Головний вектор первинного доступу

Що таке Фішинг

Фішинг — шахрайська повідомленнєва атака, що стоїть за більшістю корпоративних інцидентів. Розберіть, як зловмисники проводять сучасні кампанії в пошті, SMS, голосі, QR-кодах і чатах, і як захиститися від нової хвилі атак, згенерованих ШІ.

Автор Dmytro Koziatynskyi Перевірено 25 квітня 2026 р.

Фішинг — найпоширеніший вектор первинного доступу під час інцидентів

Фішинг — це шахрайське повідомлення, яке видає себе за відомий бренд, колегу або системне сповіщення, щоб змусити жертву натиснути на посилання, відкрити вкладення, поділитися обліковими даними або підтвердити транзакцію. Це загальний термін для email-фішингу, цільового фішингу (spear phishing), вішингу, смішингу, QR-фішингу (quishing), клон-фішингу, вейлінгу та компрометації ділового листування (BEC). Механіка відрізняється за каналом, але мета одна. Підштовхнути жертву до дії, яку вона не зробила б, якби зупинилась і перевірила. Атака залишається домінантною двадцять років, бо обходить будь-які endpoint-контролі, цілячись у людське рішення під тиском.

Звіт Verizon 2024 Data Breach Investigations Report пояснює 68% інцидентів незловмисним людським фактором, а Anti-Phishing Working Group зафіксувала 4,7 мільйона фішингових атак за 2023 рік, з них 1,077 мільйона лише у четвертому кварталі. FBI Internet Crime Complaint Center зареєстрував 21 489 скарг на компрометацію ділового листування у 2023 році з заявленими втратами 2,9 мільярда доларів. Microsoft Threat Intelligence відстежив кампанії adversary-in-the-middle фішингу, які за один захід 2023 року вразили понад 10 000 організацій. Обʼєм промисловий, націлювання промислове, а собівартість лише знижується разом із масштабуванням техніки.

У 2024 році техніка зловмисників піднялася на два покоління. Великі мовні моделі стискають дні роботи копірайтера до секунд, прибираючи сигнал «зламаної англійської», на який покладалися захисники. Adversary-in-the-middle комплекти на кшталт Evilginx, Modlishka й EvilProxy у реальному часі проксують справжній потік входу і збирають сесійний cookie вже після MFA, що робить одноразові коди марними. API клонування голосу будують переконливі приводи із 30-секундного зразка, а інструменти deepfake-відео тепер у прямому ефірі підставляють обличчя у Zoom і Teams. Випадок Arup 2024 року, коли фінансовий працівник підтвердив переказ 25 мільйонів доларів після відеодзвінка з deepfake-керівниками компанії, став новою нормою, а не винятком.

Якщо ви читач цієї сторінки на боці покупця, ви майже напевно вже маєте secure email gateway, DMARC і щорічний фішинговий модуль навчання. Цей стек ловить дешеві атаки. Дорогі атаки — ті, що стають квартальним інцидентом і репутаційним ударом — проходять крізь нього. Далі на сторінці: сучасний ланцюг атаки, три задокументовані випадки, вісім захисних шарів, які реально працюють, і рольовий підхід до тренувань, що формує рефлекс перевірки на людському рівні.

Як розгортається фішинг-атака

Розвідка

Зловмисники збирають дані про ціль із LinkedIn, дампів витоків, GitHub, звітів SEC, записів конференцій і корпоративних довідників. Інструменти на кшталт LinkedIn Sales Navigator, Hunter.io та Apollo перетворюють організацію на список з іменами, посадами, ланцюгами підпорядкування та email-патернами. Спеціалізовані групи (Scattered Spider, TA453, FIN7) ведуть досьє на фінансистів, IT-хелпдеск і помічників керівників, бо ці ролі контролюють важелі, потрібні зловмисникам. Інцидент MGM Resorts 2023 року почався саме тут: за повідомленнями, зловмисники знайшли техніка хелпдеску в LinkedIn до того, як зробити вішинг-дзвінок.

