Фішинг у 2025: як штучний інтелект озброїв кіберзлочинців та що робити бізнесу
Минулого тижня один з найвідоміших популяризаторів науки Ніл Деграсс Тайсон був змушений публічно спростовувати власні слова. Точніше — слова свого дипфейка, який переконливо заявляв про "плоску Землю". "Навіть мої близькі друзі повірили цьому відео", — визнав астрофізик, демонструючи, наскільки небезпечними стали AI-підробки.
Але якщо для Тайсона це питання репутації, то для бізнесу — це питання мільйонів. У 2024 році компанія Arup у Гонконзі втратила $25 мільйонів через відеодзвінок, де всі учасники були deepfake. Фінансовий співробітник бачив CFO, чув його голос, обговорював деталі — і перевів гроші шахраям.
Фішинг у 2025 році більше не схожий на листи з граматичними помилками. Це індустріалізована загроза з AI-генерацією, яка змушує переосмислити всі підходи до безпеки.
AI перевернув правила гри: цифри, які шокують
Якщо ви думаєте, що можете розпізнати фішинговий лист по граматичних помилках та незграбних формулюваннях — для вас погані новини. Згідно з дослідженням KnowBe4, 73.8-82.6% всіх фішинг-листів у 2025 році використовують AI-генерований контент. Серед поліморфних атак — тих, що постійно змінюють свій вигляд — цей показник досягає 90.9%.
Що це означає на практиці? IBM Security продемонстрували вражаючий експеримент: AI створює повноцінну фішинг-кампанію за 5 хвилин, тоді як команді експертів потрібно 16 годин. Ефективність також зросла драматично — AI-генеровані листи досягають 54% показника переходів проти 12% для листів, написаних людиною.
Штучний інтелект не просто пише тексти без помилок. Він аналізує соцмережі для персоналізації, копіює стиль спілкування конкретних людей, автоматично створює тисячі унікальних варіантів для обходу фільтрів. За даними Bright Defense, зростання AI-фішингу склало 1,265% — це не поступове зростання, а вибухова епідемія нового типу загроз.
Три нові техніки, про які ваш IT-відділ може не знати
Quishing: коли QR-код стає зброєю
Пам'ятаєте, як під час пандемії ми всі звикли сканувати QR-коди для меню в ресторанах? Хакери це також пам'ятають. У 2025 році 26 мільйонів американців постраждали від quishing — фішингу через QR-коди, що означає 25% зростання порівняно з минулим роком.
Чому це так небезпечно? По-перше, QR-код неможливо прочитати оком — ви не знаєте, куди він веде, поки не відскануєте. По-друге, скан відбувається на особистому мобільному пристрої, який зазвичай менш захищений, ніж корпоративний комп'ютер. По-третє, URL на маленькому екрані смартфона важко перевірити.
Найпідступніше: за даними Barracuda Networks, хакери винайшли "розділені QR-коди" — коли код поділений на два окремі зображення в листі, які здаються безпечними окремо, але при складанні утворюють шкідливий QR. Це дозволяє обходити навіть сучасні сканери безпеки.
Deepfake Vishing: ваш голос проти вас
Якщо випадок Arup з $25 мільйонів втрат вас не вразив, ось ще статистика: за даними DeepStrike.io, голосовий фішинг з використанням deepfake вибухнув на 1,633% у Q1 2025 порівняно з попереднім кварталом.
Сучасні AI-інструменти можуть клонувати голос людини з лише 3 секунд аудіо. Уявіть: хтось знаходить відео вашого виступу на конференції, витягує аудіодоріжку, і через кілька хвилин може зателефонувати вашому фінансовому директору від вашого імені. За даними European Parliament, 25% користувачів не можуть розпізнати deepfake-голос.|
Найстрашніше — ця технологія інтегрується з Teams, Zoom та корпоративними VoIP-системами. Атака може відбутися в середині робочого дня, під час "звичайного" дзвінка.
ClickFix: коли ви самі запускаєте шкідливий код
За даними InfoSecurity Magazine, ClickFix став другим найпопулярнішим вектором атак після класичного фішингу, демонструючи зростання на 517% за шість місяців. Як це працює? Ви отримуєте лист або бачите повідомлення про "помилку" на сайті. Вам пропонують "швидке виправлення" — скопіювати та виконати команду в PowerShell або терміналі.
Підступність у тому, що жертва сама запускає шкідливий код. Антивірус не реагує, бо це виглядає як легітимна дія користувача. Згідно з даними NetSecurity, техніку почали використовувати state-sponsored актори з Північної Кореї, Ірану та Росії — це вже не просто криміналітет, а інструмент кібервійни.
BEC і PhaaS: індустріалізація кіберзлочину
Пам'ятаєте часи, коли хакером був самотній геній у підвалі? Забудьте. Кіберзлочинність стала індустрією з бізнес-моделями, технічною підтримкою та передплатою.
