Види фішингових атак: Як розпізнати наживку та не потрапити на гачок

Фішинг нікуди не зникне. Це досі один із найефективніших і найдорожчих видів кіберзлочинності.

На початку 2025 року Робоча група з боротьби з фішингом (Anti-Phishing Working Group) повідомила про різке зростання — на 33% — кількості атак через компрометацію ділової електронної пошти (BEC), спрямованих на грошові перекази. Середній запит? Майже 129 000 доларів США.

У звіті Verizon Про розслідування витоків даних за 2025 рік зазначається, що до 60% порушень безпеки причетні люди, і ці порушення здебільшого стосуються різних видів фішингових атак. Шахраї точно знають, де слабкі місця. І найчастіше це не технології. Це ми.

Хороша новина в тому, що ми, як постачальник консалтингових послуг Google Workspace з підтвердженим досвідом, охоче поділимося знаннями про те, як від них захиститися.

Які 4 типи фішингових атак зараз у тренді?

Фішинг вийшов на новий рівень. Усе зводиться до точності, швидкості та психологічних маніпуляцій — і все на базі штучного інтелекту.

Сьогодні зловмисникам не потрібно вгадувати. Вони аналізують дописи в соціальних мережах, новини компаній і старі витоки даних, щоб створювати електронні листи, які виглядають так, ніби їх надіслав ваш керівник або керівник вашого керівника. Вони знають, хто ви, над чим працюєте та як спілкуєтеся.

За допомогою ШІ вони можуть генерувати тисячі унікальних, реалістичних повідомлень за лічені секунди.

Тип 1. Ера ШІ: Гіперперсоналізація, діпфейки, поліморфні атаки та автоматизація

Раніше фішингові листи було легше розпізнати: незграбні формулювання, підозрілі посилання, загальні привітання. Тепер усе інакше. ШІ пише краще за більшість людей, використовуючи бездоганну граматику та дружній, природний тон.

Пам’ятаєте, як відеодзвінок вважався золотим стандартом довіри? Проблема в тому, що сучасні фішингові атаки з використанням діпфейків, створених ШІ, імітують голоси, обличчя та манери реальних людей. Один гучний випадок стався з фінансовим працівником у Гонконзі, який переказав 25,6 мільйона доларів США після відеоконференції з особою, що видавала себе за фінансового директора з Великої Британії. Люди на відеодзвінку виглядали та звучали точнісінько як його колеги. Та це були не вони. Кожен учасник розмови виявився дипфейком.

У своєму звіті Глобальний огляд кібербезпеки 2025 Всесвітній економічний форум повідомив про зростання на 223% продажів інструментів для створення діпфейків у даркнеті. Це не просто тривожний дзвінок, а сигнал, що ця технологія стає дешевшою, якіснішою та поширенішою.

Сьогодні жодна атака не схожа на іншу. ШІ дозволяє зловмисникам вносити ледь помітні зміни в кожне повідомлення, що допомагає їм обходити фільтри безпеки, які покладаються на розпізнавання шаблонів. Згідно зі звітом KnowBe4 Про тенденції фішингових загроз у 2025 році, понад 76% фішингових листів нещодавно мали принаймні одну поліморфну ознаку.

Ця тенденція зводить нанівець застарілі методи виявлення, як-от фільтри на основі правил, сигнатурний аналіз і чорні списки.

ШІ не просто робить усі види фішингу витонченішими. Він робить їх доступнішими. Навіть початківці без навичок програмування можуть запускати масові кампанії майже без зусиль. Готові фішингові набори доступні всюди, а автоматизація виконує більшу частину роботи.

Розрив у рівні кібербезпеки зростає. Великі компанії з системами захисту на основі ШІ тримають оборону. А менші? Не зовсім. ВЕФ попереджає про зростання «кібернерівності», через яку ті, хто не може дозволити собі інструменти нового покоління, залишаються беззахисними.

Це не просто технічна, а стратегічна проблема. Бюджети на безпеку мають відповідати сучасним реаліям: ви боретеся не просто з хакерами, а з їхніми машинами.

Тип 2. Повернення програм-вимагачів: Удосконалені пейлоади та техніки обфускації

Йдеться не лише про крадіжку паролів. Фішинг — це головний шлях проникнення програм-вимагачів.