Створення приводу

Атакувальник пише пресет, який експлуатує авторитет, терміновість, дефіцит або довіру. Інструменти ШІ зараз пишуть текст вільною діловою мовою, адаптовану під роль і поточний календар жертви. Шаблони змінюються за сезоном: повідомлення про доставку у листопаді й грудні, податкові приводи у березні й квітні, обовʼязкове реєстрування MFA під час розгортання нових інструментів, зміни реквізитів вендорів після реального оголошення про злиття. Щорічні звіти Cofense і Proofpoint виокремлюють QR-приводи, calendar-invite вкладення та OAuth consent-сторінки як категорії, що ростуть найшвидше за останні 18 місяців.

Доставка та обхід шлюзу

Повідомлення йдуть через bulletproof-хостинг, перехоплені поштові скриньки чи скомпрометовані маркетингові платформи (HubSpot, Mailchimp), щоб успадкувати довірену репутацію. Зловмисники розбивають URL по CAPTCHA-редиректорах, сторінках Cloudflare Turnstile та переходах через Telegram, щоб обійти sandbox-детонацію. QR-коди приховують URL у зображенні, тож secure email gateway не може його просканувати. Лукалайк-домени використовують гомогліфи (rn замість m, paypal-secure[.]co), свіжо зареєстровані піддомени або скомпрометовані легітимні сайти. Hoxhunt зафіксував зростання QR-фішингу на 587% у 2023 році, бо така техніка проходить повз будь-який URL-сканер шлюзу.

Перехоплення облікових даних і обхід MFA

Сучасні фішингові сторінки логіну використовують adversary-in-the-middle фреймворки. Evilginx і Modlishka проксують справжній потік входу, тож користувач вводить справжній пароль на сторінці, що виглядає справжньою, і виконує справжній MFA-запит. Комплект захоплює сесійний cookie після автентифікації та відтворює його з браузера зловмисника. MFA fatigue (також MFA bombing) — паралельна техніка: зловмисник спамить push-запитами, поки жертва не натисне «approve» від роздратування. Інцидент Uber 2022 року й кампанія 0ktapus / Scatter Swine 2023 року, що вдарила по Twilio, Cloudflare та понад 130 інших компаній, використовували обидва підходи.

Латеральний рух і монетизація

Опинившись у поштовій скриньці чи SSO-сесії, зловмисник починає рухатися. Поширені кроки: тихі правила пересилання пошти для моніторингу платіжних інструкцій, зловживання OAuth consent для постійного доступу до Microsoft 365 чи Google Workspace, зібрані шаблони для клон-фішингу через ланцюг постачання, підготовка ransomware зі скомпрометованої кінцевої точки. Актори BEC зазвичай чекають тижнями, вивчаючи стосунки з постачальниками й платіжний ритм, а тоді надсилають один точно вибраний запит на зміну реквізитів. FBI IC3 повідомив про 2,9 мільярда доларів збитків від BEC у 21 489 скаргах за 2023 рік, із середнім збитком понад 130 000 доларів на один інцидент.

Deepfake і подальше підсилення

Атаки покоління 2024 року чергують канали. Першим приходить лист, протягом годин дзвонить вішер із посиланням на повідомлення, а deepfake-відеодзвінок закриває угоду на великому переказі. Моделям клонування голосу від провайдерів типу ElevenLabs достатньо 30-секундного зразка. Live-face deepfake-відео працювало під час шахрайства Arup на 25 мільйонів доларів у 2024 році, а потім зʼявлялося в private-equity due diligence-дзвінках і CFO-схвалюваннях. Зловмиснику більше не потрібно писати переконливий текст; йому достатньо переконливо виглядати і звучати протягом 90 секунд.

Реальні приклади фішинг-атак

2024 — Arup, deepfake-відео і шахрайство на 25 мільйонів доларів

Інженерна фірма Arup підтвердила в лютому 2024 року, що працівник фінансового підрозділу в гонконзькому офісі підтвердив 15 переказів на загальну суму 25 мільйонів доларів на рахунки зловмисників після відеоконференції, на якій нібито були CFO компанії та інші співробітники. Усі інші учасники дзвінка виявилися deepfake. Перший контакт пройшов поштою, дзвінок закрив петлю довіри, переказ пішов до жодної out-of-band перевірки. Arup повідомила, що співробітник виконав інструкції від знайомих облич і голосів. Цей випадок переозначив загрозу для фінансових і казначейських команд: візуальна ідентичність на живому дзвінку більше не є доказом.

