атака може комбінувати email bombing (затоплення поштової скриньки тисячами підписок для маскування важливих листів) з голосовим фішингом та імперсонацією ІТ-підтримки через Microsoft Teams. Команда має знати: аномальна активність + несподіваний запит на віддалений доступ = потенційна загроза.
-
3
Ігнорування "Виправлень". Будь-які запити на виконання "виправлень" чи "патчів" з несподіваних джерел, які маскують малвер під легітимні дії (як у ClickFix), повинні бути перевірені через офіційний канал комунікації IT-відділу.
-
4
Увага до локалізації. Навчіть команду ставити під сумнів навіть ідеально написані, персоналізовані та локалізовані запити, якщо вони вимагають поспішних дій або надання конфіденційних даних. Пам'ятайте, що АІ стер межу між правдоподібним і фейковим.
Ера простого фішингу справді закінчилася. Організації та користувачі повинні усвідомити, що ШІ перетворив кіберзагрози на високоточну та високоприбуткову зброю. Лише постійна адаптація, навчання та технологічне посилення допоможуть утриматися у цій новій гонитві озброєнь.
Цей матеріал підготовлений на основі інформації з відкритих джерел. Редакція самостійно відбирає ключові факти, аналізує їх та структурує за допомогою AI-інструментів.