AI-фішинг: як LLM допомагають зловмисникам писати кращі приманки

Фішинговий лист надходить у вашу поштову скриньку. Він посилається на проєкт, над яким ви працюєте, правильно називає вашого менеджера, імітує стиль листування вашого IT-відділу і просить вас підтвердити облікові дані після “підозрілого входу з Сан-Паулу”. Жодних друкарських помилок. Жодних незграбних фраз. Жодного загального “Шановний клієнте”. Він читається саме як легітимне повідомлення від вашої компанії.

Два роки тому написання цього листа вимагало від зловмисника-людини годин дослідження вашої організації, вашої ролі та ваших комунікаційних патернів. Сьогодні LLM виробляє його за секунди. Подайте кілька профілів LinkedIn та зразок корпоративного листа, і він генерує десятки персоналізованих варіантів, кожен адаптований для іншої цілі, будь-якою мовою.

Ось чому традиційні поради з виявлення фішингу про виявлення граматичних помилок та підозрілого форматування стають ненадійними. Сигнали, на які навчали шукати співробітників, зникають.

AI-фішинг це використання великих мовних моделей та генеративних AI-інструментів для створення, персоналізації та масштабування фішингових атак. Зловмисники використовують LLM для складання переконливого тексту листів, клонування стилів письма, генерації претекстів, адаптованих для конкретних цілей, та перекладу приманок будь-якою мовою без помилок, які раніше слугували сигналами виявлення. Згідно зі звітом Verizon Data Breach Investigations Report 2025, фішинг залишався початковим вектором атаки у 36% зломів. Звіт SlashNext 2025 State of Phishing виявив збільшення AI-згенерованих фішингових повідомлень на 4 151% з моменту публічного випуску ChatGPT, причому AI-створені листи показували показник натискань у 14 разів вищий, ніж традиційний масовий фішинг. Покращення якості не поступове. Це структурний зсув у тому, як працюють фішингові операції, що зменшує навички та час, необхідні для виробництва атак, які проходять як людську перевірку, так і автоматизовані поштові фільтри.

Найбільш безпосередній вплив на якість. До LLM фішингові кампанії поділялися на два рівні. Високозатратний спір-фішинг цілив у конкретних осіб з дослідженими, добре написаними приманками. Масовий фішинг розсилав загальні шаблони тисячам адрес, покладаючись на обсяг, а не якість. LLM ліквідували цей розрив.

Зловмисник з доступом до будь-якої комерційно доступної LLM тепер може виробляти листи якості спір-фішингу в масштабі масового фішингу. Робочий процес виглядає так:

Розвідка. Зловмисник збирає дані з сайту цільової організації, профілів LinkedIn, прес-релізів та вакансій. Це дає імена, ролі, проєкти, термінологію та організаційну структуру.

Побудова промпту. Вони подають цей контекст LLM з інструкціями на кшталт: “Напиши лист від команди IT-безпеки [Компанії] до [Ім’я співробітника], посилаючись на міграцію [Назва проєкту], із запитом верифікації облікових даних. Відповідай корпоративному стилю комунікації. Включи терміновість, але не тиск.”

Генерація варіантів. Той самий промпт генерує унікальні листи для кожного співробітника у відділі. Кожен лист посилається на фактичну роль та проєкти одержувача. Жодні два листи не ідентичні, що перемагає поштові фільтри на основі сигнатур, які шукають дублікатний контент між повідомленнями.

Мовна адаптація. Для транснаціональних цілей зловмисник генерує локалізовані версії. Німецький офіс отримує рідну німецьку. Токійська філія отримує природну японську. Жодних незграбних артефактів машинного перекладу.

Ітерація. Якщо початкові листи не генерують натискань, зловмисник переформульовує промпт і генерує нові варіанти за хвилини. A/B тестування фішингових кампаній стало тривіальним.

Цей робочий процес не вимагає кастомних моделей чи технічної вишуканості. Він працює з готовими LLM, багато з яких мають достатньо слабкі фільтри безпеки для виробництва переконливих претекстів при непрямому промптуванні.

Співробітників роками навчали шукати конкретні індикатори: орфографічні помилки, граматичні помилки, загальні привітання, незграбні фрази, невідповідні домени відправників. Ці сигнали працювали, коли більшість фішингових листів писали не носії мови, використовуючи шаблони.

LLM-згенерований фішинг усуває більшість цих сигналів:

Жодних мовних помилок. LLM виробляють граматично правильний текст будь-якою мовою. Ера “нігерійського принца” з ламаною англійською закінчилась для будь-якого зловмисника з доступом до AI-моделі.

Контекстна точність. При поданні розвідувальних даних LLM посилаються на реальні проєкти, реальних людей та реальні події компанії. Лист не здається таким, що надійшов ззовні організації.