Із листопада 2024 року по лютий 2025 року кількість випадків доставки програм-вимагачів через фішинг зросла на 57,5%. Понад половина всіх атак із використанням програм-вимагачів починалася з електронного листа. Це не випадковість, а закономірність. Програми-вимагачі та фішинг — дві сторони однієї медалі.

Організації повинні ставитися до безпеки електронної пошти як до передової лінії захисту від фішингових атак, що ведуть до зараження програмами-вимагачами. Чекати на власне зараження — вже занадто пізно.

Тип 3. Нові вектори атак: Квішинг та багатоканальна соціальна інженерія

Квішинг, або фішинг за допомогою QR-коду, стрімко поширюється. QR-коди в імейлах, на плакатах або у звичайних листах тепер можуть вести на шахрайські сайти чи до шкідливого ПЗ. У США, наприклад, десятки мільйонів людей зіткнулися з цим видом фішингу, згідно зі статтею CNBC за липень 2025 року.

Ця гібридна загроза розмиває межі між цифровим і фізичним світом. Стратегії захисту мають адаптуватися. Ідеться вже не лише про електронну пошту, і культура кібербезпеки має поширюватися й на реальний світ.

Зловмисники все частіше використовують Slack, Teams, SMS, голосові дзвінки та соціальні мережі, щоб зв’язатися з жертвами. У деяких випадках вони комбінують канали: надсилають електронний лист, потім дзвонять від імені керівника, імітуючи його голос, і наостанок надсилають діпфейк-відео.

Це значне зрушення, яке означає, що безпека не може бути фрагментарною. Необхідний комплексний підхід.

Тип 4. Вразливості в ланцюжку постачання: Використання довіри до третіх сторін

Атаки також проникають через ланцюжок постачання. Близько 11% фішингових листів у 2024 році надійшли від скомпрометованих постачальників. Це серйозна проблема, оскільки такі листи викликають довіру за замовчуванням.

У своєму звіті Глобальні інсайти цифрової довіри на 2025 рік PwC зазначає, що витоки даних через третіх сторін є однією з найбільших загроз для керівників у всьому світі (так вважають 35% респондентів), і до цих загроз, вочевидь, належать і різні типи фішингових атак. І що найважливіше, саме до них вище керівництво готове найменше.

Невеликий постачальник зі слабким захистом може відкрити шлях до значно масштабнішої компрометації.

Організаціям потрібно поширювати принципи нульової довіри (Zero Trust) за межі власної інфраструктури. Це означає постійну ретельну перевірку, суворий контроль доступу та моніторинг у реальному часі, а не лише періодичні аудити.

Проактивні кроки, які рекомендує KPMG, містять регулярний перегляд списку постачальників ПЗ та інших ключових третіх сторін, щоб уникнути надмірної залежності. Це також означає постійне оцінювання їхніх практик у сфері безпеки.

Мета полягає в тому, щоб розуміти не лише ваших прямих партнерів, але й залежності «n-го порядку», що знаходяться глибше в ланцюжку постачання, зазначає McKinsey у своїй статті за липень 2025 року. Маючи таке бачення, ви можете створити надійні плани дій у надзвичайних ситуаціях, які враховують зриви на будь-якому рівні, а не лише на очевидних.

Як захиститися від усіх 4 типів фішингу

Фішингові атаки стають дедалі розумнішими, але й наші засоби захисту також. Найкращий захист — це поєднання інноваційних технологій і перевірених практик.

Інтелектуальний захист електронної пошти за допомогою ШІ

Фільтри електронної пошти на базі штучного інтелекту — це ваша перша лінія оборони. Вони не просто шукають відомі шкідливі посилання чи підозрілі теми листів. Вони аналізують патерни: хто надсилає лист, який його зміст і чим він відрізняється від звичайних повідомлень.

Візьмемо, наприклад, Gmail. Його штучний інтелект блокує понад 99,9% спаму, фішингових повідомлень та шкідливого ПЗ ще до того, як вони потраплять до вашої скриньки. Деякі системи, що використовують машинне навчання та обробку природної мови, можуть виявляти навіть складні види фішингу, як-от підроблені рахунки, — те, що старіші фільтри могли б пропустити.

