AI проти вас: чому фішинг став ще небезпечнішим та як від нього захиститися

Чи перевіряєте ви наявність на сайті протоколу HTTPS? Чи ввімкнули багатофакторну автентифікацію? Чи звертаєте увагу на поле «відправник» перед відкриттям листа?

Фішингові листи стають все більше схожі на реальні. 76% фішинг-атак у світі сьогодні — поліморфні, тобто містять частини згенеровані штучним інтелектом. Кожен лист унікальний, і все менше шансів, що ви чи фільтри компанії їх розпізнають.

Проаналізувавши звіт KnowBe4 Phishing Threat Trends Report, розповім як захистити свій бізнес від фішингу.

Фішингові листи дедалі краще обходять системи захисту

За останнє півріччя 2024 року обсяг фішингових атак у світі зріс на 17,3%. Майже половина листів: 47% успішно обходять фільтри Microsoft 365 і захисні шлюзи (SEG). Тобто традиційні фільтри компаній вже не справляються.

Щодо ситуації в Україні, то у 2024 році кількість кібератак збільшилася на 68,3% в порівнянні з попереднім роком. Фішинг — серед найбільш поширених видів атак.

AI‑фішинг і поліморфні атаки стали нормою

Відповідно до звіту KnowBe4, в 2024 році 73,8% всіх проаналізованих фішингових листів були поліморфними. Тобто містили елементи, згенеровані AI. Це робить атаки більш персоналізованими і майже невидимими для стандартних алгоритмів.

У даркнеті з’явилися інструменти на кшталт WormGPT та FraudGPT, які можуть швидко та без обмежень створювати фішингові листи, підроблені вебсайти чи навіть код для зламу систем.

ШІ збирає дані з соцмереж і відкритих джерел, персоналізує листи, додаючи реалістичні деталі для підвищення довіри. Він здатен за лічені секунди генерувати сотні унікальних атак, які обходять традиційні фільтри.

Як AI працює в дії: реальний кейс

Підписуйтеся на наші соцмережі

Цікаве дослідження провели фахівці компанії IBM.

Задача для ChatGPT була проста: створити персоналізований фішинговий лист, аналізуючи всю відкриту інформацію про компанію Glassdoor. AI написав переконливий, логічно побудований лист з потрібними “гачками” і витратив на це 5 хвилин.

Для порівняння команда IBM витратила 16 годин. Досліджували соцмережі, LinkedIn, Glassdoor, новини компанії, знайшли особу, відповідальну за нову оздоровчу програму, і від її імені надіслали лист із запрошенням пройти опитування.

В результаті люди перемогли, але з мінімальним відривом. Лист, створений ChatGPT, отримав 11% кліків, а людський — 14%. Проте різниця в затраченому часі величезна. AI швидко розвивається, тому цікаво які результати аналогічного тесту будуть за декілька місяців.

Якщо говорити з досвіду нашої команди з безпеки, то такого роду “розумних” та персоналізованих листів ми не зустрічали. Наша система фіксує фішинги, що створені завдяки AI, але як правило їх менше 5%. Поки вони банальні, і вже з перших секунд зрозуміло, що це фішинг. Але ми не знаємо як ситуація зміниться за півроку або рік.

Ransomware повертається через фішинг

Нова тенденція — частіше використання зловмисниками шкідливих програм. Ransomware (розповсюдження шкідливого ПЗ у листах) у фішингу за півроку зріс на 22,6%, а за останні три місяці 2024 року — на 57,5%. Середній розмір шкідливих вкладень збільшився з 573 КБ до 735 КБ — файли стають «важчими» через багатошарову обфускацію (заплутування програмного коду).

Кого в компаніях атакують найбільше

Інженери стали головною ціллю фішингових атак у 2024 році. Понад 64% атак у доступі до корпоративних мереж націлені на них. Далі йдуть фінансисти (12%), HR (10%) та IT‑фахівці (10%). Крім того, атаки через зламані акаунти постачальників і партнерів зросли на 57,9%.

Навчання співробітників як основний інструмент боротьби із фішингом

Навчання з кібербезпеки – один із найефективніших способів захисту від фішингу. Без нього фішинговий лист відкривають у середньому 33% співробітників. Але компанії, які проводять тренінги та моделюють атаки, вже за три місяці знижують цей показник до 20%, а через рік регулярного навчання – до 5%.

Найвразливішою ланкою в компанії стають новачки. 71% помилок відбуваються у перші три місяці роботи. Це значить, що тренінги з кібергігієни мають бути частиною onboarding‑процесу.

У GIGAGROUP ми також проводили фішинг кампанію. Ми підібрали співробітника, якого знають та довіряють більшість людей в групі компаній, підібрали вдалий тригер та розіслали лист на співробітників.

 30% співробітників клікнули на посилання та 10% з них ввели дані. До запровадження навчань із соціальної інженерії даний показник був вищий.

Як захиститися від фішингу бізнесу

1. Перевіряйте кожен лист на “дрібні невідповідності”

AI‑фішинг ідеально пише текст, проте помиляється у деталях: неправильна посада, дивна підписка, неточності в датах чи назвах відділів. Сумніваєтесь – телефонуйте відправнику напряму.

2. Не клікайте на посилання одразу

Наведіть курсор і подивіться повну адресу URL. AI‑генеровані листи часто використовують підроблені домени, схожі на справжні (наприклад, micros0ft‑secure.com).

3. Використовуйте багаторівневу перевірку автентичності

AI‑фішинг легко обходить класичні фільтри. Додайте системи DMARC, DKIM та SPF для захисту корпоративної пошти.

4. Регулярно оновлюйте Security Awareness Training (SAT)

Навчайте команду розпізнавати нові патерни AI‑фішингу. Симулюйте сучасні атаки, а не старі “листи від банку з помилками”.

5. Автоматизуйте моніторинг аномалій

Використовуйте EDR (системи виявлення загроз на кінцевих точках) або SIEM‑рішення, які аналізують поведінку акаунтів і листів. AI‑фішинг часто запускає підозрілі дії після кліку – виявити це в реальному часі критично важливо.