Сижу вечером, листаю ленту — и наткнулся на видео. Знакомый CEO одной небольшой компании произносит речь, которую никогда не произносил. Обещает инвесторам невероятные результаты, звучит уверенно, жестикулирует. Понял через три секунды — дипфейк. Узнал, потому что знаю этого человека. А теперь представьте, что сотрудник бухгалтерии получает такое видео от "гендиректора" с просьбой срочно перевести средства.
Уже не фантастика. Уже будни.
Социальная инженерия — это, по сути, искусство обмана через человеческие слабости. Классика жанра: фишинговое письмо от "банка", звонок "от службы безопасности". Схемы работают десятилетиями, потому что люди — самое слабое звено. Но теперь появились инструменты, которые переводят эти схемы на качественно другой уровень. Проблема не в том, что атаки стали убедительнее. Проблема в том, что они стали массовыми и дешёвыми.
От спама к персонализированному кошмару
Раньше массовый фишинг выглядел примерно одинаково: "Уважаемый клиент, ваш аккаунт заблокирован, срочно введите данные". Очевидный мусор, который отсеивался фильтрами. Плюс-минус один шаблон на миллион получателей. Кто-то да попадался, но аудитория была широкой, а затраты — минимальными.
С языковыми моделями всё перевернулось. Теперь можно взять информацию о конкретном человеке — откуда-то слитую базу, данные из соцсетей, историю переписок — и сгенерировать письмо, которое звучит именно для него. Письмо от "коллеги", которое ссылается на общий проект. Письмо от "бывшего одноклассника", который помнит детали встречи десятилетней давности. Это не спам. Это точечная работа, которая раньше стоила огромных денег и требовала людей-специалистов.
Наткнулся на исследование, где группа безопасности проверяла сотрудников компании. Они использовали нейросети для генерации фишинговых писем, адаптированных под каждого получателя. Результат — в три раза больше переходов по ссылкам по сравнению с обычным фишингом. Три раза. При этом сами сотрудники потом говорили, что письмо выглядело "нормально", "похоже на внутреннюю переписку".
Вот он, настоящий сдвиг. Раньше нужно было быть целенаправленным, изощрённым — чтобы обмануть конкретного человека. Теперь целенаправленность стала дешёвой.
Голоса, которых никогда не было
Разговаривал как-то со специалистом по безопасности. Он рассказывал, что ещё пару лет назад голосовые атаки были уделом либо дорогих студий, либо серьёзных структур. Запись фальшивого голоса стоила тысячи долларов и требовала десятков минут речи.
Сейчас — берёшь образец голоса, пять минут из интервью на YouTube, и генерируешь любой текст. Убедительно, с интонацией, с паузами. Нейросеть для клонирования голоса стоит тридцать долларов в месяц. Ничего сложного.
Схема простая до безобразия: звонит "гендиректор" CFO или главбуху. Голос знакомый, манера говорить — тоже. "Дмитрий, нужна срочная помощь. Закрываем сделку, но счёт заблокирован. Ты же меня знаешь, объясню потом, сейчас некогда. Ребята из юротдела уже всё проверили, просто переведи на этот счёт".
Занавес.
Была история в прошлом году — увели несколько миллионов рублей из российского офиса иностранной компании. Злоумышленники заранее собрали данные о топ-менеджере: голос из публичных выступлений, переписки из утекших баз, информацию о реальных сделках. Подделали номер. CFO даже не думала — делала то, что "начальник" просит. Очнулась, когда уже было поздно.
Дипфейк на каждый день
С видео пока сложнее — хороший дипфейк в реальном времени требует ресурсов. Но "хороший" — это ключевое слово. Для атаки в деловом контексте часто достаточно посредственного качества: лицо чуть размыто, мимика чуть запаздывает, но всё остальное — в норме. Особенно если зритель не ждёт подвоха.
Мессенджеры, видеозвонки, голосовые — всё это уже используется. Классическая схема: "руководитель" присоединяется к совещанию, даёт указания. В нескольких реальных случаях атакующие даже записывали реакцию сотрудников — чтобы потом шантажировать. "Мы видели, что вы сделали перевод. Молчите и переведите ещё".
Видеодипфейки — пока ближе к верхнему сегменту. Но технологии дешевеют стремительно. То, что год назад было лабораторной демонстрацией, завтра будет встроено в готовый инструмент.
Персональные профили за пять минут
Вот что зацепило больше всего — возможность собрать профиль цели за считанные минуты. Берём никнейм человека в соцсетях. Прогоняем через сервисы, которые ищут этот никнейм везде. Находим аккаунты, утечки данных, посты, комментарии. Собираем картину: где работает, с кем общается, чем интересуется, какие у него семейные проблемы.
Раньше OSINT-разведка занимала дни. Сейчас — автоматизированная, занимает минуты. Атакующий знает о вас больше, чем ваши соседи по этажу. И с этим знанием приходит точность.
Знаю историю, когда атакующий использовал информацию о том, что цель недавно перешла на удалёнку и закупает технику. Отправили "письмо от интернет-магазина" — мол, произошла ошибка в заказе, перейдите по ссылке, чтобы подтвердить данные. Ссылка ведёт на фишинговый сайт, идентичный оригиналу. Человек вводит данные банковской карты — и всё, прощай деньги.
Параноидально? Нет. Реалистично.
Что с этим делать — честный взгляд
Долго думал, как закончить. Не хотелось банальности "обучайте сотрудников". Потому что дело не только в обучении. Атаки стали достаточно убедительными, чтобы обмануть даже подготовленного человека.
Но несколько вещей кажутся практичными.
Первое — дополнительные каналы подтверждения. Если CFO получает срочный запрос на перевод, должен быть параллельный канал связи. Не "подтвердите в этом же чате", а реально другой: звонок, сообщение в другой мессенджер. Да, это медленнее. Да, неудобно. Зато это работает.
Второе — перестать доверять голосу и видео как идентификаторам. Звучит жёстко, но в корпоративном контексте это необходимость. Если кто-то звонит и просит что-то важное — бейте по отдельному каналу.
Третье — меньше публичных данных. Меньше постов, меньше фотографий с привязкой к месту работы, меньше открытых профилей. Это не паранойя. Это просто повышение стоимости атаки на вас лично.
Четвёртое — технологический уровень. Хорошие системы защиты уже умеют детектировать поддельный контент. Но они требуют внедрения, настройки, денег.
И пятое, самое грустное — осознать, что "неуязвимых" больше нет. Раньше думали: меня не взломают, потому что я никому не нужен. Теперь — ваши данные стоят копейки, атака автоматизирована, а "никому не нужный" сотрудник бухгалтерии может стать точкой входа во всю компанию.
Ничего радостного, в общем. Но лучше знать, чем не знать.
