Фишинг как услуга (PhaaS): ИИ, дипфейки и защита

1. Введение: Фишинг как услуга (Phishing-as-a-Service)#

Фишинг отходит от широких, массовых рассылок по электронной почте в сторону более целенаправленных атак, которые все еще могут проводиться в больших масштабах. Готовые наборы для фишинга теперь позволяют относительно неопытным злоумышленникам достичь уровня эффективности, который раньше ассоциировался в основном с развитыми устойчивыми угрозами (APT) и хакерскими группами, поддерживаемыми государствами.

Последствия этой проблемы усугубляются: исследование 2024 IBM/Ponemon Cost of a Data Breach сообщает, что средний годовой ущерб от инцидентов фишинга увеличился почти на 10 % до 4,88 млн долларов США, что является одним из самых значительных скачков со времен пандемии. В то же время технологии дипфейков открывают новые пути для мошенничества: Right Hand Cybersecurity сообщает о росте активности синтетических медиа на 680 % в годовом исчислении, что позволяет проводить атаки в обход традиционных протоколов проверки. Ежедневно рассылается более 3,4 миллиарда фишинговых электронных писем (около 1,2 % мирового почтового трафика), а Google блокирует около 100 миллионов из них каждый день. Anti-Phishing Working Group зафиксировала 1 003 924 атаки только в первом квартале 2025 года, что является самым высоким показателем с конца 2023 года. Фишинг остается основной причиной реального ущерба, способствуя 36 % утечек данных в США и играя роль в более чем 80 % кибератак. Средняя стоимость утечки составляет 4,88 млн долларов США, потери от компрометации деловой электронной почты достигают 2,7 млрд долларов США ежегодно, а программы-вымогатели (часто инициируемые через фишинг) фигурируют в 44 % утечек.

В этой статье мы рассмотрим наиболее важные аспекты того, как фишинг изменился за последние годы с появлением новых подходов, таких как фишинг как услуга (Phishing-as-a-Service, PhaaS), и использования ИИ. В частности, мы ответим на следующие вопросы:

1. Что такое фишинг как услуга (PhaaS)?

2. Какую роль играет искусственный интеллект в современных фишинговых атаках?

3. Как организации могут защититься от современного фишинга (технические средства контроля, управление человеческими рисками и политика/управление)?

2. Что такое фишинг как услуга (PhaaS)?#

Киберпреступность больше не является уделом опытных хакеров. Распространение модели "фишинг как услуга" (PhaaS) сделало технические навыки гораздо менее необходимыми для проведения успешных атак. Копируя бизнес-модели легальных компаний-разработчиков программного обеспечения — предлагая подписки, поддержку клиентов и регулярные обновления — разработчики-преступники сделали фишинг доступным почти для всех.

2.1 Товаризация доступа к инструментам фишинга#

Рынок PhaaS превратился в многоуровневую экосистему. На начальном уровне начинающие злоумышленники ("скрипт-кидди") могут арендовать доступ к сложной инфраструктуре за небольшую плату, тогда как продвинутые операторы могут приобрести тарифы корпоративного уровня, предлагающие выделенный хостинг и специализированные возможности уклонения.

Эта экономическая структура привела к масштабному всплеску активности. Только за первые два месяца 2025 года было обнаружено более одного миллиона атак на базе PhaaS, что свидетельствует о надежной и растущей базе пользователей этих преступных сервисов. Торговая площадка для этих наборов в основном размещается в Telegram, который служит зашифрованным узлом управления продажами и поддержкой с высокой доступностью.

Анализ самых популярных платформ PhaaS (2025 г.)

Следующий график иллюстрирует подавляющее доминирование Tycoon 2FA на рынке по сравнению с другими игроками в экосистеме:

2.2 Tycoon 2FA: Подробный анализ набора для фишинга#

Tycoon 2FA — это сложная платформа для фишинга как услуги (PhaaS), предназначенная для обхода двухфакторной (2FA) и многофакторной аутентификации (MFA). Она в первую очередь нацелена на учетные записи Microsoft 365 и Gmail, используя технику "Атака через посредника" (Adversary-in-the-Middle, AiTM). К началу 2025 года Tycoon 2FA стала главным игроком на рынке, отвечая почти за 9 из 10 инцидентов фишинга. Ее успех обусловлен способностью оставаться невидимой для современных фильтров безопасности. В крупном обновлении 2025 года разработчики заменили старые тактики продвинутым шифрованием, чтобы скрыть свой вредоносный код.

