Перейти до основного контенту

Соціальна інженерія 2.0: Вішинг, Смішинг та Deepfake — як не дати обдурити співробітників

Захистіть свій бізнес від вішингу, смішингу та діпфейків. Розбираємо реальні схеми шахраїв, слабкі місця KYC та впровадження надійних протоколів безпеки.

Команда ІТЕЗ

Процес компрометації корпоративних систем зазнав еволюції: 90% фінансових втрат від карткового шахрайства в Україні нині генеруються через маніпуляцію людською свідомістю, а не технічні злами. Інтеграція генеративного штучного інтелекту перетворила соціальну інженерію на автоматизовану індустрію. Європейське агентство з кібербезпеки (ENISA) констатує: понад 80% світових кампаній соціальної інженерії наразі підтримуються алгоритмами ШІ. У цій статті розібрано архітектуру сучасних атак, механіку обходу систем верифікації та інструкції з розгортання протоколів безпеки.

Що таке Соціальна інженерія 2.0 і чому вона долає корпоративні фільтри?

Соціальна інженерія 2.0 (SE 2.0) - це етап кіберзагроз, де для створення таргетованих фішингових сценаріїв та обходу багатофакторної автентифікації масово застосовуються інструменти штучного інтелекту.

Фундаментальна проблема корпоративної безпеки полягає в фокусі на захисті периметра, тоді як SE 2.0 атакує когнітивну систему співробітника. За даними Verizon Data Breach Investigations Report за 2026 рік, 62% порушень безпеки пов'язані з експлуатацією людського фактора. Зловмисники орендують мовні моделі (наприклад, WormGPT та FraudGPT), здатні автоматично генерувати таргетовані листи на основі відкритих даних компанії. Це усунуло граматичні помилки як маркер шахрайства, що спричинило 14-кратне зростання кількості AI-згенерованих фішингових розсилок.

Аналітика Hoxhunt свідчить, що базовий рівень розпізнавання загроз після стандартних тренінгів становить близько 10%. Надійний захист потребує переходу до систем управління людськими ризиками (XHRM), які фокусуються на динамічних симуляціях та зміні поведінкових патернів.

Психологія маніпуляцій: Як шахраї використовують принципи впливу?

Шахраї комбінують когнітивні тригери за принципами Чалдіні, щоб штучно звузити час на прийняття рішення та заблокувати аналітичне мислення жертви.

Технічна досконалість інструментів, таких як AiTM-проксі (EvilProxy чи Modlishka), не спрацює без кліка або введення даних користувачем. Зловмисники нашаровують тригери впливу: авторитет (дзвінок від керівника чи служби безпеки), терміновість (погроза блокування рахунку за 15 хвилин) та дефіцит. Це активує стресову реакцію, змушуючи жертву ігнорувати посадові інструкції та передавати одноразові коди доступу.

Вішинг (Vishing): Технічна анатомія голосових атак на бізнес

Вішинг (Voice Phishing) - шахрайство з використанням голосових комунікацій для виманювання конфіденційних даних або фінансів шляхом психологічного тиску.

Глобальні збитки від телефонного шахрайства перетнули позначку у 39,5 млрд доларів США. Середні річні збитки від вішингу для однієї організації-мішені оцінюються у 14 млн доларів. Звіт CrowdStrike 2025 Global Threat Report фіксує зростання кількості атак голосового фішингу на 442% між першим та другим півріччям 2024 року. Під час симуляцій виявлено, що 70% організацій несвідомо розкривають критичну інформацію. Найуразливішими є відділи продажів та служба підтримки.

Прикладом є атака угруповання Scattered Spider на MGM Resorts та Caesars Entertainment у вересні 2023 року. Зловмисники зібрали дані співробітників через LinkedIn, зателефонували до служби ІТ-підтримки, зімітували працівників і скинули паролі. Наслідком стали втрати MGM на суму близько 100 млн доларів та виплата компанією Caesars викупу в 15 млн доларів.

Як працює спуфінг Caller ID?

