Фишинг в 2025: как искусственный интеллект вооружил киберпреступников и что делать бизнесу

На прошлой неделе один из самых известных популяризаторов науки Нил Деграсс Тайсон был вынужден публично опровергать собственные слова. Точнее — слова своего дипфейка, который убедительно заявлял о "плоской Земле". "Даже мои близкие друзья поверили этому видео", — признал астрофизик, демонстрируя, насколько опасными стали AI-подделки.

Но если для Тайсона это вопрос репутации, то для бизнеса — это вопрос миллионов. В 2024 году компания Arup в Гонконге потеряла $25 миллионов через видеозвонок, где все участники были дипфейками. Финансовый сотрудник видел CFO, слышал его голос, обсуждал детали — и перевел деньги мошенникам.

Фишинг в 2025 году больше не похож на письма с грамматическими ошибками. Это индустриализованная угроза с AI-генерацией, которая заставляет переосмыслить все подходы к безопасности.

AI перевернул правила игры: цифры, которые шокируют

Если вы думаете, что можете распознать фишинговое письмо по грамматическим ошибкам и неуклюжим формулировкам — у вас плохие новости. Согласно исследованию KnowBe4, 73.8-82.6% всех фишинг-писем в 2025 году используют AI-генерированный контент. Среди полиморфных атак — тех, которые постоянно меняют свой вид — этот показатель достигает 90.9%.

Что это означает на практике? IBM Security продемонстрировали впечатляющий эксперимент: AI создает полноценную фишинг-кампанию за 5 минут, тогда как команде экспертов требуется 16 часов. Эффективность также выросла драматически — AI-генерированные письма достигают 54% показателя переходов против 12% для писем, написанных человеком.

Искусственный интеллект не просто пишет тексты без ошибок. Он анализирует соцсети для персонализации, копирует стиль общения конкретных людей, автоматически создает тысячи уникальных вариантов для обхода фильтров. По данным Bright Defense, рост AI-фишинга составил 1,265% — это не постепенный рост, а взрывная эпидемия нового типа угроз.

Три новые техники, о которых ваш IT-отдел может не знать

Quishing: когда QR-код становится оружием

Помните, как во время пандемии мы все привыкли сканировать QR-коды для меню в ресторанах? Хакеры это тоже помнят. В 2025 году 26 миллионов американцев пострадали от quishing — фишинга через QR-коды, что означает 25% рост по сравнению с прошлым годом.

Почему это так опасно? Во-первых, QR-код невозможно прочитать глазом — вы не знаете, куда он ведет, пока не отсканируете. Во-вторых, сканирование происходит на личном мобильном устройстве, которое обычно менее защищено, чем корпоративный компьютер. В-третьих, URL на маленьком экране смартфона сложно проверить.

Самое коварное: по данным Barracuda Networks, хакеры изобрели "разделенные QR-коды" — когда код разделен на два отдельных изображения в письме, которые кажутся безопасными по отдельности, но при сложении образуют вредоносный QR. Это позволяет обходить даже современные сканеры безопасности.

Deepfake Vishing: ваш голос против вас

Если случай Arup с $25 миллионами потерь вас не впечатлил, вот еще статистика: по данным DeepStrike.io, голосовой фишинг с использованием дипфейков взорвался на 1,633% в Q1 2025 по сравнению с предыдущим кварталом

Современные AI-инструменты могут клонировать голос человека всего из 3 секунд аудио. Представьте: кто-то находит видео вашего выступления на конференции, извлекает аудиодорожку, и через несколько минут может позвонить вашему финансовому директору от вашего имени. По данным European Parliament, 25% пользователей не могут распознать дипфейк-голос.

Страшнее всего — эта технология интегрируется с Teams, Zoom и корпоративными VoIP-системами. Атака может произойти посреди рабочего дня, во время "обычного" звонка.

ClickFix: когда вы сами запускаете вредоносный код

По данным InfoSecurity Magazine, ClickFix стал вторым по популярности вектором атак после классического фишинга, демонстрируя рост на 517% за шесть месяцев. Как это работает? Вы получаете письмо или видите сообщение об "ошибке" на сайте. Вам предлагают "быстрое исправление" — скопировать и выполнить команду в PowerShell или терминале.

Коварство в том, что жертва сама запускает вредоносный код. Антивирус не реагирует, потому что это выглядит как легитимное действие пользователя. Согласно данным NetSecurity, технику начали использовать state-sponsored акторы из Северной Кореи, Ирана и России — это уже не просто криминал, а инструмент кибервойны.

BEC и PhaaS: индустриализация киберпреступности

Помните времена, когда хакером был одинокий гений в подвале? Забудьте. Киберпреступность стала индустрией с бизнес-моделями, технической поддержкой и подпиской.