В частности, теперь они используют "шифр Цезаря" для скремблирования кода и вставляют невидимые символы "Hangul Filler" (Unicode 3164). Эти символы скрыты от пользователя, но служат для запутывания автоматических сканеров, которые ищут цифровые "сигнатуры" известных угроз. Для распространения этих наборов Tycoon использует стратегию "Living off the Land", размещая свои ловушки на надежных сервисах с высокой репутацией, таких как Amazon S3, Canva и Dropbox.

Поскольку шлюзы безопасности электронной почты (Secure Email Gateways, SEG) запрограммированы на доверие к этим известным доменам, фишинговые электронные письма часто полностью обходят фильтры. Наконец, чтобы убедиться, что за ними не наблюдают боты безопасности, злоумышленники направляют пользователей через сложную цепочку перенаправлений и Cloudflare CAPTCHA, прежде чем они когда-либо увидят поддельную страницу входа.

2.3 Механика атаки через посредника (Adversary-in-the-Middle, AiTM)#

Определяющей возможностью современных наборов PhaaS является атака через посредника (Adversary-in-the-Middle, AiTM). Этот метод делает традиционный сбор учетных данных устаревшим, поскольку позволяет перехватывать сессию аутентификации в реальном времени, тем самым обходя многофакторную аутентификацию (MFA).

Архитектура атаки AiTM в корне отличается от сайта-клона.

1. Инициация прокси: Когда жертва обращается к фишинговому URL-адресу, сервер PhaaS (действующий как обратный прокси) инициирует подключение к легитимному поставщику удостоверений (Identity Provider, IdP), например, login.microsoftonline.com.

2. Зеркалирование трафика: Прокси-сервер извлекает легитимный контент для входа в систему и пересылает его жертве. Жертва видит настоящую страницу входа Microsoft, хотя и отображаемую на вредоносном домене.

3. Ретрансляция в реальном времени: Когда жертва вводит свои учетные данные, прокси захватывает их и пересылает в IdP.

4. Перехват MFA: Когда IdP запрашивает второй фактор (например, SMS-код или запрос Authenticator), прокси-сервер зеркалирует этот запрос жертве.

5. Кража сессии: Жертва предоставляет токен MFA. Прокси пересылает его в IdP. IdP проверяет сессию и выдает сессионный файл cookie (например, ESTSAUTH или ESTSAUTH_PERSISTENT).

6. Взлом: Самое главное — прокси перехватывает этот сессионный файл cookie. Он не передает его обратно жертве (или передает копию, оставляя себе оригинал). Теперь у злоумышленника есть действительный, аутентифицированный сессионный файл cookie, который позволяет ему получить доступ к учетной записи жертвы с любого устройства, минуя необходимость в пароле или токене MFA, до тех пор, пока срок действия токена не истечет.

Такие наборы, как Sneaky 2FA, дополнительно усовершенствовали этот процесс, предлагая административные панели, которые позволяют злоумышленникам вручную вмешиваться в сессию, эффективно управляя атакой в реальном времени.

2.4 Инфраструктура провайдеров фишинга как услуги#

Устранение инфраструктуры PhaaS — очень сложная задача из-за ее децентрализованного характера. В то время как основные панели "администратора" могут быть размещены на серверах в юрисдикциях со слабыми законами о кибербезопасности, "пограничные" узлы (сами фишинговые страницы) недолговечны. Tycoon 2FA, например, использует алгоритм генерации доменов (Domain Generation Algorithm, DGA) для создания тысяч одноразовых доменов. Cloudflare Turnstile также блокирует сканеры безопасности и придает фишинговым сайтам официальный вид. Поскольку люди привыкли видеть эти проверки на реальных веб-сайтах, они с большей вероятностью будут доверять странице.

Страницы Tycoon 2FA часто распространяются через "Квишинг" (фишинг по QR-кодам). QR-код содержит вредоносный URL-адрес, эффективно скрывая угрозу от сканеров безопасности электронной почты, которые не могут анализировать данные изображения. Этот вектор показал рост на 25 % по сравнению с прошлым годом, в частности, нацеливаясь на мобильные устройства, которым часто не хватает средств защиты конечных точек корпоративных рабочих станций.

3. Фишинг в эпоху искусственного интеллекта#

Если PhaaS предоставил инфраструктуру для массовой эксплуатации, то искусственный интеллект обеспечил интеллект и контент. Интеграция генеративного ИИ (GenAI) в жизненный цикл киберпреступности решила две главные проблемы для злоумышленников: масштаб и правдоподобность. Времена "плохой грамматики" и "стандартных приветствий", выступающих в качестве надежных индикаторов фишинга, прошли.