Спуфінг Caller ID реалізується через маніпуляцію протоколами SIP-транкінгу, що дозволяє підмінити номер відправника, відображаючи ім'я з контактної книги жертви.

Шахраї використовують віртуальні АТС та VoIP-шлюзи для формування пакетів із фальшивими метаданими. Коли виклик надходить на смартфон, операційна система зіставляє номер з локальною адресною книгою і виводить на екран фотографію та посаду реального керівника. Це створює базис довіри до початку розмови. Для боротьби з цим консорціум GSMA розробляє протоколи наскрізної перевірки, такі як GSMA Call Check.

Смішинг (Smishing) та багатоканальні атаки

Смішинг (SMS Phishing) використовує довіру користувачів до мобільних мереж для поширення шкідливих посилань або запуску атак зі зворотним викликом.

Протягом останнього року 76% підприємств зазнали атак через SMS, із загальним зростанням кількості інцидентів на 328%. Вартість інструментарію значно знизилася: готові набори для смішингу можна придбати за 200 доларів на місяць. Середній глобальний збиток від успішної атаки становить 800 доларів.

Підробка Sender ID

Sender ID Spoofing дозволяє надсилати SMS від імені відомих брендів через алфанумеричну підробку або підробку довгого коду (Neighbor Spoofing).

Алфанумеричний спуфінг дозволяє надсилати повідомлення, які потрапляють у гілку легітимного листування з банком чи поштою на смартфоні жертви. Інший метод - Neighbor Spoofing, коли номер виглядає як місцевий. Смішинг часто є складовою багатоканального фішингу: атака починається з email, продовжується у корпоративному месенджері і завершується SMS із фішинговим посиланням. Нейтралізація таких маніпуляцій на рівні оператора вимагає стандарту AB Handshake.

Deepfake-технології: Синтетична реальність як загроза KYC

Deepfake - синтезовані нейромережами медіафайли, які імітують зовнішність і голос реальних людей для обходу біометрії та соціальної інженерії.

За дослідженням Gartner, 62% організацій протягом року стикалися з діпфейк-атаками (41% аудіо, 35% відео). Частота спроб шахрайства з діпфейками у контакт-центрах зросла на 1300% (дані Pindrop). У січні 2024 року співробітник компанії Arup здійснив транзакції на 25,6 млн доларів після відеоконференції з фальшивим фінансовим директором. Натомість атака на СЕО компанії Ferrari провалилася: керівник був зімітований аудіо-діпфейком, але співробітник застосував політику секретного питання, запитавши про книгу, яку той рекомендував раніше.

Як створюються діпфейки відео та голосу?

Для створення відео застосовуються генеративні змагальні мережі (GAN) та моделі дифузії, а для голосу - системи перетворення тексту в мову (TTS).

Моделі GAN складаються з Генератора та Дискримінатора, що тренуються спільно для створення математично достовірної підробки. За даними McAfee, для розробки високоякісного голосового зліпка з 85% збігом тембру сучасним моделям достатньо 3 секунд аудіо. Зловмисники збирають дані з відкритих джерел (YouTube, месенджери) і використовують методику друку тексту в реальному часі, який нейромережа миттєво озвучує клонованим голосом.

Презентаційні та ін'єкційні атаки на біометрію

Ін'єкційні атаки обходять системи KYC через перехоплення API-запитів і пряму передачу синтетичного відео на сервер, роблячи стандартні перевірки на життєдіяльність марними.

Спроби діпфейк-реєстрацій зросли на 94% у Великій Британії, а загальна кількість спроб обходу KYC за допомогою діпфейків збільшилася на 340% (дані Deloitte). Експлуатація систем відбувається двома векторами:

  • Презентаційні атаки (PAD): Зловмисник показує діпфейк-відео перед камерою реального пристрою, обманюючи базові алгоритми пасивної перевірки життєдіяльності.
  • Ін'єкційні атаки: Фізична камера повністю оминається. Шахраї застосовують віртуальні камери або втручаються в API застосунку для передачі синтетичного потоку безпосередньо на сервер.

