Фішинг більше не краде паролі. Він викрадає довіру до легітимних механізмів автентифікації

QR-фішинг, ClickFix і Device Code phishing — три тенденції, які визначають майбутнє кіберзлочинності

Ще кілька років тому кібербезпека зводилася до простого правила: не відкривайте підозрілі листи, не переходьте за дивними посиланнями і нікому не повідомляйте пароль. Сьогодні цього вже недостатньо.

Нова хвиля фішингових атак майже не цікавиться вашими паролями. Вона використовує офіційні сервіси, знайомі механізми входу та психологію довіри, щоб людина сама відкрила двері у власний корпоративний акаунт.

Саме тому сучасний фішинг став набагато небезпечнішим. Він більше не виглядає як погано перекладений лист із нігерійською спадщиною чи повідомлення про виграш автомобіля. Навпаки, він виглядає професійно, переконливо і часто використовує абсолютно легітимні сервіси Microsoft, Google або інших великих компаній. Для бізнесу це означає одну просту річ: навіть співробітник, який добре знає правила кібергігієни, може стати жертвою сучасної атаки.

Чому фішинг змінився

Кіберзлочинці завжди йдуть шляхом найменшого опору. Колись достатньо було викрасти пароль. Потім компанії почали впроваджувати двофакторну автентифікацію (MFA), менеджери паролів і сучасні системи захисту електронної пошти. Старі методи стали працювати значно гірше. Тому злочинці змінили тактику.

Замість того щоб боротися із захисними системами, вони почали використовувати їх у власних інтересах. Сьогодні вони не намагаються обдурити комп'ютер, а намагаються переконати людину. І саме людина добровільно підтверджує авторизацію, сканує QR-код або запускає команду, думаючи, що виконує вимоги служби підтримки.

QR-фішинг: коли телефон стає слабкою ланкою

Майже кожен із нас звик сканувати QR-коди.

Меню ресторану.

Оплата паркування.

Квитки.

Банківські застосунки.

Саме тому QR-код викликає набагато більше довіри, ніж звичайне посилання. Цим активно користуються шахраї.

Уявіть ситуацію. Працівник отримує електронний лист від нібито IT-відділу компанії. «Через оновлення політик безпеки відскануйте QR-код для повторної авторизації Microsoft 365.» Людина дістає телефон. Сканує. На смартфоні відкривається сторінка, яка зовні майже не відрізняється від справжньої.

Через кілька секунд обліковий запис уже знаходиться під контролем зловмисників. Особливість QR-фішингу полягає в тому, що він обходить багато традиційних механізмів перевірки електронної пошти. Захисні системи добре аналізують посилання, але значно гірше — зображення із вбудованими QR-кодами. Саме тому цей тип атак стрімко набирає популярності.

Підписуйтеся на наші соцмережі

ClickFix: найнебезпечніша атака, у якій все робить сама жертва

Якщо QR-фішинг використовує довіру до смартфона, то ClickFix використовує довіру до інструкцій.

Уявіть, що ви відкриваєте документ. Замість нього бачите повідомлення: «Для правильного відкриття файлу необхідно виконати кілька дій.» Далі дуже детальна покрокова інструкція. Натиснути Windows + R. Вставити команду. Підтвердити виконання. Все виглядає логічно. Людина впевнена, що усуває технічну проблему. Насправді ж вона власноруч запускає шкідливий код на своєму комп'ютері. Саме це і є головною небезпекою ClickFix.

Антивірус нічого не пропустив.

Хакер нічого не зламав.

Користувач сам виконав всі необхідні дії.

Device Code phishing: коли навіть пароль ніхто не краде

Ця техніка сьогодні вважається однією з найнебезпечніших. Ось чому це так. У цій схемі користувач заходить... на справжній сайт Microsoft. Не на підроблений. Не на фейкову сторінку. Саме тому навіть уважні співробітники часто не бачать жодних ознак шахрайства.

Зловмисник переконує людину ввести спеціальний код підтвердження входу. Після цього користувач проходить звичайну двофакторну автентифікацію. Все виглядає абсолютно легітимно. Але в результаті доступ до корпоративного акаунта отримує не власник, а зловмисник. Парадокс полягає в тому, що пароль ніхто навіть не бачив.

Його не викрали.

Його не підбирали.

Його взагалі не використовували.

Чому штучний інтелект зробив проблему ще серйознішою

Ще кілька років тому фішинговий лист було відносно легко впізнати. Граматичні помилки. Дивний стиль. Незрозумілі формулювання. Сьогодні генеративний штучний інтелект практично прибрав ці ознаки.

Сучасні інструменти можуть за кілька хвилин написати бездоганний лист українською мовою, знайти інформацію про компанію, вивчити стиль спілкування керівника та створити повідомлення, яке виглядатиме абсолютно природно.

Фактично штучний інтелект став персональним помічником не лише для бізнесу, а й для кіберзлочинців. Саме тому кількість успішних атак зростає навіть попри розвиток засобів захисту.

Проблема стосується кожної компанії

Багато керівників досі вважають, що їхній бізнес нецікавий хакерам. Це одна з найнебезпечніших ілюзій. Сучасні фішингові кампанії практично повністю автоматизовані. Їх не створюють під конкретну компанію. Вони працюють масово.

Тисячі листів.

Тисячі QR-кодів.

Тисячі повідомлень.

Злочинці не обирають жертву.

Вони чекають, поки хтось один натисне потрібну кнопку.

І дуже часто цього достатньо, щоб отримати доступ до корпоративної пошти, фінансових документів, CRM-системи або внутрішніх чатів.

Що робити бізнесу

Сучасний фішинг уже неможливо зупинити лише антивірусом або двофакторною автентифікацією.

Потрібен інший підхід.

Регулярне навчання співробітників має враховувати нові сценарії атак, а не лише класичні листи з підозрілими посиланнями. Не менш важливо постійно контролювати підозрілі входи до корпоративних акаунтів, перевіряти нетипові авторизації та швидко реагувати на будь-які ознаки компрометації.

І найголовніше — компанія повинна бути готовою до інциденту ще до того, як він станеться. Адже в сучасному світі питання вже не в тому, чи спробують атакувати вашу організацію. Питання лише в тому, чи встигнете ви виявити атаку до того, як вона перетвориться на фінансові втрати, витік даних або зупинку бізнесу.

Фішинг більше не краде паролі.

Він краде довіру.

А довіра сьогодні стала найціннішою мішенню для кіберзлочинців.

Якщо ви підозрюєте, що компанія вже стала жертвою сучасного фішингу

QR-фішинг, ClickFix або Device Code phishing часто не залишають очевидних слідів. Працівник може навіть не підозрювати, що надав доступ до корпоративного середовища, а зловмисник — непомітно працювати з поштою, документами чи хмарними сервісами ще кілька днів або тижнів.

Саме тому після будь-якої підозри важливо не лише змінити пароль, а й перевірити активні сесії, токени доступу, журнали автентифікації та можливі ознаки прихованої присутності в інфраструктурі.

Фахівці SHERIFF Кібербезпека проводять реагування на кіберінциденти (DFIR), цифрову криміналістику, SOC-моніторинг 24/7 та аудит захищеності компаній, допомагаючи не лише локалізувати атаку, а й встановити її справжні причини та запобігти повторенню.