Відповідність стилю. LLM можуть імітувати формальну корпоративну комунікацію, неформальні повідомлення у стилі Slack або технічні IT-сповіщення. Коли зловмисник надає зразки комунікацій, модель відповідає тону, словниковому запасу та структурі достатньо близько, щоб пройти побіжну перевірку.

Унікальний контент. Кожен згенерований лист лінгвістично унікальний. Інструменти безпеки електронної пошти, що покладаються на відповідність патернів між повідомленнями, не позначать їх, бо немає патерну для відповідності. Контент нагадує легітимну ділову комунікацію, а не масову кампанію.

Емоційна калібрація. LLM можуть точно налаштувати рівень терміновості. Не паніка великими літерами “ВАШ АКАУНТ БУДЕ ВИДАЛЕНО”, а “ми помітили деяку незвичну активність і хотіли підтвердити, що це були ви”. Професійно, виважено і більш переконливо.

Це не означає, що виявлення неможливе. Це означає, що методи виявлення, на які співробітники покладалися десятиліття, потребують оновлення. Посібник з виявлення фішингу все ще надає корисні фреймворки, але акцент змістився з виявлення помилок на верифікацію запитів через незалежні канали.

Компрометація бізнес-пошти (BEC) вже була найдорожчою формою шахрайства з електронною поштою до появи AI-інструментів. FBI Internet Crime Complaint Center повідомив про $2,9 мільярда збитків від BEC у 2023 році. LLM роблять BEC-атаки легшими для виконання та важчими для зупинки.

Традиційний BEC вимагає від зловмисника скомпрометувати або підробити акаунт електронної пошти керівника, а потім написати переконливе повідомлення фінансовій команді. Етап написання був вузьким місцем. Імітація стилю комунікації CEO достатньо переконливо, щоб ініціювати грошовий переказ, вимагала вивчення того, як керівник пише.

LLM знімають це вузьке місце. Подайте моделі кілька зразків листів CEO (доступних з минулих компрометацій, публічних заяв або постів у соціальних мережах), і вона виробляє повідомлення, що відповідають голосу керівника. Короткі, прямі листи для CEO, відомих лаконічністю. Детальні, структуровані повідомлення для керівників, що пишуть розгорнуто.

Комбінація стає небезпечнішою при поєднанні з клонуванням голосу deepfake. AI-написаний лист створює початковий претекст. Наступний телефонний дзвінок з використанням клонованого голосу керівника підтверджує запит. Фінансова команда бачить письмовий запит і чує усне підтвердження від того, що звучить як їхній шеф.

Для практичного погляду на цей ланцюг атаки пройдіть вправу з компрометації бізнес-пошти та кейс-стаді атаки через OneNote, щоб побачити, як BEC розгортається в реальних сценаріях.

Визначна перевага AI-фішингу не лише в якості чи швидкості. Це здатність персоналізувати в масштабі.

До LLM персоналізація вимагала ручних зусиль. Зловмисник міг написати персоналізований лист десяти цілям на день, якщо був швидким. Масштабування вимагало жертвувати персоналізацією, тому масові фішингові кампанії використовували загальні шаблони.

Тепер зловмисник генерує 10 000 персоналізованих листів за один день. Кожен посилається на роль одержувача, відділ, нещодавні новини компанії та релевантні проєкти. Зловмиснику навіть не потрібно вручну читати розвідувальні дані. Він подає сирі дані LLM і дозволяє автоматично витягувати релевантні деталі персоналізації.

Це створює проблему для команд безпеки. Фішингові симуляції та навчальні програми зазвичай вчать співробітників не довіряти загальним повідомленням. Але коли кожен фішинговий лист персоналізований, “Чи це повідомлення загальне?” перестає бути корисним фільтром.

Що все ще працює як сигнал виявлення:

Незвичні запити. Контент може бути ідеально написаний, але сам запит аномальний. “CEO” просить подарункові картки. “IT-команда” запитує паролі електронною поштою. “Постачальник” змінює банківські реквізити. Поведінкові тривожні ознаки виживають, навіть коли лінгвістичні тривожні ознаки зникають.

Тиск терміновістю. Згенеровані AI чи ні, фішингові листи все ще покладаються на створення тиску часом для запобігання верифікації. “Будь ласка, обробіть це до кінця дня.” “Це потребує негайної уваги.” Терміновість є особливістю атаки, а не недоліком, який зловмисник оптимізує.

Позаканальна верифікація. Якщо сумніваєтеся, зв’яжіться з відправником через окремий канал. Зателефонуйте за відомим номером. Підійдіть до їхнього робочого місця. Напишіть на іншій платформі. Ця одна звичка перемагає всю перевагу AI-персоналізації.

Наш посібник з навчання фішинговим симуляціям описує, як організації можуть будувати вправи, що тестують ці поведінкові сигнали, замість того щоб покладатися на виявлення лінгвістичних помилок.