2022–2023 — кампанія 0ktapus / Scatter Swine: смішинг і AiTM

Група, яку відстежують як Scatter Swine, 0ktapus та Scattered Spider, вразила понад 130 організацій, серед них Twilio, Cloudflare, MailChimp і DoorDash, у скоординованій SMS-фішинговій кампанії. Тексти імітували Okta-скиди паролів і вели користувачів на лукалайк-портали SSO з Modlishka-проксями. Комплект захоплював живі MFA-коди й відтворював сесії за хвилини. Cloudflare заблокувала пробій, бо для всіх співробітників були обовʼязковими апаратні FIDO2-ключі; Twilio підтвердила доступ зловмисників до внутрішніх інструментів і даних клієнтів. Кампанія показала, що традиційне MFA (SMS-коди, push-запити, TOTP) тепер обходиться за замовчуванням.

2023 — Pepco Group: фішингове шахрайство на €15,5 млн

Дисконт-рітейлер Pepco у лютому 2024 року підтвердив, що його угорський бізнес-юніт втратив близько €15,5 мільйона у складній фішинговій схемі наприкінці лютого. Компанія описала атаку як «шахрайську комунікацію, що призвела до переказів з угорських операцій». Жодних даних клієнтів чи співробітників не було скомпрометовано; збиток — прямі грошові кошти, виведені з казначейства через маніпульовані платіжні інструкції. Pepco повідомила ринок, що повернення коштів малоймовірне. Випадок ілюструє патерн BEC проти фінансових команд із приводами на основі авторитету і показує, як один пропущений callback може перевести восьмизначні суми за один ранок.

Як захиститися від фішингу

Увімкніть DMARC у режимі p=reject з вирівняним SPF і DKIM

Режим quarantine пропускає підробки. Режим reject наказує приймаючим серверам прямо відкидати неавтентифіковану пошту. Опублікуйте DMARC-записи на всіх своїх доменах надсилання (основний, маркетинговий, транзакційний, припарковані), вирівняйте SPF і DKIM з заголовком From, переглядайте агреговані звіти щотижня. Це найдешевший контроль із найбільшим радіусом ураження; він зупиняє цілий клас підробки cousin-доменів, що стоїть за більшістю CEO-фейків.

Розгорніть phishing-resistant MFA (FIDO2 і passkeys)

Апаратні ключі (YubiKey, Titan, платформенні passkeys на iOS та Android) не піддаються фішингу adversary-in-the-middle проксями. Криптографічний виклик привʼязаний до легітимного домену, тому фейкова сторінка логіну не може завершити рукопотискання. Переведіть усіх співробітників із SMS, push і TOTP на FIDO2 або платформенні passkeys, починаючи з фінансів, IT, керівників і розробників. Cloudflare публічно зазначила, що обовʼязкові апаратні ключі зупинили кампанію Scatter Swine 2022 року на периметрі.

URL-перезапис і time-of-click sandbox на SEG

Microsoft Defender for Office 365 Safe Links, Proofpoint URL Defense та аналог Mimecast перенаправляють кожен URL через проксі та переоцінюють його під час кліку. Це блокує атаки з відкладеним озброєнням, коли посилання нешкідливе на момент доставки і шкідливе під час кліку. Поєднуйте з sandbox-аналізом вкладень для офісних файлів із макросами, ISO-контейнерів та HTML-smuggling payload. URL-перезапис не зупиняє QR-коди, тому ввімкніть детектування на основі зображень.

DNS-фільтрація з threat-intel і EDR

Cisco Umbrella, Cloudflare Gateway й Quad9 з threat-intel feed блокують резолвинг до відомої фішингової інфраструктури ще до того, як браузер відкриє сторінку. Поєднуйте з EDR (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint), налаштованим на детектування поведінки збору облікових даних у браузері та зловживання OAuth consent. Комбінація ловить як мережевий індикатор, так і поведінку на endpoint, навіть коли сам привід новий.

Регулярні рольові сценарні вправи замість щорічних відео

Загальне навчання плато за два квартали. Рольові вправи, що відображають поточну техніку зловмисників (deepfake-відео для фінансів, MFA-fatigue для IT-хелпдеску, OAuth consent для інженерів, зміна реквізитів вендорів для AP), підтримують рефлекс перевірки живим. Дослідження SANS показує, що щомісячна каденція знижує click rate з понад 30% до менш ніж 5% за 12 місяців. Reporting rate, провідний індикатор найкорельованіший із стійкістю до інцидентів, росте паралельно.