3.1 "Vibe Scamming" и вепонизация no-code инструментов#

Значительным событием в 2025 году стало появление "vibe scamming" (мошенничества на основе "вайбов"). Этот тренд эксплуатирует идеал "vibe coding", при котором пользователи создают программное обеспечение с помощью текстовых подсказок на естественном языке, для генерации вредоносных активов.

Легальные платформы, такие как Lovable, созданные для демократизации создания программного обеспечения, стали двигателями киберпреступности. Guardio Labs провела тестирование устойчивости ИИ-агентов к злоупотреблениям и обнаружила, что если устоявшиеся модели, такие как ChatGPT, набрали относительно высокие баллы (8/10) за отказ от выполнения вредоносных запросов, то новые платформы, такие как Lovable, набрали тревожно низкие баллы (1,8/10). Злоумышленники могут просто дать указание этим инструментам, например: "Создай портал для входа в систему, который выглядит как крупный банк, использует официальный синий и красный фирменный стиль и имеет поля для номеров социального страхования", и ИИ генерирует идеальный до пикселя, полностью функциональный фишинговый код.

Эта возможность позволяет злоумышленникам обойти "усталость от шаблонов" старых наборов PhaaS. Вместо использования стандартного шаблона Microsoft, который защитники уже занесли в базу, "вайб-мошенник" может генерировать уникальную, адаптированную страницу входа для каждой отдельной кампании или даже для каждой отдельной жертвы. Proofpoint зафиксировала десятки тысяч URL-адресов, сгенерированных Lovable и распространяющих Tycoon и другие вредоносные программы в начале 2025 года, подтверждая, что это не теоретическая угроза, а массовый, активный вектор.

3.2 Агентный ИИ способствует автономному шпионажу#

Помимо создания контента, ИИ теперь также используется для проведения атак. Этот переход от генеративного ИИ к "агентному ИИ" представляет собой ключевой момент для социальной инженерии:

В конце 2024 года произошел инцидент с участием китайской группы, спонсируемой государством. Этот противник использовал агента "Claude Code" от Anthropic (предназначенного для автоматизированной разработки программного обеспечения) для проведения крупномасштабной кампании кибершпионажа. Обойдя его этические ограничения, злоумышленники смогли поручить ИИ выполнение высокоуровневых задач. ИИ-агент автономно проводил разведку, писал пользовательский код эксплойта для нацеливания на конкретные уязвимости, собирал учетные данные и перемещался по сетям.

Это многократное увеличение сил позволяет небольшой команде операторов атаковать сотни организаций одновременно с глубиной и настойчивостью выделенной команды специалистов.

Эксперименты, проведенные Hoxhunt в период с 2023 по 2025 год, показывают быструю эволюцию возможностей ИИ. Как показано на временной шкале ниже, агенты ИИ пересекли порог человеческой эффективности в начале 2025 года, перейдя от 31 % меньшей эффективности к 24 % большей эффективности, чем у элитных специалистов по социальной инженерии.

Более того, исследования показывают, что кампании целевого фишинга при поддержке ИИ могут достигать показателя кликабельности (CTR) свыше 50 %, по сравнению с гораздо более низкими показателями для стандартных кампаний. Снижение затрат также является весьма драматичным. Кампании, управляемые ИИ, стоят примерно в 30 раз дешевле ручных кампаний, обеспечивая при этом превосходные результаты.

3.3 Практический пример: Дипфейки в "ограблении Arup"#

Одним из наиболее прямых последствий использования ИИ для безопасности является рост числа дипфейков — высокореалистичных, сгенерированных на компьютере аудио и видео. Эти инструменты предназначены для обмана наших чувств, затрудняя людям доверие собственным глазам и ушам при попытке подтвердить личность человека. Кража 25 миллионов долларов США у инжиниринговой фирмы Arup в 2024 году служит окончательным практическим примером для этой новой эры мошенничества.

Инцидент в Arup (ущерб в 25 миллионов долларов США)

• Установка: Сотрудник гонконгского офиса Arup получил электронное письмо якобы от британского финансового директора (CFO) с просьбой провести конфиденциальную финансовую транзакцию. Сотрудник, заподозрив неладное, остановился. Это правильная процедура в стандартной модели осведомленности о безопасности.