Business Email Compromise (BEC) — компрометація ділової пошти — завдала збитків у $2.7 мільярда у 2024 році, за даними Hoxhunt. Середня вартість одного BEC-інциденту — $4.89 мільйона. Це вже не "нігерійські принці" — це витончені багатоетапні операції, де зловмисники вклинюються в реальне ділове листування, моніторять розмову та в потрібний момент надсилають повідомлення зі зміненими платіжними реквізитами.
Ще тривожніше — поява Phishing-as-a-Service (PhaaS). За даними Security Brief Australia, 60-70% всіх фішинг-атак у 2025 році використовують PhaaS-платформи. Це subscription-based модель "під ключ": готові шаблони, хостинг, автоматизація розсилки, обхід MFA, навіть служба підтримки для "клієнтів". Вартість? Від $40 за комплект.
Дослідники виявили 17,500+ фішинг-доменів, створених PhaaS-кітами, які таргетують 316 брендів у 74 країнах, за даними The Hacker News. Це означає, що запустити комплексну фішинг-кампанію тепер може будь-хто — не потрібні ні технічні навички, ні великі інвестиції.
Україна: подвійний удар
Для українського бізнесу ситуація особливо складна. За даними CERT-UA, у першій половині 2025 року зафіксовано 3,018 кіберінцидентів — зростання на 17% порівняно з другою половиною 2024 року. Але це не просто статистика — це реальність, де кожен день 10,000-15,000 українців клікають на фішинг-посилання.
Державна служба спецзв'язку України повідомляє, що російські хакери масово використовують AI не лише для генерації фішинг-повідомлень, але й для створення malware. Аналіз показав, що шкідливий код містить чіткі ознаки AI-генерації — машини вже пишуть програми для атак на машини.
Для українського бізнесу це означає подвійну загрозу: з одного боку — глобальний криміналітет, що шукає швидкої наживи, з іншого — цілеспрямовані атаки в рамках гібридної війни, де компрометація корпоративних систем може мати наслідки для національної безпеки.
Що робити: чек-лист для керівника
Погані новини: старі методи захисту більше не працюють. Хороші новини: нові підходи існують і доступні навіть для малого бізнесу.
Три невідкладні технічні рішення:
1. Phishing-resistant MFA — забудьте про SMS-коди. Впроваджуйте FIDO2/WebAuthn (фізичні ключі безпеки або Passkeys). Навіть якщо співробітник введе дані на фішинговому сайті, зловмисник не зможе їх використати. За даними Pro-Networks, 86% компрометацій email відбуваються через обхід традиційної MFA.
2. AI-powered email security — традиційні фільтри шукають "погані слова" та відомі посилання. Сучасні системи на базі AI аналізують контекст, стиль спілкування, аномалії у запитах. Вони виявляють нові атаки, яких ще немає в базах даних.
3. Налаштування SPF, DKIM, DMARC — ці протоколи перевіряють, чи дійсно лист надійшов з домену компанії. Це ускладнює підробку вашого домену та захищає репутацію бренду.
Два процесні заходи, що окупляться одразу:
1. Обов'язкова процедура верифікації для всіх змін платіжних реквізитів та термінових переказів понад певну суму. Правило просте: якщо запит надійшов email або месенджером — дзвоніть за відомим номером та підтверджуйте голосом. При підозрі на deepfake — дзвоніть самостійно та ставте контрольне запитання.
2. Безперервне навчання персоналу з щомісячними симуляціями фішингу. Дослідження показують, що практичні тренування можуть знизити кількість успішних атак на 90%, за даними BrillianceSecurityMagazine. Враховуючи, що середня вартість витоку даних після успішного фішингу становить $4.88 мільйона, інвестиція в регулярне навчання команди виглядає не як витрата, а як страховка, що окупається багаторазово. Один необережний клік співробітника може відчинити двері для атаки, що коштуватиме мільйони — чи не краще витратити кілька тисяч на те, щоб цього кліку не сталося?
Висновок: AI змінив правила — змініть свій підхід
Фішинг у 2025 році — це вже не аматорське шахрайство, а індустріалізована загроза з AI-генерацією, готовою інфраструктурою та державною підтримкою. Google блокує понад 100 мільйонів фішинг-листів щодня, але хакери створюють 3.4 мільярда — хтось проривається.
Традиційні маркери зникли. Граматичні помилки? AI їх виправив. Підозрілі посилання? QR-код їх приховав. Дивний запит? Deepfake-голос CEO його озвучив. Багатофакторна автентифікація? PhaaS-кіти навчилися її обходити.
Питання більше не в тому, чи атакуватимуть вашу компанію. Питання в тому, чи готові ви відбити атаку, коли вона станеться.
MAS Agency пропонує безкоштовний експрес-аудит вашої поточної кіберзахищеності. За 30 хвилин ми визначимо три найбільші вразливості та надамо конкретний план дій. У 2025 році незнання більше не виправдання — інформація доступна. Залишилося лише діяти.
