«Классический фишинг умер. Теперь это не массовый спам, а высокоточная система, которая в реальном времени подстраивает интерфейс под конкретную жертву, используя её же данные из утечек. Защита, построенная на чёрных списках URL и поиске опечаток, больше не работает. Новая атака превращает двухфакторную аутентификацию из щита в оружие, заставляя жертву добровольно отдать ключи от аккаунта. Регуляторные требования по защите периметра бессильны, когда атака идёт не на сервер, а на сознание человека.»
От шаблонного письма к интерактивному диалогу
Классические защиты — URL-фильтры, базы вредоносных ссылок, поиск грамматических ошибок — рассчитаны на массовость. Они отсеивают тысячи одинаковых писем. Новая модель атаки делает каждый инцидент уникальным, что сводит эффективность этих систем к нулю.
Пользователь получает SMS: «Карта ***9999 заблокирована. Для разблокировки: [ссылка]». Последние цифры карты совпадают с реальными. Ссылка ведёт на домен, отличающийся одной буквой или использующий кириллическую homoglyph-замену. Но главное начинается после перехода. Страница не статична. Она уже «знает» часть данных жертвы — имя, маску карты, телефон — и использует это для персонализации. Источником служат старые утечки баз, данные с троянов или информация, собранная через другие фишинговые формы.
Под капотом фейкового сайта: движок на основе ИИ
Это веб-приложение, решающее три задачи: идентификация, сбор данных и убедительная имитация легитимного сервиса.
Генерация контента и подмена контекста
При заходе на сайт скрипты анализируют User-Agent, IP-адрес, язык системы. На основе этого подгружается регионально-специфичный шаблон: для одних покажут номер «поддержки» одного банка, для других — другого. Текст, включая мелкий шрифт в подвале страницы, может генерироваться языковой моделью, что исключает орфографические ошибки — главный маркер ручного фишинга.
Обратная связь в реальном времени
Сайт реагирует на действия, имитируя работу настоящего портала. Пользователь вводит телефон. Сайт показывает индикатор загрузки, «проверяет» номер, а затем сообщает, что SMS с кодом отправлено. В этот момент параллельная система злоумышленника действительно отправляет SMS через свой канал. Жертва видит подтверждение легитимности процесса и без колебаний вводит полученный код, который мгновенно перехватывается.
Обход двухфакторной аутентификации
Это ключевой механизм. Пользователь вводит логин и пароль на фейковом сайте. Данные в реальном времени подставляются в скрипт автовхода в настоящий банковский аккаунт. Срабатывает 2FA — банк отправляет код в SMS. В этот момент фейковый сайт просит: «Для окончательной проверки введите код из SMS». Жертва, ожидающая этот шаг, вводит одноразовый код, который одновременно передаётся злоумышленникам для завершения авторизации. 2FA, считавшаяся панацеей, становится инструментом атаки.
Почему это опасно для бизнеса и регуляторики
С точки зрения 152-ФЗ и проверок ФСТЭК, классические меры защиты периметра (МЭ, СОРМ, СОВ) неэффективны. Атака направлена не на инфраструктуру оператора ПДн, а на его клиентов за её пределами. Формально утечки данных не происходит — клиент сам передаёт учётные данные. Это создаёт регуляторный парадокс: оператор обязан обеспечить безопасность ПДн, но не может контролировать действия пользователя вне своей системы.
Инцидент сложно классифицировать. Это не взлом и не утечка в традиционном понимании, что осложняет процедуру уведомления регулятора и субъектов ПДн. Ответственность смещается в область адекватности мер информирования и обучения.
Как распознать такую атаку
Технические отличия минимальны, поэтому защита строится на анализе контекста и цифровой гигиене.
- Незапланированность действия. Легитимный сервис не будет инициировать через SMS или email действия по «срочной разблокировке» или «подтверждению данных» с переходом по ссылке. Все критические операции происходят только внутри официального приложения или личного кабинета, в который пользователь зашёл самостоятельно, напрямую.
- Анализ доменного имени. Нужно смотреть не только на схожесть, но и на структуру. Фишинговые домены часто используют дефисы, поддомены, замены букв (bank-ru.com вместо bank.ru) или менее распространённые доменные зоны (.online, .site).
- Абсурдность контекста запроса. Запрос одноразового кода из SMS или от приложения-аутентификатора для «проверки на сайте» — всегда мошенничество. Настоящий сервис никогда не запросит этот код нигде, кроме своего собственного интерфейса входа.
Что можно сделать на уровне организации
Для компаний, особенно операторов ПДн, требуется многослойная стратегия, где технологии работают вместе с человеческим фактором.
- Регулярные тренировки с реалистичными симуляциями. Обучение должно включать не лекции, а интерактивные фишинговые тесты, максимально похожие на современные атаки, с последующим детальным разбором ошибок.
- Отказ от ссылок в оперативных сообщениях. Критическую коммуникацию с клиентами нужно переводить в защищённые каналы: push-уведомления в фирменном приложении, сообщения внутри личного кабинета. SMS и email должны содержать только информационные оповещения без гиперссылок.
- Внедрение FIDO2/WebAuthn-ключей для сотрудников. Для доступа к корпоративным системам с ПДн аппаратные ключи безопасности исключают сценарий компрометации через перехват пароля и одноразового кода.
- Мониторинг цифрового пространства. Необходимо использовать сервисы для отслеживания появления доменов-клонов, фишинговых страниц и мошеннических групп в соцсетях, использующих бренд компании.
- Техническая детекция на стороне сервиса. Внедрение анализа аномалий входа: нетипичное местоположение, новый браузер или устройство сразу после ввода пароля на «легитимной» странице. Такое поведение может сигнализировать о работе автоматического скрипта мошенников, использовавшего только что украденные данные.
Эволюция фишинга стирает грань между кибератакой и социальной инженерией. ИИ здесь — лишь инструмент усиления. Конечное решение всё равно принимает человек. Поэтому сегодня главный вектор защиты смещается от сложности паролей к развитию цифровой осознанности, которую невозможно скомпрометировать удалённым скриптом.