Використовуйте MFA, яку неможливо обійти

Багатофакторна автентифікація (MFA) додає резервний рівень захисту на випадок викрадення вашого пароля. Але не всі методи MFA однаково надійні. Текстові повідомлення можна перехопити. Саме тому ключі доступу привертають стільки уваги.

Ключі доступу використовують такі дані, як ваш відбиток пальця, Face ID або безпечний PIN-код, для підтвердження вашої особи. Ваш приватний ключ залишається на вашому пристрої, тож хакерам просто нічого красти. Агентство Європейського Союзу з кібербезпеки (ENISA) рекомендує ключі доступу як найкращий з доступних методів MFA, стійкий до майже всіх типів фішингових атак.

Нікому не довіряйте за замовчуванням

Старе правило звучало так: «довіряй, але перевіряй». Тепер воно інше: «ніколи не довіряй, завжди перевіряй». Це і є принцип нульової довіри (Zero Trust).

Кожен запит на доступ до вашої системи, незалежно від того, чи він надходить з офісу, чи з іншого кінця світу, ретельно перевіряється. Це допомагає зупинити вторгнення, навіть якщо хтось натисне на шкідливе посилання. Принцип нульової довіри забезпечує жорсткий контроль доступу на основі особи користувача, його потреб та звичної для нього поведінки.

Протоколи автентифікації електронної пошти (SPF, DKIM, DMARC)

Як ви вже знаєте, фішинг часто полягає у використанні підроблених листів, які виглядають так, ніби їх надіслав хтось, кому ви довіряєте. Саме тут на допомогу приходить автентифікація електронної пошти.

Такі протоколи, як Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) та Domain-based Message Authentication, Reporting & Conformance (DMARC), ускладнюють шахраям можливість видавати себе за когось іншого. Вони перевіряють, чи справді повідомлення надійшло з домену відправника, чи не було його змінено, і чи не підпадає воно під поширені типи фішингу.

У Великій Британії державні експерти з безпеки навіть радять організаціям впроваджувати DMARC як базову вимогу.

Зберігайте конфіденційні дані в надійному місці

Фішинг не завжди обмежується крадіжкою паролів. Деякі атаки мають на меті обманом змусити користувачів розкрити конфіденційну інформацію.

Ось чому інструменти із запобігання втраті даних (DLP) мають бути невіддільною частиною захисту. Вони допомагають контролювати обмін файлами та повідомленнями, особливо в таких сервісах, як Google Drive, Chat та Gmail. Якщо обліковий запис таки скомпрометують, DLP може завадити надсиланню конфіденційних файлів за межі компанії.

Оновлюйте все — так, абсолютно все

Зловмисники обожнюють застаріле програмне забезпечення. Якщо в ньому є відома вразливість, вони її знайдуть і використають, навіть для не надто складних фішингових атак.

Рішення просте: постійно оновлюйте всі свої системи, застосунки та інструменти безпеки. Розробники часто випускають оновлення безпеки, які закривають саме ті «лазівки», які шукають фішери. Ви ж не залишаєте вхідні двері відчиненими на ніч? Пропускати оновлення — це те саме.

Шлюзи безпеки електронної пошти досі актуальні

Навіть за наявності просунутого ШІ та MFA традиційні рішення, як-от шлюзи безпеки електронної пошти (SEG) та інтегровані хмарні рішення для захисту пошти (ICES), все ще відіграють ключову роль.

Деякі нові інструменти зосереджені на закритті прогалин, які старіші шлюзи й навіть Microsoft 365 іноді пропускають. Gartner все ще рекомендує використовувати SEG та ICES як частину багаторівневої стратегії захисту електронної пошти.

Будьте на крок попереду завдяки аналізу загроз

Надійний захист починається з надійних даних. Аналіз загроз у реальному часі допомагає виявляти атаки на ранніх стадіях і швидше на них реагувати. Як партнер Cloudflare, ми знаємо, що їхні системи сканують понад 4,4 трильйона одиниць даних щодня в електронній пошті, DNS та інтернеті. Google Security Operations йде ще далі, використовуючи автоматизовані інструменти, які відстежують загрози, проводять розслідування та миттєво реагують, оскільки їхня платформа аналізу загроз бачить глобальні тренди, пов’язані з новими видами фішингу, в реальному часі.