• Обход: Чтобы развеять сомнения сотрудника, злоумышленники инициировали видеоконференцию.

• Обман: Сотрудник присоединился к звонку и обнаружил не только финансового директора, но и нескольких других знакомых коллег. Все они были дипфейками — сгенерированными ИИ аватарами, управляемыми технологией клонирования голоса и реконструкции лица в реальном времени. Визуальное и звуковое подтверждение, предоставленное "CFO", а также социальное доказательство со стороны других "коллег" полностью подавили защитные механизмы сотрудника.

• Результат: Убежденный в том, что он действует на основании законных распоряжений, сотрудник авторизовал 15 банковских переводов на общую сумму 200 миллионов гонконгских долларов (25,6 млн долларов США) на мошеннические счета.

Технология дипфейков стала широко доступной. Теневые торговые площадки теперь предлагают "Дипфейк как услугу" всего за 50 долларов США за видео и 30 долларов США за клонирование голоса. Технология продвинулась до поддержки взаимодействия в реальном времени с низкой задержкой, что делает фишинговые звонки в прямом эфире вполне осуществимыми. Количество дипфейк-атак в целях фишинга возросло на 1 633 % только в первом квартале 2025 года.

4. Квишинг (фишинг по QR-кодам)#

Часто оставаясь в тени ИИ, "Квишинг" (фишинг по QR-кодам) рос параллельно, используя пробелы в мобильной безопасности. Количество атак с использованием вредоносных QR-кодов увеличилось на 25 % по сравнению с прошлым годом.

Механика квишинга разработана для обхода корпоративных средств защиты. Как показано в блок-схеме ниже, атака использует "брешь в безопасности", когда пользователь сканирует встроенный QR-код с помощью своего личного устройства, минуя шлюз безопасности электронной почты (SEG) и корпоративную защиту конечных точек до того, как атака выполнится в мобильном браузере.

Злоумышленники все чаще используют ИИ для генерации "художественных" QR-кодов, которые сливаются с маркетинговыми материалами, еще больше снижая подозрительность пользователей.

5. Отраслевой и региональный анализ угроз#

Воздействие этих угроз не является равномерным. Различные сектора сталкиваются с различными вариациями PhaaS и атак на базе ИИ в зависимости от ценности их активов и темпов работы.

5.1 Фишинг как услуга в банковском деле и финансах#

Финансовый сектор остается наиболее атакуемой отраслью, на которую приходится наибольший объем фишинговых атак.

• Порталы VibeScamming: Злоумышленники используют такие инструменты, как Lovable, для создания эфемерных, высокоточных клонов порталов региональных банков для входа в систему. Эти сайты часто живут менее 24 часов, что делает их блокировку неэффективной.

• Мошенничество с верификацией дипфейками: Растущая тенденция связана с использованием злоумышленниками клонирования голоса для прохождения проверки безопасности телефонного банкинга. Имитируя владельца счета, они авторизуют переводы или сбрасывают пароли. Пожилые люди столкнулись с ростом числа вишинговых атак на 40 %, что подчеркивает хищнический характер этих кампаний.

5.2 Фишинг как услуга в здравоохранении#

Для здравоохранения фишинг — это прежде всего вектор первоначального доступа для программ-вымогателей.

• Влияние на стоимость: Средняя стоимость утечки в сфере здравоохранения составляет 9,77 млн долларов США — это самый высокий показатель среди всех отраслей.

• Операционные приманки: Злоумышленники нацеливаются на персонал больниц с помощью приманок, связанных с "Расписанием смен", "Администрированием портала пациентов" или "Обновлениями заработной платы". Специфика клинических условий делает персонал очень восприимчивым к таким операционным приманкам.

• Цепочка поставок: Атаки часто происходят со скомпрометированных учетных записей поставщиков (например, поставщиков медицинского оборудования), используя доверительные отношения для снятия подозрений.

5.3 Фишинг как услуга в розничной торговле и производстве#

Организации производственного сектора столкнулись с наибольшим числом инцидентов с программами-вымогателями в 2024 году, игнорируя глобальную тенденцию к снижению.

• Устаревшие технологии: Производство часто полагается на устаревшие операционные технологии (ОТ) и старые системы Windows, что делает их уязвимыми для известных эксплойтов, как только получен первоначальный доступ через фишинг.

• Кража бренда (Brandjacking): Ритейлеры сталкиваются с "Brandjacking", когда злоумышленники используют ИИ для создания поддельных отзывов о товарах, мошеннических счетов и поддельных уведомлений об отправке (например, "Ваша посылка задерживается") для фишинга потребителей.

