СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
2 часа назад
#ИБ

Фишинг как сервис вырос почти в 14 раз через нейросети и достал до российских компаний

Фишинг как сервис вырос почти в 14 раз через нейросети и достал до российских компаний

изображение: grok

Платформа EvilTokens, торгующая фишингом по подписке, за полгода нарастила активность на 1380%. Причина рывка одна — встраивание генеративных моделей в готовый набор инструментов для атак. Исследователи Huntress опубликовали разбор кампании в материале «Злые токены и рост фишинга с использованием ИИ», и описанные приёмы напрямую касаются пользователей и компаний из РФ, где спрос на корпоративные учётные записи давно держится на максимуме.

Цифру в 1380% получили при сравнении двух окон телеметрии — с июля по декабрь 2025 года и с января по апрель 2026 года. Более половины зафиксированных инцидентов укладываются в две крупные волны скоординированных рассылок, а сам сервис распространяется через Telegram с порогом входа от 600 долларов. Для криминала сумма символическая, потому что одна взломанная корпоративная почта окупает подписку с большим запасом.

Стоит обратить внимание, что среди сотен зафиксированных атак EvilTokens аналитики Huntress не обнаружили двух одинаковых фишинговых шаблонов — каждая приманка собиралась под конкретного получателя.

Раньше такая ювелирная подгонка под жертву встречалась только в дорогих целевых операциях, которые опытный злоумышленник готовил руками неделями. Теперь генерация идёт автоматом, и российские компании, где сотрудники массово работают с MicrosoS 365, корпоративными VPN и облачными хранилищами, попадают под раздачу наравне с европейскими и американскими целями. Логика бизнеса у операторов EvilTokens та же, что у легального SaaS, — обновления, тарифные линейки, поддержка покупателей.

Тарифная сетка платформы выглядит так:

  • базовая подписка от 600 долларов с набором шаблонов и автоматической рассылкой;
  • средний тариф около 1000 долларов с расширенной автоматизацией кампаний;
  • старший пакет за 1500 долларов с обходом защитных механизмов и тонкой настройкой приманок;
  • доступ через Telegram-канал с быстрой ротацией контактов на случай блокировок;
  • сопровождение со стороны разработчиков, по аналогии с техподдержкой у нормального вендора.

Атаки опираются на механизм Device Code Authentication — легитимную процедуру авторизации устройств в Microsoft, которую мошенники выворачивают наизнанку. Жертва получает письмо с просьбой ввести короткий код на настоящей странице входа Microsoft, доверяет знакомому интерфейсу и сама отдаёт злоумышленнику активную сессию. Для пользователя из РФ риск удваивается, потому что многие сотрудники привыкли к нестандартным сценариям входа из-за региональных ограничений и относятся к подобным окнам менее настороженно.

Экономика рассылок поменялась радикально. Вместо нескольких десятков аккуратно написанных писем оператор получает тысячи уникальных вариантов под разные отрасли и должности — от бухгалтера производственного предприятия в Челябинске до руководителя ИТ-службы в московском холдинге. Текст подстраивается под отрасль адресата, имена коллег подтягиваются из открытых источников, тон письма копирует внутреннюю переписку компании. Российские отделы информационной безопасности уже фиксируют рост обращений сотрудников, которые не могут отличить настоящее уведомление о входе от подделки.

Уточняется, что одной из самых болезненных функций EvilTokens специалисты Huntress называют обход многофакторной аутентификации, на которую опирается защита учётных записей у большинства крупных организаций.

Обход MFA превращает в фикцию ту меру, которую российские регуляторы и сами компании последние годы продвигали как обязательную. Платформа перехватывает токены сессии после ввода второго фактора, и атакующий заходит в почту без повторных проверок. Эффект для крупных корпоративных клиентов в РФ — прямой удар по моделям нулевого доверия, которые только начали внедряться.

Цена ошибки сотрудника измеряется крупными суммами:

  • продажа доступа к корпоративной почте на теневых площадках от нескольких тысяч долларов;
  • запуск атаки на цепочку поставок через скомпрометированный контакт;
  • развёртывание программы-вымогателя с требованием выкупа в криптовалюте;
  • кража коммерческой тайны и последующий шантаж;
  • ущерб от одного успешного проникновения в отдельных эпизодах доходит до миллионов долларов.

Барьер входа в этот криминальный рынок продолжает падать. Несколько лет назад для подготовки правдоподобной кампании требовались знания английского на уровне носителя, навыки вёрстки писем и понимание корпоративной культуры цели. Сейчас всё это закрывает генеративная модель за 600 долларов в месяц, а оператору остаётся только загрузить список адресов. Для пользователей и компаний из РФ это означает рост числа русскоязычных приманок с правильной деловой лексикой, корректными отсылками к российским сервисам и реалистичными подписями.

Признаки рассылок EvilTokens, на которые отделам безопасности в России стоит реагировать:

  • запросы кодов Device Code Authentication, которых сотрудник не инициировал;
  • письма от внутренних адресатов с непривычным временем отправки;
  • ссылки на легитимные домены Microsoft с подозрительным контекстом;
  • активность из нетипичных регионов сразу после успешного входа;
  • одновременная компрометация нескольких учёток в одном подразделении.

Huntress прогнозирует дальнейшее распространение подобных сервисов по мере развития открытых языковых моделей. Чем доступнее становятся генеративные инструменты, тем меньше ресурсов нужно для запуска кампании промышленного масштаба. Российским организациям придётся пересматривать привычные регламенты — от обучения сотрудников до настройки условного доступа и мониторинга токенов сессии, потому что старые подходы к фишингу под новый класс атак уже не работают.

Ранее сообщалось, что главный технологический эксперт «Лаборатории Касперского» Александр Гостев заявил о растущей роли искусственного интеллекта в кибератаках будущего. В подкасте Александра Соколовского эксперт отметил, что современные нейросетевые модели уже способны находить уязвимости в программном обеспечении, которые длительное время оставались незамеченными специалистами. По его оценке, в ближайшие годы искусственный интеллект может стать одним из основных инструментов хакеров, существенно ускоряя поиск слабых мест, автоматизацию атак и подготовку вредоносных операций.

Эксперты редакции CISCLUB рассказали, что история с EvilTokens — это не разовая аномалия, а маркер новой нормы криминального рынка. Российским компаниям пора закрывать иллюзию, будто многофакторная аутентификация сама по себе спасает от компрометации учётных записей. Защита смещается в сторону постоянного мониторинга поведения пользователей, контроля токенов сессии и пересмотра политик условного доступа. Сотрудников нужно учить не на абстрактных примерах, а на свежих русскоязычных приманках, собранных под конкретные отрасли. Чем быстрее ИБ-службы в РФ адаптируют свои регламенты под фишинг с генеративным ИИ, тем меньше шансов у операторов EvilTokens и аналогичных платформ найти лёгкую цель внутри страны.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: