По данным Комитета информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности РК, в 2024 году количество зафиксированных фишинговых инцидентов в Казахстане выросло на 34% по сравнению с предыдущим годом. Особую тревогу вызывает качество атак — злоумышленники активно применяют языковые модели для генерации убедительных текстов на казахском и русском языках.

Что такое фишинг и почему он до сих пор работает

Фишинг (от английского «fishing» — рыбалка) — это метод социальной инженерии, при котором злоумышленник выдаёт себя за доверенного отправителя, чтобы заставить жертву раскрыть конфиденциальные данные: логин, пароль, данные банковской карты или другую личную информацию.

Несмотря на то что о фишинге говорят уже почти 30 лет, он остаётся самым распространённым вектором кибератак. Причина проста: атакуется самое слабое звено — человек. Никакой антивирус или межсетевой экран не защитит вас, если вы сами введёте свои данные на мошенническом сайте.

«В 2024 году более 91% всех кибератак начинались с фишингового письма. Технологии защиты совершенствуются, но и атакующие не стоят на месте — разрыв не сокращается.»
— Аналитический отчёт по киберугрозам CERT.KZ, 2024

Новые схемы 2025 года

1. ИИ-генерированный spear phishing

Традиционный фишинг рассылался миллионам адресатов с одинаковым шаблонным текстом. Сегодня злоумышленники используют языковые модели для создания персонализированных атак. ИИ анализирует открытые данные о жертве — публикации в LinkedIn, упоминания в прессе, записи в реестрах компаний — и формирует убедительное письмо, ссылающееся на реальные события из жизни адресата.

Пример из практики: сотрудник казахстанской IT-компании получил письмо якобы от HR-директора своей же организации. В письме упоминались реальные имена коллег, недавно проведённый корпоратив и актуальная задача из системы управления проектами. Письмо содержало ссылку на «обновлённую политику отпусков» — на самом деле фишинговую страницу для кражи корпоративных учётных данных.

Важно знать

Персонализированное письмо — не признак легитимности. Злоумышленники умеют собирать информацию о вас из открытых источников. Всегда проверяйте адрес отправителя и переходите на сайты только через закладки или прямой ввод адреса, но не через ссылки из писем.

2. Deepfake-голосовой фишинг (Vishing)

В 2024–2025 годах участились случаи так называемого voice phishing с применением технологий клонирования голоса. Злоумышленники синтезируют голос руководителя или родственника жертвы и звонят с «срочной просьбой» о переводе денег или предоставлении данных.

Ряд казахстанских предпринимателей уже столкнулись с подобными схемами: им звонили «партнёры» с голосами, неотличимыми от оригинала, и просили срочно провести авансовый платёж по новым реквизитам. Ущерб в отдельных случаях составлял несколько миллионов тенге.

Визуальная схема атаки с клонированием голоса, показывающая путь от записи реального голоса через ИИ-синтез до звонка жертве с поддельным аудио

3. QR-код фишинг (Quishing)

QR-коды стали повсеместными — в меню ресторанов, на рекламных стендах, в счётах-фактурах. Злоумышленники наклеивают поддельные QR-коды поверх настоящих или рассылают их в письмах. При сканировании кода пользователь попадает на фишинговую страницу.

Этот метод особенно опасен тем, что большинство систем безопасности не анализируют содержимое QR-кодов в изображениях. Антифишинговые фильтры в почтовых клиентах просто «не видят» угрозу.

Как распознать фишинговое письмо в 2025 году

Классические признаки вроде орфографических ошибок и общих обращений «Уважаемый клиент» уходят в прошлое. Вот актуальные маркеры подозрительных писем:

  • Адрес отправителя: проверьте домен после символа @. Настоящий Kaspi Bank пишет с @kaspi.kz, а не @kaspi-bank-kz.com или @kaspibank.info.
  • Срочность и давление: «Ваш аккаунт будет заблокирован через 24 часа» — классический триггер страха. Настоящие организации не ставят ультиматумов по электронной почте.
  • Нетипичные запросы: банки и госорганы никогда не просят сообщить пароль, CVV-код карты или одноразовый код из SMS по почте или телефону.
  • Странные ссылки: наведите курсор на ссылку, не нажимая. Если в строке статуса браузера отображается адрес, не совпадающий с именем отправителя — не переходите.
  • Неожиданное вложение: любой файл, который вы не ожидали получить, потенциально опасен — особенно .exe, .doc с макросами, .zip и .iso.

Что делать, если вы уже попались

Если вы ввели свои данные на подозрительном сайте или скачали вложение, действуйте быстро:

  1. Немедленно смените пароль на всех сервисах, где используется тот же пароль.
  2. Заблокируйте банковскую карту через мобильное приложение банка или позвоните на горячую линию.
  3. Включите 2FA на всех важных аккаунтах, если ещё не сделали этого.
  4. Просканируйте устройство антивирусом, если открывали вложение.
  5. Сообщите об инциденте в KZ-CERT (cert.gov.kz) — это поможет защитить других пользователей.
  6. Предупредите близких — после взлома вашего аккаунта злоумышленники могут рассылать фишинг от вашего имени.

Полезный ресурс

KZ-CERT (cert.gov.kz) — национальная служба реагирования на компьютерные инциденты в Казахстане. Сообщайте о фишинге и других кибератаках через их официальный сайт. Это бесплатно и помогает защитить всё цифровое пространство страны.

Корпоративная защита от фишинга

Для организаций ставки значительно выше. Одна успешная атака может привести к компрометации всей корпоративной сети. Ключевые меры:

  • Регулярные тренинги по безопасности с симуляцией фишинговых атак
  • Внедрение DMARC, DKIM и SPF для защиты корпоративного домена от подделки
  • Принцип нулевого доверия (Zero Trust): каждый запрос проверяется, ни один пользователь не имеет избыточного доступа
  • Многофакторная аутентификация для всех корпоративных систем
  • Чёткий регламент: как сотрудники должны действовать при получении подозрительного письма

Фишинг будет эволюционировать вместе с технологиями. Но понимание принципов атак и несколько минут внимательности при работе с почтой — надёжная первая линия обороны, доступная каждому.