Вступление
Находясь на мероприятии BI.ZONE Day, я слушал доклады и ходил между стендами, думая, чтобы такого спросить, не связанного с продуктами и технологиями компании, чьё было мероприятие. И тут меня привлекла презентация про фишинг, я не мог отказать себе в удовольствии задать несколько вопросов специалистам по фишингу. Тем более тема всегда актуальная и интересная. Поэтому я поговорил с руководителем BI.ZONE AntiFraud Алексеем Лужновым и руководителем BI.ZONE Digital Risk Protection Дмитрием Кирюшкиным. Встречайте интервью Алексея и Дмитрия о том, как ИИ изменил методы фишинга, какие приёмы социальной инженерии до сих пор работают в 2026 году, насколько велик рынок понятия «фишинга как услуги» (Phishing as a Service, PHaaS) и не только. Приятного чтения!
Интервью
Как ИИ (нейросети, дипфейки) изменил методы фишинга в 2026 году?
Алексей Лужнов: В 2026 году ИИ-инструменты заметно повлияли на фишинг. Атаки стали более персонализированными. Если раньше рассылки были типовыми, то теперь злоумышленники создают сообщения под конкретного человека: с учетом его интересов, работы, окружения.
Мошенники все чаще используют дипфейки и подделывают голос, внешность реальных людей, чтобы звучать убедительнее. Это помогает быстрее войти в доверие и повышает шансы на успех атаки. Злоумышленники продумывают сценарии обмана, подбирая то, на что человек с большей вероятностью отреагирует. Чаще всего они выдают себя за близких, которые якобы попали в сложную ситуацию, и просят срочно перевести деньги.
Какие каналы (электронная почта, мессенджеры, соцсети, SMS и телефонные звонки) чаще всего используют злоумышленники для фишинга?
Дмитрий Кирюшкин: Злоумышленники отслеживают пользовательскую активность и задействуют те каналы, которые потенциальные жертвы используют чаще всего. Как правило, это социальные сети и мессенджеры. На этих платформах мошенники создают тематические каналы и чаты, где затем размещают фишинговый контент. Они активно распространяют ссылки на мошеннические ресурсы в комментариях к постам популярных каналов, а также связываются с пользователями через личные сообщения. Чаще всего злоумышленники стремятся получить авторизационные данные от аккаунтов в государственных сервисах или мессенджерах, а также информацию о банковских счетах и другие чувствительные данные жертв.
При этом традиционным способом доставки фишингового контента остается электронная почта. По данным исследования Threat Zone 2026, 64% целевых атак на компании России и других стран СНГ начинаются именно с фишинговых писем. С помощью них атакующие стремятся получить доступ к IT-инфраструктуре организаций: достаточно одного открытого вложения, чтобы злоумышленники могли скомпрометировать устройство и получить доступ к чувствительным данным компании.
Телефонные и видеозвонки позволяют киберпреступникам повлиять на эмоциональное состояние пользователей. Злоумышленники оказывают давление, ограничивают время для принятия решения, чтобы жертва потеряла концентрацию и начала выполнять требования мошенников. Таким образом, шансы на успешный обман увеличиваются.
Какие сектора (финансы, промышленность, медицина, государственные учреждения) оказались наиболее подвержены фишинговым атакам?
Дмитрий Кирюшкин: Примерно с октября 2025 года мы отмечаем, что большинство фишинговых атак нацелено на получение доступа к мессенджерам или личным кабинетам в государственных сервисах. Также мы наблюдаем рост количества атак типа Ghost invoice. Это не совсем типичный фишинг, но близкое к этому виду мошенничество. При такой схеме злоумышленники создают домены, похожие по наименованию на названия ресурсов крупных компаний: чаще всего они связаны с промышленной сферой. От имени этих организаций рассылают предложения потенциальным клиентам. По незнанию они могут оплатить поддельные счета и остаться без денег и без товара. При этом компания, которую имитируют мошенники, потеряет доверие клиентов и репутацию.
Какие приёмы социальной инженерии (фальшивые письма от банков, уведомления от госслужб, лотереи и т.д.) наиболее эффективны в рамках фишинга в 2026 году?
Алексей Лужнов: Одним из самых работающих сценариев остаются фейковые уведомления от банков, налоговых служб, государственных сервисов. Они эффективны потому, что воспринимаются как критически важные сервисы, из-за чего у людей возникает тревога и снижается критичность восприятия. Пользователи склонны быстро реагировать на сообщения о задолженностях, блокировке счетов или штрафах. К тому же такие письма часто приходят в момент, когда жертва уже ожидает уведомления: например, в период оплаты налогов. Бдительность снижается, и возрастает вероятность импульсивного действия.
Большой популярностью все еще пользуется схема Fake Boss, при которой злоумышленники выдают себя за руководителя компании. Сотруднику пишут якобы от имени начальника, предупреждают о предстоящем звонке от правоохранительных органов или регуляторов и просят посодействовать. Затем жертву убеждают под угрозами проверок перевести деньги на «безопасный счет», который контролируют мошенники. В результате под давлением сотрудники совершают переводы или раскрывают конфиденциальную информацию, что приводит к финансовым потерям и рискам для компании.
Как злоумышленники используют новые инструменты (QR-коды, поддельные мобильные приложения, фишинговые сайты) для проведения атак?
Дмитрий Кирюшкин: Мошенники крайне активно используют подобные инструменты для обмана пользователей. Однако некоторые из них постепенно теряют свою популярность. Например, за первый квартал 2026 года обнаружено 12,5 тысяч мошеннических сайтов во всех доменных зонах, включая российскую. За аналогичный период прошлого года таких ресурсов насчитывалось 17,5 тысяч Такая динамика отчасти связана с тем, что регистраторы, хостинг‑провайдеры и команды реагирования оперативно их блокируют. Кроме того, мошенникам все сложнее реализовывать сценарии атак, поскольку общая киберграмотность населения растет из года в год.
При этом мы фиксируем интерес злоумышленников к QR-кодам. Как правило, мошенники размещают их в оживленных местах, где пользователи с большей вероятностью обратят на них внимание. Чаще всего такие QR-коды сопровождаются просьбой перейти на указанный ресурс и оставить данные. Мошенники могут использовать указанную информацию для получения доступа к мессенджерам и сервисам или украсть деньги, если пользователь оставил данные банковской карты.
Злоумышленники также разрабатывают фишинговые мобильные приложения, которые имитируют оригинальные. Они рассчитывают на невнимательность и спешку пользователей при скачивании. После загрузки такое приложение может собирать информацию об устройстве, авторизационные данные от различных приложений и т. Д.
Что известно о развитии «фишинга как сервиса» (Phishing-as-a-Service) и насколько широко он используется преступниками?
Дмитрий Кирюшкин: PhaaS-платформы уже давно превратили создание фишинговых атак в полноценную индустрию. Современные платформы дают мошенникам возможность обхода различных MFA и создания страниц на основе определенного поведения пользователей.
Ранее у PHaaS не было аналогов. С появлением ИИ «качественный» фишинговый контент можно создавать за пару запросов. Связка ИИ и PHaaS-платформы позволяет увеличить скорость, простоту и «качество» создания фишинговых ресурсов, что несет еще больший риск для потенциальных жертв. Однако не стоит забывать, что ИИ также помогает совершенствовать киберзащиту.
Какие технологии защиты (антиспам и антифишинговые решения, двухфакторная аутентификация, обучение пользователей) наиболее актуальны?
Алексей Лужнов: Пользователям рекомендуем придерживаться базовых правил безопасности: обращаться только к официальным и проверенным источникам, а любые подозрительные сообщения и ссылки дополнительно проверять через другие каналы связи. Важно сохранять внимательность: фейковые аудио и видео могут выдать себя деталями — низким качеством записи, неестественной интонацией или странной мимикой. Кроме того, стоит включить двухфакторную аутентификацию с получением кода через специальные приложения.
Организациям стоит инвестировать в решения для выявления дипфейков, использовать защищенные каналы связи и внедрять дополнительные проверки в критических процессах. Например, это принцип «второй руки», когда любую операцию подтверждает доверенное лицо. Важно быстро реагировать на инциденты и регулярно повышать уровень киберграмотности сотрудников.
Какие примеры многоэтапных фишинговых схем («письмо + звонок», цепочки переадресации и т.п.) становятся заметными?
Алексей Лужнов: Мы видим, что мошенники смещают фокус с массовых схем на более сложные и многоэтапные. Такие атаки требуют больше подготовки, но позволяют сохранять высокий уровень прибыли с жертв, поэтому используются все чаще.
Например, один из сценариев выглядит так: жертве поступает «ошибочный» перевод, после чего ее начинают запугивать. Мошенники утверждают, что счет якобы связан с незаконной деятельностью. Под этим давлением человека убеждают перевести деньги на другие счета или вернуть средства наличными через курьера.
Кроме того, распространен метод TOAD (telephone-oriented attack delivery, фишинг с обратным звонком). Злоумышленники заставляют жертву самой выйти с ними на связь, например, через письмо или сообщение с просьбой перезвонить. Благодаря этому обходятся антиспам-фильтры, которые обычно срабатывают при входящем звонке от мошенника, тогда как в таких сценариях инициатива формально исходит от самой жертвы. У человека возникает больше доверия к разговору. Во время такого звонка злоумышленники могут представляться сотрудниками компаний, выманивать логины и пароли или убеждать установить вредоносное приложение. В результате они получают доступ к устройству, аккаунтам жертвы или даже к корпоративным системам.
Злоумышленники часто используют СМС-бомбинг как первый этап более сложного сценария. После серии сообщений жертве звонят якобы из банка или сервиса и предлагают срочно «решить проблему», которая связана с якобы подозрительной операцией. Такие схемы могут применяться при попытках получить доступ к личному кабинету или оформить кредит. Мошенники также могут прислать СМС с просьбой перезвонить. В этом случае жертва сама инициирует контакт, и это снижает подозрения, повышает доверие к собеседнику.
Что известно о теневой экономике фишинга: на сколько велик рынок «фишинга как услуги» и какова его доходность?
Дмитрий Кирюшкин: В российской доменной зоне часть фишинга работает по типу PHaaS. Это можно отследить на примере известной схемы «Мамонт». Есть люди, которые создают целую сеть фишинговых доменов, и есть воркеры, которые распространяют фишинговые ссылки за определенный процент от украденных средств. Порог вхождения очень низкий, для этого не нужно обладать глубокими экспертными знаниями. При этом ущерб от таких схем довольно масштабный: по нашей оценке, за 2025 год мошенники похитили более 18 млрд рублей.
Заключение
Как стало понятно из разговора, фишинг в 2026 году эволюционировал далеко за рамки простых массовых рассылок. Благодаря ИИ, дипфейкам и платформам атаки стали персонализированными, многоэтапными и технологически изощрёнными.
Однако технологии развиваются с обеих сторон. И у защиты есть что ответить: двухфакторная аутентификация, антифишинговые решения и обучение пользователей остаются актуальными, но требуют постоянного обновления подходов.
Ну что же, обычным пользователям и компаниям остаётся только быть настороже, не терять бдительность и помнить: если что‑то выглядит подозрительно — лучше перепроверить через официальные каналы. Спасибо за прочтение!
Автор: Lexx_Nimofff
