Эволюция фишинга: как ИИ, мессенджеры и дипфейки меняют схемы обмана

1752
Эволюция фишинга: как ИИ, мессенджеры и дипфейки меняют схемы обмана

Массовые рассылки с типовыми «письмами от службы безопасности» постепенно уходят в прошлое. Их место занимают персонализированные, технологичные и многоканальные атаки.

В этой статье разобрали тенденции и то, как с современным фишингом борется команда BrandSecurity.

Таргетированный фишинг

Акцент смещается с охвата на точность. Персонализированный подход сочетается с ИИ-инструментами: злоумышленники собирают данные о жертве, а нейросети помогают сгенерировать убедительное письмо или сообщение с учетом этих данных.

Набирает популярность схема Fake Boss с дипфейками руководителей. Мошенники имитируют голос или видео с руководителем и обращаются к сотруднику с просьбой о срочном переводе средств или предоставлении доступа.

В попытках обойти системы обнаружения злоумышленники создают индивидуальные фишинговые ссылки для каждой жертвы.

Переход в мессенджеры

Мошенники «ловят на крючок» там, где пользователи проводят больше времени. Появляется огромное количество фишинговых ботов под видом услуг: «помощь с заказом», «проверка подписки», «голосование в конкурсе».

Угон аккаунтов в мессенджерах — самый доходный сегмент. Взломанный аккаунт дает доступ к перепискам, каналам, платежным инструментам и доверию всех контактов владельца.

Фишинг с географической привязкой

Атаки настраиваются под пользователей из определенной страны.

Пример: бренд представлен в СНГ, фишинг таргетирован на аудиторию из конкретной страны. С российского IP на сайте нет ничего подозрительного, и только для целевых пользователей покажется фишинг.

Низкий порог входа из-за ИИ

Фишинговый сайт можно сгенерировать за минуту, начинающим мошенникам больше не нужно разбираться в деталях. В коде фишинговых страниц все чаще находятся ИИ-артефакты — комментарии от нейросети, открытые ключи доступа для ботов и не только.

Почта остается ключевым вектором, но схемы усложняются

Классикой остается эмоциональный триггер с яркой кнопкой. Письмо давит на страх или упущенную выгоду: «Срочно! Ваш аккаунт будет заблокирован», «Успейте получить скидку!».

Теперь такие письма создаются с помощью ИИ — тексты становятся «естественными» и максимально похожими на то, что рассылают реальные компании. Это повышает вероятность того, что получатель попадется на уловку.

Фишинг как инфраструктура

Мошенничество превращается в экосистему с рекламой, вспомогательными каналами и сервисами.

На фишинговые сайты запускаются рекламные кампании через VK, Яндекс и другие платформы.

Сам обман становится многошаговым сценарием со связкой мессенджеров, ботов и поддельных сайтов. Все это создает иллюзию легального сервиса.

Популярная схема: фиктивный счет

Яркий пример персонализированного подхода и высококачественной имитации.

Как работает схема:

1) мошенники создают домен под «брендом поставщика»;

2) обсуждают условия закупки, ведут деловую переписку;

3) выставляют счет;

4) деньги уходят мошенникам.

Как BrandSecurity выявляет фишинг от имени бренда

«Фишинг усложняется, но и мы не стоим на месте. Мы анализируем каждую новую схему и адаптируем систему, чтобы угрозы блокировались на  ранних этапах», — Роман Шамонов, технический директор компании BrandSecurity.

DRP-платформа BrandSecurity Rocket автоматически выявляет фишинг, утечки данных и другие цифровые угрозы. Решение позволяет обнаружить угрозу до того, как атака на бренд станет массовой.

Выявление фишинга без прямого упоминания бренда. Система обнаруживает угрозу даже тогда, когда в названии сайта нет товарного знака.

В этом помогает комплексный анализ:

— генерация предполагаемых фишинговых доменов на основе ранее обнаруженных инцидентов;

— поиск по собственной базе из 300+ млн доменных записей, которая постоянно пополняется;

— мониторинг регистрации новых доменных имен более чем в 1500 доменных зонах;

— мониторинг SSL-сертификатов в режиме реального времени;

— сканирование доменов через внешние исследовательские источники (Urlscan, Censys и аналогичные сервисы) с выявлением связанных ресурсов.

Такой подход позволяет обнаруживать домены еще до запуска фишинговой кампании независимо от канала распространения: таргетированной рекламы, рассылок или мессенджеров.

Поиск инфраструктуры распространения атак. DRP-решение отслеживает всю экосистему:

— мониторинг рекламных размещений в VK, Яндекс и других платформах;

— выявление пригласительных и реферальных ссылок с многоступенчатыми редиректами;

— отслеживание изменений контента на обнаруженных доменах с настраиваемыми триггерами и автоматическими уведомлениями;

— глобальный мониторинг Telegram с использованием внутренних алгоритмов поиска, выявляющих ботов, каналы и группы с модифицированными написаниями брендов;

— анализ deep и dark web-ресурсов;

— мониторинг репозиториев и других источников утечек или подготовки мошеннических кампаний.

Алгоритмы находят объекты, которые невозможно обнаружить вручную — например, намеренно искаженные названия брендов или скрытые цепочки распространения.

Узнать больше о работе DRP →

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Разбор мифа
@Antipov_pipiggi
25
Поезд ушел: почему списывать себя в 25 лет — это просто лень
Исследования ученых ломают схему единого расцвета сил. Единой вершины у мозга вообще нет.
18
скорость
реакции
25
кратко­срочная
память
50
считывать
эмоции
60+
словарный
запас

BrandSecurity

Блог компании BrandSecurity о защите брендов от фишинга, поддельных ресурсов, утечек данных и других онлайн-угроз. Решения компании включают автоматический мониторинг с помощью собственной DRP-платформы, экспертный анализ, блокировку нарушений и правовую защиту.