Business Email Compromise (BEC) — компрометация деловой почты — нанесла ущерб в $2.7 миллиарда в 2024 году, по данным Hoxhunt. Средняя стоимость одного BEC-инцидента — $4.89 миллиона. Это уже не "нигерийские принцы" — это изощренные многоэтапные операции, где злоумышленники вклиниваются в реальную деловую переписку, мониторят разговор и в нужный момент отправляют сообщение с измененными платежными реквизитами.

Еще тревожнее — появление Phishing-as-a-Service (PhaaS). По данным Security Brief Australia, 60-70% всех фишинг-атак в 2025 году используют PhaaS-платформы. Это subscription-based модель "под ключ": готовые шаблоны, хостинг, автоматизация рассылки, обход MFA, даже служба поддержки для "клиентов". Стоимость? От $40 за комплект.

Исследователи обнаружили 17,500+ фишинг-доменов, созданных PhaaS-китами, которые таргетируют 316 брендов в 74 странах, по данным The Hacker News. Это означает, что запустить комплексную фишинг-кампанию теперь может кто угодно — не нужны ни технические навыки, ни большие инвестиции.

Украина: двойной удар

Для украинского бизнеса ситуация особенно сложна. По данным CERT-UA, в первой половине 2025 года зафиксировано 3,018 киберинцидентов — рост на 17% по сравнению со второй половиной 2024 года. Но это не просто статистика — это реальность, где каждый день 10,000-15,000 украинцев кликают на фишинговые ссылки.

Государственная служба спецсвязи Украины сообщает, что российские хакеры массово используют AI не только для генерации фишинг-сообщений, но и для создания malware. Анализ показал, что вредоносный код содержит четкие признаки AI-генерации — машины уже пишут программы для атак на машины.

Для украинского бизнеса это означает двойную угрозу: с одной стороны — глобальный криминалитет, ищущий быстрой наживы, с другой — целенаправленные атаки в рамках гибридной войны, где компрометация корпоративных систем может иметь последствия для национальной безопасности.

Что делать: чек-лист для руководителя

Плохие новости: старые методы защиты больше не работают. Хорошие новости: новые подходы существуют и доступны даже для малого бизнеса.

Три неотложных технических решения:

1. Phishing-resistant MFA — забудьте об SMS-кодах. Внедряйте FIDO2/WebAuthn (физические ключи безопасности или Passkeys). Даже если сотрудник введет данные на фишинговом сайте, злоумышленник не сможет их использовать. По данным Pro-Networks, 86% компрометаций email происходят через обход традиционной MFA.

2. AI-powered email security — традиционные фильтры ищут "плохие слова" и известные ссылки. Современные системы на базе AI анализируют контекст, стиль общения, аномалии в запросах. Они выявляют новые атаки, которых еще нет в базах данных.

3. Настройка SPF, DKIM, DMARC — эти протоколы проверяют, действительно ли письмо пришло с домена компании. Это усложняет подделку вашего домена и защищает репутацию бренда.

Две процессные меры, которые окупятся сразу:

1. Обязательная процедура верификации для всех изменений платежных реквизитов и срочных переводов свыше определенной суммы. Правило простое: если запрос пришел по email или в мессенджере — звоните по известному номеру и подтверждайте голосом. При подозрении на дипфейк — звоните самостоятельно и задавайте контрольный вопрос.

2. Непрерывное обучение персонала с ежемесячными симуляциями фишинга. Исследования показывают, что практические тренировки могут снизить количество успешных атак на 90%, по данным BrillianceSecurityMagazine. Учитывая, что средняя стоимость утечки данных после успешного фишинга составляет $4.88 миллиона, инвестиция в регулярное обучение команды выглядит не как расход, а как страховка, окупающаяся многократно. Один неосторожный клик сотрудника может открыть двери для атаки стоимостью в миллионы — не лучше ли потратить несколько тысяч на то, чтобы этого клика не произошло?

Заключение: AI изменил правила — измените свой подход

Фишинг в 2025 году — это уже не любительское мошенничество, а индустриализованная угроза с AI-генерацией, готовой инфраструктурой и государственной поддержкой. Google блокирует более 100 миллионов фишинг-писем ежедневно, но хакеры создают 3.4 миллиарда — кто-то прорвется.

Традиционные маркеры исчезли. Грамматические ошибки? AI их исправил. Подозрительные ссылки? QR-код их спрятал. Странный запрос? Дипфейк-голос CEO его озвучил. Многофакторная аутентификация? PhaaS-киты научились ее обходить.

Вопрос больше не в том, атакуют ли вашу компанию. Вопрос в том, готовы ли вы отбить атаку, когда она произойдет.

MAS Agency предлагает бесплатный экспресс-аудит вашей текущей киберзащищенности. За 30 минут мы определим три крупнейшие уязвимости и предоставим конкретный план действий. В 2025 году незнание больше не оправдание — информация доступна. Осталось только действовать.