Традиційні механізми захисту від PAD не виявляють ін'єкційних атак. Фінансовим установам необхідно впроваджувати архітектуру виявлення ін'єкцій (IAD) та криптографічну біометричну прив'язку (Biometric Binding).

Тип атакиМеханіка реалізаціїСтупінь загрозиМетоди технічної нейтралізації
Презентаційні атаки (PAD)Показ маніпульованого відео/маски фізичній камері пристрою.СередняАлгоритми виявлення оклюзії, аналіз відображення екрана, карти глибини.
Ін'єкційні атакиПерехоплення API, пряма трансляція синтетичного коду на сервер.КритичнаСистеми IAD, атестація пристрою, криптографічна прив'язка.

Статистика кіберзлочинності в Україні (Дані НБУ та CERT-UA)

За даними НБУ, у 2025 році кількість інцидентів з картками в Україні знизилася на 5%, але загальні фінансові збитки зросли на 24% до 1,4 млрд грн.

За опитуванням Rakuten Viber, понад 90% українців стикалися з онлайн-шахрайством у 2025 році. Зниження кількості інцидентів до 256 000 супроводжувалося різким зростанням середньої суми збитку на 30% - до 5 536 грн на одну операцію. 83% втрат генерується в Інтернеті.

Урядова команда CERT-UA зафіксувала 4 315 кіберінцидентів у 2024 році та 5,9 тисяч у 2025 році. СБУ відбила понад 3 тисячі цілеспрямованих ворожих атак на державні системи. Шахраї активно експлуатують воєнний контекст: масово розсилають повідомлення про фейкову соціальну допомогу, здійснюють вішингові дзвінки від псевдо-НБУ з вимогою продиктувати CVV, викрадають номери через eSIM та залучають громадян до інвестиційних афер.

Багатошаровий протокол захисту: Zero Trust та C2PA

Захист від SE 2.0 вимагає переходу на апаратні ключі FIDO2, впровадження політик сегрегації обов'язків та систем AI-детекції контенту.

Архітектура безпеки має ґрунтуватися на принципі Zero Trust (Нульової довіри). Традиційні SMS-коди та Push-повідомлення вразливі до атак MFA Fatigue та AiTM-перехоплення. Надійним стандартом є протоколи FIDO2/WebAuthn із застосуванням апаратних ключів (Passkeys), які криптографічно прив'язують сесію до конкретного домену.

Організаційні процеси є критичними: фінансові департаменти повинні впровадити політику зворотного виклику. Будь-яка інструкція щодо переказу коштів має перевірятися вихідним дзвінком на фіксований корпоративний номер. Також необхідно використовувати секретні кодові слова та встановлювати часові затримки (24-48 годин) на нетипові транзакції.

Детекція діпфейків та маркування контенту

Детекція синтетичних медіа здійснюється через аналіз мікроознак (Artifact Analysis) та впровадження маркування C2PA.

Для протидії відео-діпфейкам індустрія використовує інструменти детекції (Intel FakeCatcher, Reality Defender, Pindrop). До повної стандартизації застосовується аналіз візуальних аномалій: виявлення оклюзії (мерехтіння при перетині обличчя об'єктом), десинхронізації артикуляції та невідповідностей освітлення. Стратегічним рішенням є глобальне розгортання протоколу C2PA, який апаратно вбудовує криптографічний водяний знак у файл, створюючи незмінний ланцюжок походження (Provenance).

Юридичний вимір: Кримінальний кодекс України та EU AI Act

В Україні дії шахраїв кваліфікуються за ст. 190, 200 та 361 ККУ, тоді як європейський EU AI Act вимагатиме обов'язкового маркування діпфейків з серпня 2026 року.

Стаття 190 ККУ (Шахрайство) передбачає за заволодіння майном через ЕОМ в умовах воєнного стану ув'язнення на строк від 5 до 12 років із конфіскацією майна. Застосовуються також Стаття 200 ККУ та Стаття 361 ККУ, нова редакція якої передбачає до 12 років позбавлення волі за тяжкі наслідки.