Кнопка Report Phish в один клік і коучинг без покарання

Встановіть Report Phish-кнопку в Outlook, Gmail і мобільних поштових застосунках. Публікуйте медіану часу тріажу та кількість підтверджених фішів за минулий місяць, щоб репорт відчувався корисним, а не ігнорованим. Працюйте з повторними клікерами приватно через 60-секундний мікроурок, привʼязаний до конкретного патерну, який вони пропустили. Публічне присоромлення вбиває репортинг-культуру; приватний коучинг її вирощує. Більшість пробоїв із кліком також мають затримку в репорті; розрив, а не сам клік, є точкою розлому.

Out-of-band верифікація для будь-якої зміни платежу чи доступу

Напишіть односторінкову політику, що вимагає callback на опублікований внутрішній номер до будь-якої зміни реквізитів, оновлення банківських даних, скиду MFA, правки зарплатних реквізитів чи онбордингу нового вендора, незалежно від каналу запиту. Запровадьте систему code-word для високовартісних фінансових запитів, щоб deepfake-голос і відео не могли самотужки замкнути ланцюг. Репетируйте політику з фінансами, AP, HR і хелпдеском щокварталу. Втрату Arup 2024 року можна було запобігти саме цим контролем.

Хардненинг особистих пристроїв керівників і OSINT-чистка

Жертв вейлінгу досліджують через публічні профілі. Заблокуйте LinkedIn керівників (вимкніть followers, приберіть розклади виступів), запишіть особисті телефони в MDM, якщо їх використовують для робочої пошти, увімкніть passkeys на особистих Apple і Google ID, що тримають робочі дані, замовте OSINT-аналіз для виявлення лукалайк-доменних реєстрацій і фейкових соціальних акаунтів. Парадигма «human firewall» працює найгостріше на верхівці організаційної схеми: один CFO, що дотримується рефлексу перевірки, відвертає восьмизначну втрату, від якої захищає вся програма.

Як RansomLeak тренує співробітників розпізнавати фішинг

RansomLeak використовує імерсивні, сценарні вправи замість записаних відео і статичних тестів. Кожна вправа поміщає того, хто навчається, у симульовану поштову скриньку, телефонний дзвінок, SMS-нитку чи відеоконференцію та змушує приймати реальне рішення під реалістичним тиском. Каталог покриває всю поверхню фішингу: основна вправа з фішингу тренує перевірку проти AI-генерованих листів, вправа зі spear-фішингу формує той самий рефлекс проти націлених приводів, вправи зі смішингу й вішингу переносять навичку на мобільний і голосовий канали, а вправа з QR-фішингу покриває image-based обхід. Кожен сценарій закінчується миттєвим зворотним звʼязком, що називає пропущені сигнали і крок перевірки, який зупинив би справжню атаку.

Покриття поширюється на ланцюг атак 2024 року. Вправа з double-barrel фішингу тренує дводільну схему обходу шлюзу, вправа з callback-фішингу покриває reverse-vishing варіант, вправа з компрометації ділового листування проводить фінансові команди через точний патерн зміни платіжних реквізитів, що дав 2,9 мільярда доларів збитків за IC3 2023, а вправа «Whaling With a Deepfake» поміщає того, хто навчається, всередину кейсу Arup із підробленим листом, голосовою поштою з клонованим голосом і deepfake-відеодзвінком. Кожна вправа постачається як SCORM 1.2 і SCORM 2004 пакет, тож працює в Cornerstone, Workday Learning, Docebo, SAP SuccessFactors і будь-якій LMS, що відповідає стандартам, без додаткової інтеграції.

Програми скоупуються за ролями, а не пошлюються всім підряд. Фінанси і AP отримують BEC, vendor-invoice й deepfake-wire сценарії. IT і хелпдеск отримують вішинг і MFA-reset приводи. Інженерія отримує OAuth consent і AI coding assistant security risks. Керівники та їхні асистенти отримують вейлінг, deepfake-відео й хардненинг особистих пристроїв. Результат — рефлекс перевірки, що переноситься на email, SMS, голос, QR і відео, виміряний reporting rate і time-to-report, а не лише click rate, і оновлюється щомісяця слідом за технікою атак.

