GenAI та агентні системи - нова лінія оборони проти фішингу та смішингу

У сфері кібербезпеки відбувається тиха революція. Вона розгортається не на форумах дакнету чи якихось інших екзотичних площадках. Вона відбувається у всіх на виду - у формі великих мовних моделей (LLM), інструментів клонування голосу та автономних програмних агентів.

Генеративний AI та агентні системи повністю переписують правила гри для фішингу та смішингу. Те, що раніше було грубими, одноразовими шахрайствами, тепер перетворилося на точно розроблені, багатомовні та адаптивні кампанії, які з жахливою ефективністю націлені на окремих осіб та цілі організації.

Для CISO та керівників служб безпеки це не теоретичний ризик. Це стратегічний переломний момент. Темпи інновацій AI на боці зловмисників випередили поступові вдосконалення, які захисники впроваджували роками. Результат? Традиційні припущення про безпеку - щодо виявлення, навчання користувачів та довіри - як ніколи раніше опинилися під величезним тиском.

Кілька років тому фішингові електронні листи було легко розпізнати: ламана граматика, незграбні привітання, підозрілі посилання. Ці ознаки здебільшого зникли. Сьогодні зловмисники використовують великі мовні моделі, щоб генерувати бездоганні повідомлення більш ніж сотнею мовами.

Шахраї збирають інформацію з LinkedIn, пресрелізів та минулих витоків даних, щоб створювати листи, які посилаються на реальні проєкти, колег чи транзакції. Електронний лист, що потрапляє до скриньки працівника компанії, не виглядає як спам; він виглядає як повідомлення від його керівника про угоду, над якою він справді працює.

Додайте сюди синтез голосу та відео. Маючи лише кілька секунд записаного аудіо, зловмисники можуть клонувати голоси керівників із надзвичайною точністю. Додайте діпфейк відео, і раптом фінансовий директор "з'являється" на дзвінку, санкціонуючи переказ, — або старший керівник "оголошує" про конфіденційну зміну, яка вимагає швидких дій. Ця тактика експлуатує людську довіру набагато ефективніше, ніж це коли-небудь робили друкарські помилки.

Це не просто проблема безпеки; це бізнес-ризик, який одночасно зачіпає фінанси, операції, відповідність нормативним вимогам та репутацію.

Механіка сучасного фішингу та смішингу тепер нагадує легальні бізнес-операції. Зловмисники використовують хмарну інфраструктуру, конвеєри автоматизації та навіть моделі AI-як-послуга (AI-as-a-service). GenAI виступає двигуном контенту, агентний AI - менеджером кампаній.

Ці агентні системи не просто розсилають листи - вони оркеструють багатоканальні атаки через електронну пошту, SMS, голосові дзвінки та соціальні платформи. Вони відстежують реакцію жертв, вчаться на кожній взаємодії та коригують тон, час і середовище в режимі реального часу. Якщо електронна пошта не спрацьовує, вони переходять на текстові повідомлення. Якщо й це не вдається, вони можуть спробувати повідомлення в LinkedIn або телефонні дзвінки, використовуючи клони голосу.

Дослідники безпеки почали називати цю модель Advanced Persistent Manipulation (APM), або Розширена Постійна Маніпуляція. Подібно до постійних розширених загроз (APT), ці кампанії будують стосунки з часом. Їм не потрібно "обдурити" вас негайно - вони терплячі, наполегливі та адаптивні.

Для захисників це означає, що поверхня атаки - це вже не окрема поштова скринька. Це кожен канал зв'язку, який організація використовує щодня.

Протягом багатьох років програми кібербезпеки значною мірою покладалися на навчання з обізнаності щодо безпеки. Співробітників навчали розпізнавати погану граматику, невідповідні URL-адреси та інші "червоні прапорці". Але AI усуває більшість із цих ознак.

Змінюється і економіка загроз. AI дозволяє зловмисникам розсилати тисячі персоналізованих приманок із незначними витратами. Водночас захисники мають аналізувати кожну окремо — часто залучаючи людей-аналітиків. Команди SOC і без того перевантажені; AI погіршує це, завалюючи їх переконливими та високоточними загрозами.