Закон України "Про платіжні послуги" (№ 1591-IX, ст. 26) обмежує відповідальність платника сумою 500 грн до повідомлення банку про компрометацію рахунку. Проте на практиці, у разі добровільної передачі кодів, банки відмовляють у компенсації. На європейському рівні EU AI Act робить маркування deepfake-контенту обов'язковим з 2 серпня 2026 року, встановлюючи штрафи до 35 мільйонів євро або 7% світового обороту за грубі порушення.

Чек-лист: Алгоритм реагування на компрометацію

При компрометації даних необхідно миттєво заблокувати рахунки, ізолювати пристрій, змінити паролі та звернутися до Кіберполіції.

  • Ізоляція активів: Негайно заблокувати банківські рахунки та корпоративні облікові записи через адміністратора мережі.
  • Ізоляція пристрою: Відключити смартфон або ПК жертви від інтернету та локальної мережі.
  • Офіційне сповіщення: Зафіксувати звернення до банку для зупинки транзакцій.
  • Звернення до правоохоронців: Зателефонувати до Кіберполіції (0 800 505 170) або подати електронну заяву на сайті cyberpolice.gov.ua.
  • Фіксація доказів: Зробити скриншоти, зберегти листи та номери шахраїв, не очищати історію браузера або кеш.

Часті запитання (FAQ)

Чим відрізняється вішинг від смішингу?

Вішинг - це шахрайство через голосові дзвінки для створення психологічного тиску в реальному часі. Смішинг - атака через короткі текстові повідомлення (SMS, месенджери), що містить фішингові посилання або заклики здійснити зворотний виклик.

Як розпізнати діпфейк на відеодзвінку?

Попросіть співрозмовника помахати рукою перед обличчям - перекриття кадру може викликати мерехтіння згенерованої "маски". Звертайте увагу на десинхронізацію губ і звуку, неприродні відблиски на окулярах та відсутність моргання. Найнадійніший спосіб - запитати заздалегідь узгоджене секретне кодове слово.

Скільки аудіо потрібно шахраям для створення клону голосу?

Сучасним системам генеративного ШІ достатньо запису тривалістю менше ніж 30 секунд. Дослідження показують, що окремі інструменти досягають збігу тембру до 85% на основі всього 3 секунд оригінального аудіо.

Чи повертає банк гроші після шахрайства?

Згідно з Законом «Про платіжні послуги», відповідальність клієнта обмежується 500 грн до моменту офіційного звернення в банк. Але якщо банк доведе, що ви добровільно продиктували паролі, CVV-код або одноразові SMS-коди, у поверненні коштів буде відмовлено.

Продовжуйте навчатися

Читайте, як ефективно використовувати IT для розвитку вашого бізнесу

Тематична ілюстрація до статті - Резервне копіювання даних (Бекап): Повний посібник з кіберзахисту на 2026 рік

Резервне копіювання даних (Бекап): Повний посібник з кіберзахисту на 2026 рік

Як надійно захистити бізнес від втрати даних? Пояснюємо правила бекапу, метрики RPO/RTO, захист від вірусів-шифрувальників і хмарні рішення для МСБ.

Резервне копіювання даних (Бекап): Повний посібник з кіберзахисту на 2026 рік
Тематична ілюстрація до статті - Мережева безпека: що це, класифікація загроз та ефективні засоби захисту мереж

Мережева безпека: що це, класифікація загроз та ефективні засоби захисту мереж

Що таке мережева безпека та як надійно захистити дані? Розглядаємо сучасні кіберзагрози, брандмауери, VPN, IDS/IPS та Zero Trust для бізнесу й дому.

Мережева безпека: що це, класифікація загроз та ефективні засоби захисту мереж
Тематична ілюстрація до статті - Patch Management: чому своєчасне оновлення систем критично важливе для безпеки бізнесу

Patch Management: чому своєчасне оновлення систем критично важливе для безпеки бізнесу

Patch Management: архітектура процесу оновлення систем. Як пріоритезувати вразливості, налаштувати автоматизацію та уникнути збоїв при розгортанні патчів.

Patch Management: чому своєчасне оновлення систем критично важливе для безпеки бізнесу
Тематична ілюстрація до статті - Endpoint Detection and Response (EDR): як захистити робочі станції від сучасних кіберзагроз

Endpoint Detection and Response (EDR): як захистити робочі станції від сучасних кіберзагроз

Дізнайтеся, що таке EDR (Endpoint Detection and Response) і як ця технологія захищає робочі станції від сучасних кіберзагроз, програм-вимагачів та атак нульового дня.

Endpoint Detection and Response (EDR): як захистити робочі станції від сучасних кіберзагроз
Тематична ілюстрація до статті - Data Loss Prevention (DLP): запобігання витоку конфіденційної інформації

Data Loss Prevention (DLP): запобігання витоку конфіденційної інформації

Що таке Data Loss Prevention (DLP)? Дізнайтеся, як DLP запобігає витоку конфіденційних даних та захищає бізнес. Детальний розбір технологій, політик, етапів впровадження та вибору DLP-рішення.

Data Loss Prevention (DLP): запобігання витоку конфіденційної інформації
Тематична ілюстрація до статті - Mobile Device Management (MDM): централізоване управління корпоративними смартфонами

Mobile Device Management (MDM): централізоване управління корпоративними смартфонами

Що таке Mobile Device Management (MDM)? Дізнайтеся, як централізовано керувати смартфонами на iOS та Android, захистити дані, впровадити BYOD та обрати між MDM, EMM і UEM.

Mobile Device Management (MDM): централізоване управління корпоративними смартфонами
Тематична ілюстрація до статті - Secure Access Service Edge (SASE): безпечний доступ до ресурсів з будь-якого місця

Secure Access Service Edge (SASE): безпечний доступ до ресурсів з будь-якого місця

Що таке SASE (Secure Access Service Edge)? Дізнайтеся, як ця архітектура об'єднує мережу (SD-WAN) та хмарну безпеку (SSE, ZTNA) для швидкого та захищеного доступу до ресурсів компанії з будь-якого місця.

Secure Access Service Edge (SASE): безпечний доступ до ресурсів з будь-якого місця
Тематична ілюстрація до статті - Business Continuity Plan (BCP): як забезпечити безперервність бізнесу під час IT-криз та надзвичайних ситуацій

Business Continuity Plan (BCP): як забезпечити безперервність бізнесу під час IT-криз та надзвичайних ситуацій

Що таке Business Continuity Plan (BCP)? Дізнайтеся, як забезпечити безперервність бізнесу під час ІТ-криз, які загрози він покриває та чим BCP фундаментально відрізняється від DRP.

Business Continuity Plan (BCP): як забезпечити безперервність бізнесу під час IT-криз та надзвичайних ситуацій
Тематична ілюстрація до статті - Віртуальні робочі місця (VDI): як організувати роботу без прив'язки до офісу

Віртуальні робочі місця (VDI): як організувати роботу без прив'язки до офісу

Дізнайтеся все про технологію VDI (віртуальні робочі місця) для організації ефективної віддаленої роботи. Розглядаємо архітектуру, порівнюємо VDI з DaaS, аналізуємо платформи VMware, Citrix та Microsoft AVD, а також даємо поради щодо впровадження та підвищення безпеки даних.

Віртуальні робочі місця (VDI): як організувати роботу без прив'язки до офісу

Зв'яжіться з нами

Опишіть задачу — відповімо протягом одного робочого дня з конкретною пропозицією та вартістю робіт.

Телефон
+38 (098) 220 97 25
Месенджер
Telegram

Поля, позначені , є обов'язковими. Надсилаючи форму, ви погоджуєтесь з політикою конфіденційності .

Надсилання форми, зачекайте

Оцініть сторінку

Розкажіть детальніше:

Відгук отримано.

Передамо команді — дякуємо, що витратили хвилину.