Фішинг більше не лише поштова загроза. LLM дозволяють зловмисникам проводити координовані кампанії через кілька каналів.

Електронна пошта плюс SMS. Зловмисник надсилає професійний фішинговий лист, потім продовжує смішинг-повідомленням, що посилається на лист: “Ви бачили сповіщення безпеки від IT? Ось пряме посилання для верифікації вашого акаунту.” SMS підкріплює легітимність листа.

Електронна пошта плюс голос. Після отримання фішингового листа слідує вішинг-дзвінок. Абонент (можливо, з використанням клонованого голосу) посилається на лист і додає усний тиск. Зворотний фішинг (TOAD) поєднує електронну пошту та телефон за своєю природою, причому лист направляє ціль зателефонувати на фальшивий номер підтримки.

LinkedIn плюс електронна пошта. Зловмисник створює фальшивий профіль LinkedIn, використовуючи AI-згенерований контент та зображення, з’єднується з цілями в організації, потім надсилає фішингові листи, що посилаються на з’єднання в LinkedIn. Ціль перевіряє LinkedIn, бачить правдоподібний профіль і довіряє листу.

Slack та Teams. В організаціях зі скомпрометованими обліковими даними зловмисники використовують AI для генерації внутрішніх повідомлень, що відповідають комунікаційній культурі компанії. Добре створене повідомлення в каналі #general Slack від “нового співробітника” може розповсюдити шкідливі посилання сотням співробітників одночасно.

Кожен канал підкріплює інші. Коли лист, текстове повідомлення та телефонний дзвінок розповідають одну історію, більшість людей перестають ставити під сумнів.

Вейлінг-атаки (фішинг, спеціально спрямований на керівників) отримують непропорційну вигоду від AI-інструментів. Керівники мають великий публічний слід: виступи на конференціях, прес-інтерв’ю, пости в соціальних мережах, звіти SEC, членство в радах. Все це живить двигун персоналізації LLM.

AI-створений вейлінг-лист для CFO може посилатися на нещодавній дзвінок про прибутки, згадувати конкретну ціль для поглинання, що з’явилася в галузевій пресі, і запитувати “конфіденційний” грошовий переказ новому “юристу” для угоди. Лист використовує ім’я голови правління, посилається на їхню останню зустріч і відповідає стилю комунікації, який CFO очікує від цієї людини.

Техніка бочкового фішингу особливо ефективна проти керівників у поєднанні з AI. Перший лист безпечний (представлення, запит на планування), встановлюючи відправника як легітимного. Другий лист містить корисне навантаження. LLM роблять генерацію цієї двоетапної послідовності тривіальною, і кожен лист читається так само професійно, як будь-яка реальна комунікація керівника.

Якщо ваша програма навчання з кібербезпеки все ще зосереджується переважно на вправах “знайди друкарську помилку”, вона навчає співробітників для вчорашнього ландшафту фішингу.

Ефективне навчання проти AI-фішингу акцентує поведінку, а не перевірку:

Перевіряйте перед дією. Навчіть співробітників верифікувати незвичні запити через окремий канал комунікації. Кожного разу. Навіть коли лист виглядає ідеально. Особливо коли лист виглядає ідеально.

Ставте під сумнів запит, а не текст. Змістіть навчання з “Чи цей лист виглядає підозрілим?” на “Чи цей запит я повинен виконати без незалежного підтвердження?” Ідеальний лист із запитом облікових даних все одно підозрілий, якщо ви зазвичай не отримуєте такий запит електронною поштою.

Симулюйте реалістичні атаки. Фішингові симуляції з шаблонними приманками не готують співробітників до AI-згенерованих атак. Симуляції повинні відповідати якості та персоналізації, з якими співробітники зіткнуться в реальних атаках.

Навчайте для багатоканальності. Співробітники повинні розуміти, що фішингова кампанія може торкнутися їхньої пошти, телефону, SMS та соціальних мереж. Отримання “того самого” запиту через кілька каналів не робить його більш легітимним. Це може означати координовану атаку.

Оновлюйте часто. Техніки AI-фішингу еволюціонують швидше, ніж щорічні цикли навчання. Щомісячне навчання тримає команди в курсі поточних тактик, а не застарілих патернів.

Вправа з AI-фішингу дозволяє співробітникам взаємодіяти з реалістичними AI-згенерованими фішинговими сценаріями, де традиційні тривожні ознаки були навмисно видалені. Вона формує звичку верифікувати запити, а не перевіряти граматику.

Перегляньте наш каталог навчання з кібербезпеки для фішингових вправ, або відвідайте каталог AI-безпеки для практичного навчання з LLM-специфічних ризиків, включаючи prompt injection та маніпуляцію AI-чатботами.

• Verizon 2025 Data Breach Investigations Report
• SlashNext 2025 State of Phishing Report
• FBI Internet Crime Complaint Center 2023 Report
• OWASP Top 10 for LLM Applications 2025