Не забувайте про браузер та пристрої

Фішинг не завжди поширюється через електронну пошту. Іноді слабкою ланкою стає браузер.

ChromeOS з технологією ZTE блокує неперевірені застосунки, запускає лише сертифіковане ПЗ та захищає основні файли від втручання. На сьогодні не зафіксовано жодного випадку атак програм-вимагачів чи відомих вірусів на цю систему. Chrome Enterprise Premium включає розширений безпечний перегляд (Enhanced Safe Browse), що виявляє шкідливі сайти під час роботи в інтернеті.

Водночас надійний антивірус на всіх кінцевих пристроях допомагає сканувати та зупиняти шкідливе ПЗ, яке прослизає крізь інші рівні захисту.

Як уникнути найпоширеніших видів фішингу

Навіть за наявності найкращих інструментів безпеки люди часто є останньою лінією оборони. Ось чому формування сильної культури безпеки та навчання співробітників виявленню загроз є таким же важливим, як і будь-які послуги з кібербезпеки.

Зробіть навчання ефективним

Тренінги з кібербезпеки (Security Awareness Training) не мають бути одноразовою акцією. Вони повинні бути послідовними, актуальними та цікавими.

Почніть з навчання співробітників розпізнавати «червоні прапорці»: дивні запити, термінові повідомлення, підозрілі адреси електронної пошти чи будь-що, що здається нетиповим. Але пам’ятайте: ШІ змінив правила гри. Сучасні фішингові листи переконливіші, ніж будь-коли, тому навчання має бути глибшим.

Саме тут на перший план виходить поведінка. Провідні платформи роблять ставку на персоналізоване, адаптивне навчання. Коли навички співробітників покращуються, тренінги ускладнюються. Додайте трохи гейміфікації (бали, таблиці лідерів, нагороди), і ви отримаєте рецепт для залучення, що справді працює.

І не карайте людей за помилки, незалежно від того, з якими типами фішингових атак вони ще не вміють боротися. Підтримуйте їх. Страх вбиває комунікацію. Безпека — це командна робота, і кожен клік, звіт чи запитання має значення.

Навчання з безпеки є найефективнішим, коли воно регулярне, реалістичне та орієнтоване на реальну поведінку, а не на формальне виконання вимог.

Навчіть людей робити паузу і думати

Фішинг працює, тому що грає на швидкості та емоціях. Чим швидше людина реагує, тим імовірніше, що вона потрапить на гачок.

Ось чому ключовим є навчання критичному мисленню. Навчіть співробітників не поспішати і все перевіряти. Якщо щось видається підозрілим, не натискайте. Не завантажуйте. Не відповідайте. Натомість перейдіть на офіційний вебсайт або зв’яжіться з компанією через відомий вам канал, а не той, що вказаний у листі.

Сформуйте правильні звички входу в систему

Паролі все ще є важливою складовою безпеки, і вони мають бути надійними, унікальними та зберігатися в менеджері паролів. Більше жодних повторних використань одного й того ж логіна на різних сайтах. І якщо ви ще не розглядали перехід на ключі доступу, саме час це зробити. Вони безпечніші, зручніші та майже невразливі до будь-яких видів фішингу.

Спростіть звітування про загрози

Має бути абсолютно зрозуміло, як повідомити про підозрілу активність. Швидкі звіти зупиняють атаку ще на початковому етапі. Те ж саме стосується і загальнокорпоративного нагадування про те, що кожен звіт важливий.

За межами вашої організації ви можете пересилати підозрілі листи до відповідного органу з кібербезпеки у вашій країні або використовувати такі інструменти, як функція Google «Повідомити про фішинг». Чим більше даних отримують ці системи, тим краще вони можуть виявляти просунуті ознаки фішингу та блокувати майбутні загрози.

Використовуйте позаканальну верифікацію

Як ми вже згадували, зі зростанням діпфейк- і голосових фішингових атак шахрайство стає більш персоналізованим і його важче виявити. Саме тут на допомогу приходить позаканальна верифікація.