І насамкінець, проблема довіри. Цифровий бізнес працює на неявній довірі: співробітники довіряють повідомленням від керівників, партнери довіряють електронним листам постачальників, клієнти довіряють комунікаціям бренду. Імітація, що стала можливою завдяки AI, систематично підриває цю довіру. Якщо організації у відповідь запровадять жорсткі процеси верифікації для всього, постраждає продуктивність. Якщо ні, вони залишаться вразливими. Знаходження цього балансу тепер є стратегічним викликом управління, а не лише технічним.

Протидія загрозам, що працюють на основі AI, вимагає більшого, ніж просто налаштування наявних інструментів. Вона вимагає архітектурних змін та стратегічного пріоритету. Ось п'ять основних напрямків, підготовлених фахівцями Check Point, на яких мають зосередитися CISO.

1. Впроваджуйте засоби захисту на основі AI

Безпека нового покоління повинна використовувати машинне навчання для аналізу шаблонів комунікації, тону та контексту, а не лише сигнатур. Платформи, як-от Check Point Harmony Email & Collaboration, застосовують AI для виявлення складних спроб фішингу, які пропускають старіші фільтри. Організації, які впроваджують ці можливості, повідомляють про значне покращення виявлення та зменшення вікон уразливості.

2. Розширте принципи Zero Trust на комунікації

Zero Trust стосується не лише мереж; вона поширюється на електронну пошту, SMS та інструменти співпраці. Вимагання верифікації особи, MFA (багатофакторної автентифікації) та позасмугового підтвердження для дій із високим ризиком може блокувати багато шахрайств, керованих AI.

3. Використовуйте XDR для виявлення між каналами

Фішинг на основі AI часто розгортається на кількох поверхнях. Платформи Extended Detection and Response (XDR) корелюють дані з кінцевих точок, систем ідентифікації, мереж та електронної пошти, щоб розкрити ланцюжки атак, які можуть пропустити окремі інструменти. Це скорочує час перебування зловмисника в системі та дозволяє швидше локалізувати загрозу.

4. Не ігноруйте мобільні пристрої

Смішинг стрімко зростає. Мобільні пристрої часто є найслабшою ланкою у захисті від фішингу. Рішення, наприклад, як Check Point Harmony Mobile, захищають iOS та Android від шкідливих посилань у SMS, месенджерах та мобільних браузерах - областях, які традиційні поштові шлюзи не охоплюють.

5. Автоматизуйте реагування

Коли зловмисники рухаються зі швидкістю машини, захисники не можуть покладатися на ручні процеси. Рішення SOAR (Security orchestration and automated response) ізолюють скомпрометовані облікові записи, поміщають у карантин шкідливі повідомлення та блокують інфраструктуру протягом секунд. Швидкість має значення.

Ще важливо зазначити, що регулятори посилюють вимоги. Наприклад, SEC тепер вимагає звітувати про суттєві інциденти кібербезпеки протягом чотирьох робочих днів. GDPR, HIPAA, PCI DSS та GLBA наголошують на адаптивному управлінні ризиками. Атаки, що стали можливими завдяки AI, дедалі частіше перевищують ці пороги звітності, а нездатність впоратися з відомими загрозами може призвести до примусових заходів.

Ради директорів також ставлять більш гострі питання. Від CISO очікують пояснень ландшафту загроз AI, кількісної оцінки ризику, обґрунтування інвестицій та надання метрик, які доводять ефективність захисту. Кіберстраховики наслідують цей приклад, підвищуючи стандарти покриття та премії для організацій, що відстають.

Важливо усвідомлювати, що генеративний AI та агентні системи — це не загроза далекого майбутнього, вони вже тут і прямо зараз змінюють фішинг та смішинг. Зловмисники вже адаптувалися. Справжнє питання: чи можуть захисники встигати?

Для CISO цей момент вимагає рішучих дій:

• Впроваджуйте AI-нативні технології безпеки, які відповідають швидкості та масштабу супротивників.
• Переосмисліть Zero Trust як комунікаційну стратегію, а не лише модель доступу.
• Корелюйте сигнали з різних доменів, щоб вчасно виявляти багатоканальні кампанії.
•  Розширте захист на мобільні пристрої.
• Автоматизуйте реагування скрізь, де це можливо.
• Узгодьте управління, відповідність вимогам та стратегію ради директорів із цим ризиком, що еволюціонує.

Ті, хто діє завчасно, вже бачать відчутні переваги — нижчі показники зломів, швидше виявлення та стійкішу цифрову довіру. Ті, хто зволікає, втратять контроль і будуть змушені вести боротьбу на чужому полі.