Фишинг остаётся одной из самых распространённых киберугроз, несмотря на то, что ему уже более 25 лет. И если раньше злоумышленники рассылали примитивные письма «от банка» с просьбой «проверить аккаунт», сегодня фишинговые атаки стали куда более изощрёнными. Мошенники используют социальную инженерию, дипфейк-технологии и автоматизацию, делая атаки практически неотличимыми от легитимных сообщений. Рассмотрим новые подходы в фишинге и способы защиты.

1. Фишинг через мессенджеры и соцсети

Современные пользователи всё реже проверяют почту, зато активно общаются в мессенджерах и соцсетях. Хакеры быстро подстроились под эту тенденцию.

Пример атаки:

Вам приходит сообщение от «поддержки сервиса» со ссылкой для подтверждения данных. Страница выглядит максимально правдоподобно, но на самом деле создана злоумышленниками.

Как защититься:

– не переходите по ссылкам из сообщений от неизвестных отправителей;
– проверяйте официальный сайт компании или приложение;
– настройте двухфакторную аутентификацию (2FA).

2. Дипфейк-фишинг — атаки с голосом и видео

Deepfake-технологии открыли злоумышленникам новые возможности. Теперь мошенники могут имитировать голос руководителя или коллеги.

Пример атаки:

Бухгалтер получает звонок от «гендиректора» с просьбой срочно перевести деньги партнёрам. В результате компания теряет миллионы рублей.

Как защититься:

– внедрите многоуровневое подтверждение для всех финансовых операций;
– обучите сотрудников проверять необычные запросы через альтернативные каналы связи;
– внедрите политику «нулевого доверия» к устным распоряжениям.

3. QR-фишинг

С ростом популярности QR-кодов появился новый способ атак. Злоумышленники подменяют оригинальный код своим, ведущим на фальшивый сайт или автоматически запускающим вредоносное ПО.

Пример атаки:

На парковке или в кафе размещают поддельный QR-код для оплаты или Wi-Fi-доступа. Пользователь сканирует его и вводит свои данные на мошенническом сайте.

Как защититься:

– используйте официальные приложения для сканирования QR-кодов;
– никогда не вводите личные данные после сканирования без проверки источника.

4. Атаки через фейковые обновления

Злоумышленники создают поддельные страницы обновлений программ или расширений браузеров. Пользователь думает, что устанавливает обновление, а на самом деле скачивает вирус.

Пример атаки:

Появляется всплывающее окно: «Ваша версия браузера устарела — обновите её». После установки система заражается.

Как защититься:

– обновляйте программы только через официальные магазины и сайты разработчиков;
– настройте автоматическое обновление ПО.

5. Фишинг в корпоративной переписке

Компрометация деловой электронной почты – BEC (Business Email Compromise). Хакеры выбирают конкретные компании и сотрудников, изучают переписку, а затем отправляют поддельное письмо, идеально вписанное в контекст общения.

Пример атаки:

Сотрудник получает письмо от «партнёра» с просьбой оплатить счёт. Все детали совпадают — кроме реквизитов.

Как защититься:

– настройте SPF, DKIM и DMARC для защиты корпоративной почты;
– обучайте сотрудников выявлять признаки фишинга;
– проверяйте финансовые транзакции через второй канал связи.

С развитием технологий фишинг вышел на новый уровень: атаки становятся персонализированными и всё труднее распознаваемыми. Главное правило безопасности — осведомлённость сотрудников и многоуровневая защита. Регулярное обучение, современные средства фильтрации почты и строгие внутренние регламенты помогут снизить риск успешной атаки и защитить компанию от финансовых потерь.