Помнишь те старые фишинговые письма? «Дорогой пользователь, ваш аккаунт заблокирован, срочно перейдите по ссылке». Кривой шрифт, логотип банка размытый, текст будто через Google Translate прогнали пять раз. Ты смеялся, удалял и шёл пить чай.
Забудь. В 2026-м фишинг вырос и поменял паспорт. Теперь его зовут AI-Phishing, и он не смешной.
🤖 Что изменил ИИ
Раньше на создание одной убедительной фишинговой кампании уходило 16 часов работы опытной команды. Сейчас ИИ делает то же самое за 5 минут и 5 промптов — это задокументированный эксперимент исследователей IBM.
Результат? Количество фишинговых атак выросло на 1 265% с момента появления массовых генеративных моделей. Каждые 19 секунд где-то в мире приходит новое вредоносное письмо. И эти письма больше не выглядят подозрительно — они выглядят как твой коллега пишет тебе по рабочему делу.
🧬 Три главные мутации фишинга
1. Персонализация через OSINT
Старый фишинг был массовым спамом. Новый — снайперский выстрел.
ИИ собирает данные о тебе по открытым источникам: LinkedIn, ВКонтакте, Telegram-каналы, утечки баз данных, GitHub. За несколько минут строится профиль: где работаешь, с кем общаешься, какие проекты ведёшь, как пишешь письма. Потом генерируется письмо, которое знает твоё имя, твоего начальника, текущий проект и даже привычные тебе обороты речи.
Точка входа: корпоративная почта, LinkedIn, Telegram.
Вектор: письмо от «коллеги» со ссылкой на «общий документ в облаке».
Цель: угнать учётку, получить доступ к корпоративной системе.
2. Дипфейк-голос и видео
В 2025 году финансовый директор одного международного холдинга получил войсмейл — голос CEO, чёткий, без акцента, с привычными интонациями. Потом пришло письмо с подтверждением. Деньги ушли. Потом выяснилось: и голос, и письмо сгенерировал ИИ.
За последнее десятилетие атаки с использованием дипфейков выросли на 1 000%. В 2026-м это уже не экзотика — это стандартный инструментарий продвинутых группировок.
Канал атаки: WhatsApp, Telegram, Zoom, Teams.
Сценарий: CEO звонит в голосовом, просит срочно провести платёж или слить данные.
Лайфхак защиты: в компании должно быть кодовое слово для верификации — без него никаких переводов по звонку.
3. ИИ-чатбот ведёт разговор за тебя
Раньше фишинг был одним письмом. Сейчас это полноценный диалог.
ИИ-бот может общаться с жертвой в переписке часами: отвечать на вопросы, снимать подозрения, имитировать живого человека. Он ждёт нужного момента — и только тогда отправляет ссылку или запрашивает данные. Жертва уже «прогрета», доверие выстроено, психологическая защита снижена.
Вектор: мессенджеры, email, соцсети.
Техника: постепенное выстраивание доверия → запрос на действие.
Признак бота: слишком идеальные ответы, нет пауз, всегда онлайн.
🛡️ Как распознать и не попасться
Классические фильтры на такое не реагируют — у каждого письма уникальный хэш, паттернов нет. Работает только голова и привычки.
Технические маркеры — проверяй всегда:
-
Домен отправителя:
company-secure.ruвместоcompany.ru— классика тайпсквоттинга -
Заголовки письма в почтовом клиенте:
Received:,Reply-To:— часто не совпадают сFrom: -
Ссылка при наведении (не кликать!) — URL не совпадает с текстом ссылки
-
SSL-сертификат сайта: замочек есть, но домен фейковый — замочек не гарантирует честность
Поведенческие маркеры — красные флаги:
-
🚨 Срочность: «Сделай прямо сейчас, иначе аккаунт удалят»
-
🚨 Нестандартный запрос: начальник просит перевести деньги через личную карту
-
🚨 Давление на эмоции: страх, жадность, любопытство — главные триггеры
-
🚨 Запрос данных, которые и так должны быть у отправителя
Инструменты для проверки:
|
1 2 3 4 5 6 7 8 |
# Проверить домен whois phishing-site.ru # Посмотреть заголовки письма (Gmail → Ещё → Показать оригинал) # Искать несоответствие Return-Path и From # Проверить ссылку без перехода curl -I https://suspicious-link.com |
💣 Новый уровень: атака сразу на человека И на ИИ-защиту
Самая дикая мутация 2025–2026 годов — двойной фишинг. В тело письма встраиваются скрытые инструкции для ИИ-фильтров (prompt injection): человек видит обычный текст, а ИИ-антиспам читает «разрешённую» команду и пропускает письмо.
Человек теряет пароли — ИИ теряет способность классифицировать угрозу. Одновременно. Это первое поколение атак, которые бьют сразу в две стороны обороны.
🔐 Что реально работает против ИИ-фишинга
🎯 Домашка
-
Найди своё имя на HaveIBeenPwned (haveibeenpwned.com) — проверь, есть ли твои данные в утечках
-
Попробуй получить заголовки любого письма в своей почте и найди поля
Return-PathиReceived -
Придумай с другом или коллегой кодовое слово для верификации голосовых запросов
Фишинг в 2026-м — это не спам. Это социальная инженерия, автоматизированная до совершенства. WAF тут не поможет: единственный «патч» — это ты сам 🧠🔐