Як працює фішинг і чому він досі ефективний?

Фішинг — шахрайська повідомленнєва атака, що видає себе за відомий бренд, колегу або системне сповіщення, щоб змусити жертву натиснути на посилання, відкрити вкладення, поділитися обліковими даними чи підтвердити транзакцію. Вона працює, бо обходить endpoint-контролі, цілячись у людське рішення під тиском, експлуатуючи авторитет, терміновість, дефіцит і довіру як важелі соціальної інженерії. Звіт Verizon 2024 Data Breach Investigations Report пояснює 68% інцидентів незловмисним людським фактором, що робить фішинг домінантним вектором первинного доступу в корпоративному середовищі. Канальні варіанти включають email-фішинг, spear phishing, вішинг, смішинг, quishing, клон-фішинг, вейлінг та компрометацію ділового листування.

Техніка зловмисників різко еволюціонувала у 2023–2024. Великі мовні моделі прибрали сигнал «зламаної англійської», на який покладалися захисники, а Anti-Phishing Working Group зафіксувала 4,7 мільйона фішингових атак за 2023. Adversary-in-the-middle комплекти (Evilginx, Modlishka, EvilProxy) проксують живі потоки логіну та збирають сесійний cookie після MFA, обходячи SMS, push і TOTP-фактори. Клонування голосу і live-face deepfake чергували атаку через канали у шахрайстві Arup на 25 мільйонів доларів 2024 року, а FBI IC3 повідомив про 2,9 мільярда доларів збитків від BEC у 21 489 скаргах лише за 2023 рік.

Захист поєднує технічні та людські контролі. На технічному боці: DMARC у режимі p=reject, phishing-resistant MFA (FIDO2 і passkeys), URL-перезапис на email-шлюзі, DNS-фільтрація з threat-intel та EDR. На людському боці: рольові сценарні вправи (фішинг, spear-фішинг, вішинг, смішинг, QR-фішинг, BEC, deepfake-вейлінг), кнопка Report Phish в один клік, коучинг без покарання та політика out-of-band верифікації для будь-якої зміни платежу чи доступу. Стратегічна рамка — human risk management: периметр — це робоча сила, а відповідь — виміряна поведінкова зміна в масштабі, а не щорічні compliance-відео.

Додаткове читання

Глибші посібники по дотичних темах.

Виявлення фішингу: посібник Тренінги з симуляцією фішингу: playbook Аналіз AI-керованого фішингу Навчання з BEC Що таке вейлінг у кібербезпеці Поінформованість про вішинг Атаки соціальної інженерії: пояснення

Дотичні терміни глосарія

Швидкі визначення термінів із цього посібника.

Phishing Spear Phishing Smishing Vishing Whaling BEC Social Engineering MFA Fatigue

Часті запитання

Що питають security-лідери про цю загрозу.

У чому різниця між фішингом і spear phishing?

Фішинг — широка категорія шахрайських повідомленнєвих атак, що видають себе за довірене джерело. Масовий фішинг стріляє одним загальним шаблоном по мільйонах поштових скриньок і ставить на крихітний рейт конверсії. Spear phishing крафтить одне повідомлення під одну ціль, використовуючи розвідку з LinkedIn, дампів витоків і корпоративних довідників, щоб посилатися на реальні проєкти, колег і робочі процеси.

Вейлінг — це spear phishing, націлений на керівників. Компрометація ділового листування (BEC) — фінансово вмотивована підкатегорія, що цілиться у фінансові й AP-команди приводами на зміну платежу. Усі чотири мають однакові психологічні важелі; вони відрізняються глибиною націлювання й payload.

Як зрозуміти, що лист — фішинг?

Перевіряйте домен відправника, а не display name. Лукалайк-домени використовують гомогліфи (rn замість m), додаткові піддомени чи свіжо зареєстровані top-level домени. Наводьте курсор на кожне посилання на десктопі, тримайте довгий тап на мобілці й читайте повний URL до натискання. Стежте за сигналами терміновості, тиском авторитету, запитами на облікові дані чи зміну платежу та будь-яким першим контактом, що просить дії.