Створіть простий «пароль безпеки» для підтвердження особи в надзвичайних ситуаціях або у випадках шахрайства з використанням клонування.

Що робити, якщо все ж потрапили на гачок

Якщо хтось став жертвою однієї зі згаданих вище фішингових атак, час має вирішальне значення.

Негайно дайте такі інструкції:

• Змінити всі скомпрометовані паролі.
• Від’єднати уражений пристрій від мережі.
• Сповістити ІТ-відділ та/або службу безпеки.
• Повідомити банк або фінансову установу, якщо було скомпрометовано платіжні дані.

Якщо було розкрито особисту інформацію або корпоративні дані, відстежуйте появу скомпрометованих облікових даних у даркнеті. Для цього існують спеціальні сервіси моніторингу.

Резервні копії — ваша підстраховка

Коли йдеться про відновлення, резервні копії — ваш найкращий друг, але лише за умови, що їх зроблено правильно. Резервне копіювання має бути регулярним, протестованим і, що найважливіше, копії повинні зберігатися окремо від ваших основних систем.

Історія версій у Google Drive може допомогти відновити файли, які нещодавно були зашифровані.

Таким чином, навіть якщо вас атакує програма-вимагач, ваші дані будуть у безпеці та готові до відновлення.

Перевірте свої знання про найпоширеніші види фішингу

Захистіть свою ділову пошту від різних видів фішингу за допомогою Google Workspace

Коли йдеться про захист від нескінченних видів фішингових афер, Google Workspace пропонує більше, ніж просто базові функції. Платформа надає потужні вбудовані інструменти:

• Gmail автоматично нейтралізує майже весь спам, фішинг та шкідливе ПЗ. Він сканує листи ще до їх потрапляння у вашу скриньку, перевіряючи вкладення, скорочені посилання та вбудовані зображення. Повідомлення від доменів-двійників або неавтентифікованих відправників чітко позначаються, що допомагає користувачам швидко виявляти спроби видати себе за іншу особу.
• Безпечний перегляд (Safe Browse) захищає користувачів в інтернеті та застосунках, а не лише в Gmail. Він виявляє ризиковані сайти та посилання в реальному часі через Chrome Enterprise.
• Google Workspace працює за моделлю нульової довіри (Zero Trust): кожен вхід перевіряється на основі особистості користувача, пристрою та контексту. Контроль доступу є гранулярним, і застосовується принцип найменших привілеїв.
• Платформа підтримує безпечні варіанти MFA, як-от ключі доступу та ключі безпеки, особливо для користувачів із високим рівнем ризику. Часта ротація файлів cookie допомагає запобігти перехопленню сеансів. Адміністратори можуть обмежувати права суперкористувачів і реєструвати ключових співробітників у Програмі розширеного захисту.
• Політики DLP захищають конфіденційні дані в Gmail, Google Chat та Drive. Адміністратори можуть обмежувати зовнішній доступ, встановлювати приватний статус для нових файлів за замовчуванням та застосовувати політики для окремих команд чи відділів.
• Адміністратори можуть переглядати та відкликати доступ для невикористовуваних або ризикованих сторонніх застосунків, підключених через OAuth, зменшуючи вразливість до прихованих загроз.
• Усі дані шифруються як під час зберігання (at rest), так і під час передавання (in transit). TLS та шифрування на боці клієнта забезпечують надійний захист, навіть при роботі зі сторонніми сервісами.
• Інструмент розслідування безпеки (Security Investigation Tool) допомагає адміністраторам швидко реагувати на кіберзагрози. Журнали можна експортувати до Google Security Operations або BigQuery для глибшого аналізу та створення власних звітів.
• Google Workspace поєднує надійний захист із простотою використання. Він відповідає міжнародним стандартам, таким як ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27701, SOC 2, SOC 3, FedRAMP, BSI C5 та MTCS, щоб захищати користувачів і дані, не створюючи перешкод.

Cloudfresh — це глобальний Google Cloud Premier Partner, що спеціалізується на трансформації робочих процесів. Якщо ви готові почати успішно відбивати численні фішингові атаки на ваш бізнес, зв’яжіться з нами за допомогою короткої форми нижче!