AI-фішинг vs традиційний фішинг: як змінилися правила гри та як захистити бізнес

Фішинг залишаєьться одним іх популярних методів зламу, і навіть більше, він змінився так, що «звичні» ознаки (помилки в тексті, дивний стиль, підозрілий домен) більше не гарантують безпеки. За даними FBI, фішинг/спуфінг стабільно залишається серед наймасовіших категорій кіберзлочинів за кількістю звернень, а загальні підтверджені втрати від інтернет-злочинів у 2024 році перевищили $16 млрд.

У 2026 році «правила гри» змінив ШІ: зловмисники масштабують кампанії, підганяють повідомлення під конкретних людей і поєднують email із месенджерами, QR-кодами та навіть deepfake-дзвінками. Паралельно бізнес активно впроваджує AI-інструменти в процеси компанії — і це створює нові ризики доступу до даних.

AI-фішинг відрізняється тим, що зловмисники швидко створюють персональні повідомлення під конкретну людину та ситуацію і підштовхують до дії через кілька каналів (email, месенджери, дзвінки).

Людський фактор лишається критичним, але його потрібно підсилювати процесами (верифікація платежів, зміни реквізитів, «call-back») і техконтролями (phishing-resistant MFA, DMARC, контроль OAuth/SaaS).

Час на реагування скоротився: сучасні атаки розвиваються надзвичайно швидко, а середній «breakout time» у кіберзлочинців у 2025 році вимірювався десятками хвилин.

Традиційний фішинг

Це класична соціальна інженерія, що базується на емоціях (страх, жадібність, терміновість). Хакери розраховують на людську неуважність. Класична модель: масова або напівмасова розсилка з «гачком» (рахунок, доставлення, HR-документ, “зміна пароля”), щоб змусити людину:

• перейти за посиланням і ввести пароль,
• відкрити вкладення,
• або виконати дію (платіж, зміна реквізитів, надання доступу).

Традиційний фішинг часто «видає себе» шаблонністю, помилками в мові або доменами-двійниками.

AI-фішинг

Зловмисники використовують LLM для аналізу відкритих даних (LinkedIn, соцмережі) та попередніх листувань компанії. AI-фішинг використовує генеративні моделі як підсилювач ефективності:

• підлаштовує тон під конкретну людину/роль (CFO, бухгалтер, HR, sales),
• персоналізує контекст (проєкт, партнер, дедлайн, реальні назви сервісів),
• генерує десятки варіантів одного сценарію, ускладнюючи детект «за шаблоном».

Ознаки: Бездоганна мова, імітація стилю конкретної людини (керівника, партнера), використання реального контексту ("Як пройшла зустріч щодо проекту Х?").

Мета: Створити абсолютну довіру, імітуючи звичний для працівника алгоритм спілкування.

Microsoft у своєму Digital Defense Report підкреслює, що зловмисники застосовують AI для масштабування соціальної інженерії та фішингу, а також зазначає, що AI-driven phishing суттєво ефективніший за традиційні кампанії.

Що змінилося у 2026 році

1) Поліморфність: один сценарій — сотні унікальних листів

Раніше захист часто спирався на «схожість» атак. Тепер зловмисники генерують багато варіантів тексту, теми, структури — і це гірше ловиться правилами «якщо схоже на…».

2) Мультиканальність: фішинг виходить за межі пошти

Типова сучасна схема: email + повідомлення в месенджері + терміновий дзвінок. Thales у звіті 2026 року відзначає поширеність атак із використанням AI-контенту та deepfake (голос/зображення/відео), які впливають на бізнес-процеси й репутацію.

3) Quishing: QR-коди як обхід поштових фільтрів

QR-коди в PDF-вкладеннях стали популярним способом обійти класичні email-захисти. Sophos описує кампанії, де жертву спонукають сканувати QR з документа та вводити облікові дані вже з телефону.

4) BEC 2.0: акцент не на шкідливому ПЗ, а на грошах і доступах

У 2026 році один із найнебезпечніших сценаріїв — Business Email Compromise: зловмисники «грають» на процесах погодження платежів, змін реквізитів, терміновості, авторитеті керівника. Паралельно зростає цінність доступів до SaaS (пошта, CRM, фінсервіси), бо це прямий шлях до рахунків, інвойсів і ланцюжка постачання.

5) Швидкість атак зросла, тому на ручне розслідування залишається набагато менше часу

CrowdStrike у звіті за 2026 рік зазначає, що середній eCrime breakout time у 2025 році знизився до 29 хвилин (а найшвидші кейси — секунди), що підвищує цінність автоматизації детекту й реагування.