• Всплеск в Азиатско-Тихоокеанском регионе: В 2024 году в Азиатско-Тихоокеанском регионе число атак увеличилось на 13 %, что в значительной степени обусловлено атаками на производственные центры, имеющие решающее значение для глобальной цепочки поставок.

6. Стратегическая защита и устойчивость к PhaaS#

Средства защиты последнего десятилетия (обнаружение на основе сигнатур, черные списки и базовое обучение пользователей) оказываются неэффективными против атак на основе ИИ и прокси. Требуется переход к защите, ориентированной на идентификацию (Identity-Centric Defense), и поведенческому анализу.

6.1 Технические средства контроля против фишинга как услуги#

Для решения проблемы фишинга необходимо одновременно работать по нескольким векторам:

1. Многофакторная аутентификация, устойчивая к фишингу#

• Защита: Администраторы должны внедрить Политики условного доступа (Conditional Access Policies), которые блокируют устаревшие методы аутентификации. Если браузер пользователя пытается перейти на поток пароль/SMS, вход должен быть заблокирован.

• Высочайшее шифрование: Ключи доступа FIDO (FIDO Passkeys) предлагают наивысшую защиту, поскольку они физически привязывают учетные данные к устройству, что делает атаки удаленного повтора (remote replay attacks) практически невозможными.

2. Визуальный и поведенческий ИИ:#

• Компьютерное зрение: Инструменты безопасности должны анализировать отрендеренный внешний вид веб-страницы. Даже если код запутан с помощью шифра Цезаря, отрендеренная страница выглядит как окно входа Microsoft. Модели компьютерного зрения могут идентифицировать это визуальное сходство и заблокировать сайт.

• Поведенческие базовые линии (Behavioral Baselines): Такие платформы, как Check Point и Proofpoint, переходят к поведенческим базовым линиям. Они анализируют намерения и контекст электронных писем (например, "Нормально ли, что финансовый директор просит банковский перевод в 11 вечера в воскресенье?"). Аномалии вызывают оповещения независимо от репутации отправителя.

6.2 Управление человеческими рисками (Human Risk Management, HRM)#

• Тренировки по дипфейкам: Обучение по повышению осведомленности о безопасности теперь должно включать демонстрацию аудио- и видеодипфейков. Сотрудникам необходимо ощутить качество этих подделок в безопасной среде, чтобы понять суть угрозы.

• Протокол "Запрос-Ответ" (Challenge-Response): Организации должны внедрить протокол внеполосной (out-of-band) верификации для финансовых транзакций. Если по видеосвязи запрашивается перевод средств, сотрудник должен подтвердить его через вторичный канал (например, защищенное приложение для чата или телефонный звонок на известный внутренний номер).

• Культура информирования: Наиболее эффективным показателем культуры безопасности является уровень информирования. Организации мирового класса достигают уровня информирования выше 20 %. Организации с эффективными программами обучения могут снизить восприимчивость к фишингу на 86 % за один год.

6.3 Политика и управление#

• Раскрытие информации SEC: Новые правила SEC по раскрытию информации о кибербезопасности (форма 8-K) требуют быстрого информирования о существенных инцидентах. Взлом F5 Networks в 2024/2025 году, приписываемый государственному субъекту, подчеркнул сложность таких раскрытий, где Министерство юстиции может запросить отсрочку по соображениям национальной безопасности.

• Директива NIS2: В Европе директива NIS2 предписывает строгие меры по информированию об инцидентах и управлению рисками, вынуждая организации брать на себя ответственность за риски в цепочке поставок, включая те, что связаны с фишингом.

7. Как Corbado может помочь#

Заменяя пароли и MFA на основе OTP на устойчивые к фишингу ключи доступа на базе FIDO (FIDO-based passkeys), Corbado гарантирует, что аутентификация криптографически привязана к устройству пользователя и источнику, делая атаки через посредника (adversary-in-the-middle) и повтор сессии неэффективными. Ключи доступа нельзя повторно использовать, проксировать или эксфильтровать даже с помощью таких сложных наборов PhaaS, как Tycoon 2FA.

Corbado разработан для реальных корпоративных сред: он интегрируется в существующие стеки аутентификации, поддерживает постепенное развертывание и обеспечивает надежную MFA, не создавая неудобств для пользователей. Результатом является измеримо более высокая безопасность, лучшие показатели успешного входа и надежная защита от массового фишинга на основе ИИ.

