Фишинг 2.0
Старые письма с просьбой подтвердить пароль уже не работают. Теперь используют: клоны страниц входа (реалтайм), QR-фишинг (quishing), фишинг через мессенджеры (Telegram, WhatsApp).
Вишинг (голосовой фишинг)
Звонок от <службы безопасности банка>. Голосовые нейросети клонируют голос знакомого человека. Схема: звонок от <друга>, паника, просьба перевести деньги на <безопасный счет>. Реалистичность - 95%.
Претекстинг
Злоумышленник собирает информацию о жертве из открытых источников, затем звонит в техподдержку от ее имени. Знает: ФИО, дату рождения, последние 4 цифры карты, адрес - этого достаточно для сброса пароля в 70% случаев.
Кейс: атака на IT-компанию
Перезвон в техподдержку от имени стажера. Сотрудник сбрасывает пароль на почту, указанную звонившим. Доступ к корпоративной почте - фишинг внутри компании - компрометация инфраструктуры.
Защита
- Двухфакторная аутентификация (TOTP, аппаратные ключи).
- Запрет сброса пароля по звонку.
- Обучение сотрудников: не переходить по ссылкам из неожиданных сообщений.