Письма, созданные моделями, имеют CTR 54% против 12% у ручных атак. Это демократизация advanced phishing: теперь кто угодно может отправить убедительное письмо, не имея навыков социальной инженерии. Защита через SMS-2FA и базовые фильтры мертва. Нужна архитектура.
Еще недавно хороший фишинг делали люди, которые понимали психологию, умели писать и знали, где давить. В 2026 году это стало услугой по запросу. Генеративный ИИ дает две вещи, которые всегда были роскошью для злоумышленников: дешевизну и масштаб. Пять минут, один промпт, и у вас письмо, которое звучит как корпоративный юрист и одновременно как заботливая поддержка. Дальше оно летит не в десятки ящиков, а в тысячи.
Схема начинается с OSINT. Скрипты собирают данные из LinkedIn, X, GitHub и других публичных источников: имена, должности, проекты, интересы. Модели переваривают стиль человека по постам, открытым письмам, презентациям на SlideShare, кускам публичной переписки. Следующий шаг это письмо. Типичный промпт выглядит буднично: вы представляете Microsoft, напишите CFO компании о продлении лицензий, используйте термины из квартального отчета, добавьте срочность, не перегибайте. ИИ делает остальное: выдерживает тон, подставляет детали вроде имени CEO, названия проекта, внутренних сокращений, и вставляет дедлайн, например лицензии истекают 15 января, подтвердите немедленно.
Дальше начинается игра на внимательность. В письме не обязательно будет откровенно подозрительная ссылка. Будет домен-двойник, который визуально почти не отличим. Самый популярный трюк это подмена символов, когда microsоft-update.com отличается от microsoft.com не смыслом, а буквой о из кириллицы. В теме письма может быть закрепленная картинка с логотипом, в подписи фальшивый номер поддержки. Для человека это выглядит как привычная корпоративная коммуникация, а не как атака.
Почему это работает так хорошо? Потому что один удачный шаблон масштабируется как продукт. Тот же текст можно прогнать по тысячам целей, прогреть его A/B тестом, посмотреть, что улетает в спам, и переписать под фильтры. Раньше такую оптимизацию делали команды, теперь это делает модель. На выходе и получается то, что называют новой нормой: 54% кликов по AI-письмам против 12% у ручных атак. Этого более чем достаточно для компрометации.
В октябре 2025 на рынке уже фиксировали цифру 82.6% писем с AI-сгенерированным контентом. Рост с 2023 года оценивают как 1,265%. И это не только про преступность, это про экономику. Подписка на API за $20 в месяц дает около миллиона токенов, а значит сотни тысяч персонализированных писем, если злоумышленник не ленится. При этом привычная стилистическая экспертиза почти бесполезна: письмо написано никем, оно не имеет устойчивого автора, его нельзя надежно привязать к человеку по стилю.
Почему привычная защита не успевает
Три буквы SPF, DKIM и DMARC сами по себе не умерли. Они просто решают не ту часть задачи. DMARC проверяет согласованность домена отправителя, а в современных атаках часто не подделывают microsoft.com. Регистрируют похожий домен и проходят проверки честно. В заголовках будет домен корректный, фильтр формально удовлетворен, письмо едет дальше. Именно поэтому Microsoft и Google еще с мая 2025 начали требовать DMARC p=reject для high-volume отправителей, то есть от 5 тысяч писем в день. Это хороший шаг, но он защищает в первую очередь крупных игроков. Малый и средний бизнес остается в зоне риска.
SMS-2FA тоже не панацея. Ее обходят не магией, а разговором. Письмо говорит подтвердите вход, используйте код из SMS, которое вы получите. Жертва действительно получает реальный код и вводит его в поддельную форму. И атака завершена. В этом месте важно понять механику: второй фактор перестает быть фактором, если его можно выпросить. Яркий пример того, как это работает на практике, мы разбирали в кейсе Кайла Свары, который убедил сотни пользователей добровольно отдать коды доступа. А еще он уязвим к SIM-swap, когда номер перехватывают через оператора. По сути, SMS-2FA это барьер, но слабый, и в 2026 он слишком часто ломается именно через человека.
BEC-атаки: Взлом доверия
Самый узнаваемый класс таких атак это BEC, когда злоумышленник не ломает инфраструктуру, а ломает доверие. В 2025 году типичный сценарий выглядел так: письмо от CEO якобы от финансового директора, нужна срочная проверка платежа на $150K, вот ссылка. Сотрудник кликает, видит поддельную страницу входа Office 365, вводит учетные данные, получает благодарность и думает, что все прошло. На деле доступ украден, и через час деньги уходят wire transfer на счет в Гонконге. Обнаружение часто занимает 48-72 часа. Для финансовых операций это вечность.
По оценкам, BEC-атаки выросли на 1,760% после появления GPT-4, а средний ущерб инцидента называют на уровне $4.89 млн. При этом примерно 67% BEC-писем попадают на внешние почтовые ящики, потому что руководители нередко читают почту не из корпоративного контура. И есть жесткий календарный фактор: 5 мая 2026 Microsoft требует DMARC p=reject, иначе компании начнут терять доставляемость в Outlook. Это важно, потому что Outlook это около 45% корпоративных ящиков в мире.
Мифы 2026 года тоже понятны. Фильтры якобы распознают спам. На практике AI-письма проходят фильтрацию в 47% случаев против 18% у ручных. URL-фильтры якобы спасают. Но около 34% AI-фишинговых ссылок не блокируются даже крупными игроками уровня Cisco, Zscaler или Cloudflare, потому что приманка может жить на легитимных платформах вроде Render или Vercel, а вредоносный сценарий подгружается после клика. Обучение сотрудников тоже не волшебная таблетка. Оно помогает, но в среднем работает в 12% случаев, потому что современные письма умеют копировать аватары, подписи и номера телефонов, то есть закрывают привычные маркеры подозрения.
Что действительно меняет ситуацию, это слоистая архитектура. На уровне почты нужны жесткие настройки доменной аутентификации, DMARC p=reject, DKIM, SPF, а также изоляция ссылок, переписывание URL и проверка в песочнице, чтобы клик не вел напрямую на цель. Дальше подключается поведенческий анализ на шлюзе: письмо якобы от руководителя, но отправлено ночью, идет с неожиданной инфраструктуры, тянет на новый домен, просит срочно перевести деньги. Такие аномалии ловятся не словами, а паттернами. Поэтому рынок и идет в сторону AI vs AI, когда системы вроде Proofpoint TAP, Mimecast или Abnormal Security пытаются перехватить письмо по поведению, а не по наличию стоп-слов.
Третий слой это нормальная многофакторная аутентификация. Не SMS и не коды, которые можно попросить, а аппаратные ключи FIDO2, например YubiKey или Google Titan. Их принцип простой: ключ подписывает запрос криптографически и требует физического действия, поэтому украденного пароля недостаточно. Проблема в том, что к 2026 году около 85% компаний все еще без FIDO2 и живут на SMS или приложениях-аутентификаторах.
И, наконец, мониторинг идентичностей. Откуда вошли, появилось ли неожиданное правило пересылки писем, начались ли попытки восстановления MFA, изменились ли привилегии. Это позволяет ловить компрометацию за часы, а не за дни, когда деньги уже ушли.
В сухом остатке генеративный ИИ не изобрел фишинг. Он сделал его доступным, быстрым и почти промышленным. Поэтому бороться с ним нужно не одним приемом, а системой. Иначе у вас всегда будет один невнимательный клик, который обнуляет весь красивый набор правил и политик.