8. Заключение: Фишинг как услуга#

Траектория развития ландшафта фишинговых угроз указывает на автономную адаптацию. Мы переходим от "автоматизированных" атак к "автономным". Будущие агенты ИИ будут не просто выполнять заранее определенный сценарий; они будут учиться на реакции защитника. Если защитник заблокирует IP, ИИ сменит его. Если защитник исправит уязвимость, ИИ перепишет эксплойт.

В этой статье мы также ответили на следующие ключевые вопросы:

1. Что такое фишинг как услуга (PhaaS)? Фишинг как услуга — это преступная экосистема в стиле SaaS, в которой готовые наборы для фишинга, инфраструктура и поддержка продаются по подписке, что позволяет даже низкоквалифицированным злоумышленникам проводить высокоэффективные масштабные атаки, часто способные обходить MFA с помощью методов атаки через посредника.

2. Какую роль играет искусственный интеллект в современных фишинговых атаках? Искусственный интеллект позволяет масштабировать и адаптировать фишинг, генерируя высокоправдоподобные индивидуальные приманки ("vibe scamming"), поддерживая автономные агентные атаки и обеспечивая мошенничество с дипфейками аудио и видео в реальном времени, которое может обходить проверку человеком и традиционные средства контроля безопасности.

3. Как организации могут защититься от современного фишинга (технические средства контроля, управление человеческими рисками и политика/управление)? Организации должны комбинировать устойчивую к фишингу аппаратную аутентификацию (например, ключи доступа FIDO) и поведенческое/визуальное ИИ-обнаружение с управлением человеческими рисками, такими как осведомленность о дипфейках и протоколы внеполосной верификации, подкрепленными сильным управлением и соблюдением нормативных требований к информированию об инцидентах и рискам цепочки поставок (например, правила SEC и NIS2).

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

Часто задаваемые вопросы#

Что такое "vibe scamming" и почему это угроза корпоративной безопасности?#

"Vibe scamming" (вайб-мошенничество) использует no-code платформы искусственного интеллекта, такие как Lovable, для создания полностью функциональных фишинговых страниц на основе простых текстовых запросов. Guardio Labs обнаружила, что Lovable получил всего 1,8 балла из 10 за отказ от вредоносных запросов, по сравнению с 8/10 у ChatGPT. В начале 2025 года Proofpoint зафиксировала десятки тысяч сгенерированных Lovable фишинговых URL-адресов, распространяющих активное вредоносное ПО.

Как квишинг (Quishing) обходит корпоративные шлюзы безопасности электронной почты?#

Квишинг внедряет вредоносные URL-адреса внутрь изображений QR-кодов в электронных письмах или PDF-файлах, которые шлюзы безопасности электронной почты не могут проанализировать. Жертва сканирует код с помощью личного смартфона, обходя корпоративную защиту конечных точек до того, как фишинговый сайт загрузится в мобильном браузере. Этот вектор атак вырос на 25 % по сравнению с прошлым годом, и его становится все труднее обнаружить.

Что произошло в деле о мошенничестве с дипфейками в Arup, и что это означает для проверки личности?#

В 2024 году злоумышленники убедили сотрудника Arup авторизовать 15 денежных переводов на общую сумму 200 млн гонконгских долларов (25,6 млн долларов США), организовав видеозвонок, в котором финансовый директор и несколько коллег были представлены дипфейками в реальном времени. Этот инцидент показывает, что визуальное и звуковое подтверждение по видеосвязи больше не может служить надежным методом проверки без вторичного канала подтверждения по внеполосной связи.

Почему ключи доступа FIDO более устойчивы к атакам PhaaS, чем SMS или приложения-аутентификаторы для MFA?#

Ключи доступа FIDO криптографически привязаны к конкретному устройству пользователя и легитимному домену-источнику, поэтому обратный прокси в атаке AiTM не может перехватить или воспроизвести их. В отличие от SMS-кодов или токенов OTP, ключи доступа никогда не передают общий секрет, что делает их перехват неэффективным даже для сложных платформ, таких как Tycoon 2FA.

К какому уровню информирования о фишинге должна стремиться организация для оценки сильной культуры безопасности?#

Согласно статье, организации мирового класса достигают уровня информирования о фишинге свыше 20 %. Организации с эффективными программами обучения также могут снизить общую восприимчивость к фишингу на 86 % в течение одного года, что делает культуру информирования опережающим индикатором состояния безопасности наряду с техническими средствами контроля.