Перевіряйте будь-який неочікуваний запит другим каналом: телефонним дзвінком на збережений номер, повідомленням у Slack справжній людині або новим листом на відому адресу. Рефлекс перевірки важить більше за будь-який окремий сигнал, бо AI-генеровані приводи тепер обходять граматичні й тонові підказки.

Чи зупиняє MFA фішинг?

Традиційне MFA (SMS-коди, push-запити, TOTP застосунки-автентифікатори) не зупиняє сучасний фішинг. Adversary-in-the-middle комплекти на кшталт Evilginx і Modlishka проксують справжній потік логіну, тож користувач вводить справжній пароль і підтверджує справжній MFA-запит, а комплект збирає сесійний cookie після автентифікації. Зловмисник відтворює cookie, і сесія стає живою.

Phishing-resistant MFA (апаратні FIDO2-ключі і платформенні passkeys) такі атаки зупиняє. Криптографічний виклик привʼязаний до легітимного домену, тож фейкова сторінка логіну не може завершити рукопотискання. Cloudflare публічно зазначила, що обовʼязкові апаратні ключі заблокували кампанію Scatter Swine 2022 року на периметрі.

Як виглядає AI-генерований фішинг?

Виглядає правильно. Великі мовні моделі прибрали сигнали «зламаної англійської», незграбного формулювання та шаблонного клонування, на яких захисники тренували користувачів. AI-приводи відповідають мові цілі вільно, віддзеркалюють тон колеги, якого зловмисник прочитав у LinkedIn, і кастомізують посилання на реальні проєкти, події в календарі чи лінії підпорядкування. Клонування голосу розширює атаку до живих дзвінків; достатньо 30-секундного зразка.

Випадок Arup 2024 року прогнав весь ланцюг: email-привід, вішинг-follow-up і deepfake-відеодзвінок із клонованими керівниками, що підтвердили переказ 25 мільйонів доларів. Детектування тепер спирається на рефлекс перевірки і політичні контролі, а не на пошук лінгвістичних підказок.

Як натренувати команду розпізнавати фішинг?

Замініть щорічні compliance-відео щомісячними рольовими сценарними вправами, що відображають поточну техніку зловмисників. Фінансам і AP потрібні BEC і deepfake-wire сценарії; IT-хелпдеску — вішинг і MFA-reset приводи; інженерії — OAuth consent і patterns prompt-injection в AI-асистентах; керівникам — вейлінг і deepfake-відео. Стежте за reporting rate і time-to-report як основними KPI, не лише за click rate.

Доповніть вправи кнопкою Report Phish в один клік, коучингом без покарання для повторних клікерів і out-of-band політикою верифікації для будь-якої зміни платежу чи доступу. Дослідження SANS показує, що щомісячна каденція знижує click rate з понад 30% до менш ніж 5% за 12 місяців.

Що робити співробітнику, який натиснув на фішингове посилання?

Зупиніться вводити дані негайно, навіть якщо сторінка виглядає справжньою. Не вводьте облікові дані, не підтверджуйте жодного MFA-запиту, не завантажуйте і не відкривайте файли, що пропонує сторінка. Відключіть пристрій від корпоративних мереж (вимкніть WiFi, відключіть кабель) і відразу повідомте безпеку чи хелпдеск через опублікований канал репортингу.

Якщо облікові дані було введено, команда безпеки змінить пароль, відкличе активні сесії, перевірить OAuth consents і шукатиме нові правила пересилання пошти. Швидкість важлива: розрив між кліком і репортом — це вікно, в якому adversary-in-the-middle збирає сесійний cookie. Покарання за швидкий репорт немає; покарання живе у мовчанні.

Джерела та матеріали для подальшого читання

Першоджерела, на які посилається сторінка, та суміжні рекомендації.

2024 Data Breach Investigations Report — Verizon
Recognize and Avoid Phishing — CISA
Internet Crime Report 2023 — FBI Internet Crime Complaint Center (IC3)
Phishing Activity Trends Report — Anti-Phishing Working Group (APWG)
NIST SP 800-63B: Digital Identity Guidelines — NIST

Натренуйте команду проти цієї загрози

Запишіться на 30-хвилинну демонстрацію. Ми підберемо послідовність вправ і графік розгортання.

Замовити демо Переглянути вправи