Чому традиційні поради “перевір домен і помилки” вже не працюють

• Помилок може не бути взагалі.
• Домен може бути легітимним, якщо атака йде через скомпрометований акаунт постачальника або через легальні сервіси пересилання/підпису документів.
• Справжній ризик у процесі, а не в граматиці: «терміново оплати», «погодь доступ», «підтвердь зміну реквізитів».

7 рівнів захисту бізнесу

Нижче — набір кроків, який допомагає і проти AI-фішингу, і проти звичайних фішингових листів.

1) Захист платежів і реквізитів: зробіть так, щоб “лист” не міг змусити вас заплатити Усі термінові платежі, зміни IBAN/рахунків і “оплати зараз” мають підтверджуватись другим каналом (дзвінок на номер із довідника, підтвердження в корпоративному чаті або через внутрішній тикет). Тоді навіть дуже переконливий AI-лист не спрацює.

2) Ідентичність і доступ: MFA, який не фішиться. Якщо у вас досі MFA через коди в SMS або OTP, у 2026 це недостатньо для критичних ролей. Перейдіть для фінансів, адмінів, керівництва на phishing-resistant MFA (наприклад, FIDO2/WebAuthn) і посильте Conditional Access (географія, пристрій, ризик сесії). Microsoft акцентує на пріоритеті захисту ідентичностей і зазначає значну частку інцидентів, що стартують із фішингу/соцінженерії.

3) Захист домену та пошти: SPF/DKIM/DMARC + антиімітація. 

• SPF, DKIM, DMARC (із політикою щонайменше quarantine, а для зрілих доменів — reject),

• захист від імітації (display name spoofing),

• контроль схожих доменів (typosquatting) і їх реєстрацій.

4) Контроль SaaS/OAuth: “consent phishing” і небезпечні інтеграції. 

Окремий клас атак — коли користувача змушують надати доступ “легальному” застосунку (OAuth), і після цього зловмисник має токени без пароля. Практики:

• заборонити user-consent для незатверджених застосунків,
• вести allowlist інтеграцій,
• моніторити аномальні OAuth grants і “impossible travel”.

5) Захист від QR/quishing та мобільних сценаріїв. 

Якщо співробітники можуть сканувати QR з робочих листів — у вас з’являється «дірка», бо частина контролів пошти не працює на смартфоні. Sophos прямо описує сценарії quishing через QR у PDF, орієнтовані на викрадення корпоративних облікових даних. Що робити:

• увімкнути сканування QR/URL у вкладеннях (якщо ваш email security це підтримує),
• заборонити вводити корпоративні паролі з особистих пристроїв без MDM/контейнеризації,
• додати правило: «QR з листа = підозріло за замовчуванням».

6) Навчання: менше “лекцій”, більше симуляцій і мікропрактик. 

• щомісячні симуляції (email + месенджер),

• навчання саме для ролей з фінансовими повноваженнями,

• тренування «як правильно ескалювати» (куди переслати підозрілий лист, як швидко заблокувати сесію).

7) Детект і реагування: швидкість важливіша за “ідеальне розслідування”. 

Коли атаки розвиваються за десятки хвилин, виграє той, хто може:

• швидко ізолювати пристрій/сесію,
• відкликати токени,
• змінити паролі/ключі доступу,
• зупинити платіж.

CrowdStrike підкреслює скорочення часу, за який зловмисники розгортають атаку в середовищі, що підсилює цінність автоматизованих реакцій.

Фішинг став реалістичніше, часто відбувається через декілька каналів й б’є не лише по паролях, а і по процесах — платежах, доступах, довірі. Виграє не той, хто має «ще один фільтр», а той, хто поєднав процеси проти BEC (Business Email Compromise «компрометація ділової (корпоративної) електронної пошти»), захист ідентичностей, контроль SaaS/OAuth, готовність до QR/deepfake-сценаріїв і швидке реагування.

Хочете зрозуміти, чи витримає ваша команда AI-фішинг у 2026?

В ESKA працює професійна команда з кібербезпеки, яка перевіряє стійкість співробітників до соціальної інженерії на практиці та дає зрозумілі рекомендації, що саме змінити в процесах і захисті. Ми проводимо симуляції фішингових атак і навчає співробітників кіберобізнаності, щоб зменшити ймовірність інцидентів і помилок у критичних ситуаціях.

1) Симуляція фішингових атак від ESKA — перевіряємо, як ваша команда реагує на реалістичні фішингові сценарії в контрольованому середовищі, і даємо детальний звіт із рекомендаціями, хто і на яких етапах найчастіше помиляється та що саме потрібно посилити.

2) Навчання з кіберобізнаності — онлайн-програма, яка формує звичку розпізнавати загрози, зменшує ризик витоку даних і закріплює результат практикою (зокрема через імітацію фішингу та підсумковий звіт).