Фишинг стал опаснее из-за ИИ: мошеннические письма уже сложнее отличить от официальных сообщений

Искусственный интеллект существенно изменил характер фишинговых атак: мошеннические письма, SMS и сообщения в мессенджерах стали более грамотными, быстрее готовятся и значительно больше похожи на настоящую коммуникацию банков, государственных учреждений, служб доставки, маркетплейсов и известных компаний.

Об этом сообщила Анна Довгальская, заместитель Председателя правления Глобус Банка.

По ее словам, фишинг остается одним из самых массовых инструментов финансового мошенничества. Речь идет о поддельных сайтах, ссылках, письмах или сообщениях, которые заставляют человека ввести данные карты, логин и пароль к онлайн-банкингу, одноразовый код или другую конфиденциальную информацию. После этого мошенники могут списать средства, получить доступ к аккаунту или попытаться завладеть финансовым номером телефона.

«Раньше многие фишинговые сообщения можно было распознать по очевидным ошибкам. Теперь эти признаки все чаще исчезают. ИИ позволяет быстро создавать тексты без грамматических ошибок, имитировать официальный тон банка или компании, адаптировать сообщения под конкретную аудиторию и даже делать несколько вариантов одного сценария атаки», — рассказала банкир.

Анна Довгальская отметила, что более 80% проанализированных фишинговых писем уже имеют признаки использования искусственного интеллекта. По данным европейских исследований, этот показатель оценивается в 82,6%. Автоматизация также существенно удешевила подготовку атак — в некоторых случаях до 95% — и сделала их значительно быстрее.

Отдельный риск — персонализированный фишинг. Благодаря открытым данным из социальных сетей, профессиональных профилей, мессенджеров, публичных фотографий, комментариев или упоминаний мошенники могут создавать сообщения, которые выглядят почти как личные. В письме могут упомянуть реальное место работы, имя руководителя, недавнее событие, сервис, которым человек действительно пользуется, или тему, которая для него актуальна.

«Именно такая персонализация резко повышает эффективность мошеннических атак. Если средний уровень кликов по фишинговым ссылкам может составлять около 2,7%, то для более точных AI-атак фиксируются показатели кликабельности до 54%. При большом масштабе даже небольшой процент переходов превращается в огромное количество рискованных действий», — пояснила она.

Эксперт отметила, что чаще всего фишинговые сайты маскируются под страницы банков, государственных программ, служб доставки, благотворительных фондов, онлайн-магазинов или маркетплейсов. Человеку могут предложить «получить выплату», «подтвердить доставку», «проверить счет», «оформить помощь», «забрать выигрыш» или «активировать специальное предложение». После перехода по ссылке пользователь попадает на сайт, который визуально похож на официальный, но создан для кражи данных.

«Не стоит переходить по ссылкам из подозрительных сообщений, даже если они выглядят профессионально. Следует самостоятельно вводить адрес официального сайта в браузере, пользоваться только официальными приложениями из App Store или Google Play, проверять доменный адрес и не доверять похожим написаниям названий брендов, банков или государственных сервисов», — предупредила Анна Довгальская.

Также она подчеркнула, что нельзя вводить данные карты на сайтах, где предлагают нереалистично низкую цену, гарантированный выигрыш, «беспроигрышную» лотерею, слишком выгодную подписку или пробный период, требующий полных платежных данных. Часто такие страницы имеют логотипы известных брендов, отзывы, чат-ботов и имитацию службы поддержки, однако это не является доказательством их подлинности.

«Самое опасное в современном фишинге — это сочетание ссылки с контекстом. Человек видит знакомое имя, правильный тон, логотип, упоминание о реальном событии и вполне естественно может потерять бдительность. ИИ позволяет мошенникам создать иллюзию правды там, где раньше были очевидные ошибки», — резюмировала Анна Довгальская.