Как AI фишингът стана толкова добър толкова бързо
Да бъда директен. Заплахата от фишинг се промени фундаментално през последните 18 месеца, а повечето малки и средни фирми все още се защитават срещу версията на проблема от 2022 г.
Тогава фишингът означаваше зле написани имейли от нигерийски принцове. Обучавахте хората си да засичат лоша граматика и странни адреси на податели. Лесна победа.
Днес? AI генерира имейли, които минават теста на Тюринг, гласови клонинги, за които са нужни само три секунди аудио, за да създадат убедително копие, и deepfake видео, което хората разпознават правилно едва 24.5% от времето. Това е по-лошо и от ези-тура.
Според доклада за гласова интелигентност на Pindrop за 2025 г., опитите за deepfake измами са скочили с 1 300% на годишна база във всички сектори. Най-тежко са засегнати контакт центровете в застраховането с +475%. Банковият сектор отчита +149%. И това са само докладваните числа.
Миналата година технологията премина така наречения „праг на неразличимост". Това означава, че средностатистическият човек вече не може надеждно да различи клониран глас от истински. Нито вашият IT специалист. Нито финансовият директор. Нито вие.
Защо малките фирми са идеалната мишена за AI фишинг
Ето какво не ми дава да спя нощем. Големите предприятия имат центрове за сигурност, специални екипи за анализ на заплахи и инструменти за откриване за милиони долари. Вие вероятно разчитате на външен доставчик на IT услуги (ако сте умни) и човек на непълно време (ако сте нормални).
Нападателите знаят това. Знаят също, че малките фирми имат нещо, което големите компании нямат — по-бързо вземане на решения. Когато „CEO-то" се обади на „финансовия директор" в компания с 50 души и поиска превод, няма пластове от проверяващи, няма второ одобрение. Парите се превеждат за минути. Не всяка заплаха от заглавията е вашият реален риск но тази абсолютно е.
Едно единствено deepfake видео обаждане струва на хонконгска фирма 25.6 милиона долара през 2024 г. Нападателите използваха AI, за да имитират няколко колеги в рамките на един жив разговор. За малките фирми сумите са по-малки, но ударът е по-тежък. Загуба от 50 000 долара може да ви спре завинаги.
А 92% от бизнесите вече са загубили пари от измами със синтетични медии. Оставете това число да попие. Ако още не са ви ударили, не защото сте в безопасност. А защото вашият номер още не е излязъл.
Кое работи наистина сега
Ще ви кажа нещо, което може да ви заболи малко. Текущото ви обучение за сигурност вероятно не е достатъчно. Ако провеждате същото обучение „познай фишинг имейла" отпреди три години, подготвяте хората си да се защитават срещу заплаха, която вече не съществува.
Ето как изглежда новият наръчник:
Убийте доверието в един канал. Никое финансово действие не трябва да се одобрява само на базата на един комуникационен канал. Имейл исканията за преводи са най-старият трик в книгата, а сега и гласовите обаждания са също толкова опасни. Обадете се обратно на номер, който вече имате в досието си. Гласово обаждане иска пароли? Затворете и проверете през различен канал. Направете го политика, а не препоръка.
Въведете кодови думи за чувствителни транзакции. Звучи старомодно, но работи. Всеки изпълнителен директор избира кодова дума. Всяко искане над определен праг изисква тази кодова дума, проверена през отделен канал. Ако CEO-то не може да я каже по време на „паникьосан" разговор, транзакцията спира.
Тествайте гласовия канал. Повечето малки фирми провеждат симулации на фишинг по имейл. Почти никоя не прави гласови симулации. Хората ви трябва да преживеят опит за вишинг в безопасна среда, преди да се сблъскат с истински. Разликата между теорията и жив глас в ухото им е огромна.
Запомнете: ако можете да го чуете, те могат да го фалшифицират. Гласът на вашия CEO вероятно е в YouTube, LinkedIn или в записи от уебинари. Това е всичко, от което нападателят има нужда. Три секунди. Това е новият модел на заплаха.
Точно в такива моменти външният поглед прави огромна разлика. Пресни очи върху вашите процеси на проверка, пропуските в обучението и плана за реакция при инциденти могат да уловят допусканията, които ви оставят уязвими.
Резервирайте 30-минутен преглед на сигурността
Без презентации, без ангажимент, просто ясна представа къде AI заплахите ви удрят най-силно.
Ето какво трябва да разберете за AI фишинга. Технологията ще става само по-добра, по-евтина и по-трудна за откриване. Прозорецът за изграждане на защитни навици преди следващата вълна да удари се затваря бързо. Но добрата новина? Защитите, които работят, не са скъпи. Те са поведенчески. Те са процедурни. Те са за това как екипът ви мисли за доверието.
И това започва с признаването на неудобната истина: служителите ви вече не могат да засичат AI фишинг. Но с правилните процеси не е нужно и да могат.
Кога за последно екипът ви практикуваше да каже „не" на дълбоко фалшиво видео?