Уявіть: ранок, чашка кави — і раптом ви отримуєте листа нібито від вашого керівника з проханням терміново перевести кошти. Текст і стиль — ідеальні, знак підпису — бездоганний, а голос у голосовій ноті змусив вас повірити, що це дійсно він. Так працює сучасний AI‑підсилений фішинг, який перетворює соціальну інженерію на високоавтоматизований бізнес.
 

Як працюють AI‑фішинг атаки

• Масштабне збирання даних: AI «сканує» соцмережі, сайти та публічні звіти, щоб зібрати всі деталі про вас або вашу організацію.

• Тонка персоналізація: листи, SMS чи повідомлення в месенджерах створюються з урахуванням ваших інтересів, посади та стилю спілкування.

• Автоматизація: генерація тисяч унікальних повідомлень за лічені секунди з подальшим аналізом відкриттів та кліків.

• Мультиканальність: окрім email зловмисники активно використовують deepfake‑дзвінки, phishing у соцмережах і навіть SMS.
   
  

Яскраві кейси

1. Deepfake‑дзвінок від CEO
   У 2024 році шахраї змогли записати голосову ноту генерального директора однієї FTSE‑компанії та переконати фінансовий відділ перерахувати $200 000 на «нова банківський рахунок». Голос звучав настільки реалістично, що працівники не засумнівалися у справжності.

2. «Pig Butchering» з AI‑чатботом
   У Південно‑Східній Азії кіберзлочинці розгорнули AI‑чатбота, який підтримував багатогодинні бесіди з «інвесторами», показуючи фейкові графіки доходності та легенди про успішні угоди. Як результат — великі інвестиції, після яких зв’язок обривався.

3. AI проти Red Teams
   Експеримент 2023–2025 років показав: AI‑агент для spear‑phishing перевершив досвідчені “red teams” за показником клікабельності на 55 %, довівши, що автоматизовані атаки стають дедалі ефективнішими.
    
   

Практичні поради для захисту

• Налаштуйте DMARC, SPF і DKIM. Ці механізми допоможуть відфільтровувати підроблені листи на етапі доставки.

• Впровадьте багатофакторну автентифікацію (MFA). Навіть якщо зловмисник отримає пароль, без другого фактора вони не потраплять у систему.

• Використовуйте AI‑рішення для захисту email. Сучасні платформи з UEBA і машинним навчанням виявляють підозрілі патерни в листах.

• Регулярні тренінги з фішингу. Симулюйте атаки різного рівня складності — від email до голосових дзвінків із deepfake.

• Перевірка через другий канал. Будь‑які зміни фінансових реквізитів чи реквізити платників підтверджуйте SMS або телефонним дзвінком на відомий номер.

• Моніторинг бот‑активності. Обмежте можливість невідомих ботів отримувати доступ до критичних систем та API.
   
  

Висновки

AI‑підсилені фішинг та соціальна інженерія — не просто «сценарії з Голлівуду», а реальні загрози, які вже коштують компаніям мільйони доларів. Але комплексний підхід: від технічних налаштувань до регулярного навчання команди — дозволить вам зберегти спокій і захистити свої активи.

Джерела

• Detecting and Preventing AI-Based Phishing Attacks: 2024 Guide, Perception Point 
• AI Phishing Attacks: How Big is the Threat? (+Infographic), Hoxhunt
• AI could empower and proliferate social engineering cyberattacks, World Economic Forum, October 2024 
• Pig Butchering Scams Are Going High Tech, WIRED, April 2024
• Deepfake fraudsters impersonate FTSE chief executives, The Times, October 2024