Интернет хочет тебя обмануть. Как устроены угрозы 2026 года и как им противостоять

Когда-то достаточно было проверить, нет ли в письме орфографических ошибок и незнакомого отправителя. Этот совет устарел. В 2026 году фишинговые письма пишет нейросеть — без опечаток, с правильным стилем, а иногда и с точным знанием того, где ты работаешь и как зовут твоего руководителя.

Как ИИ изменил фишинг

Данные аналитической компании Hoxhunt показали любопытную аномалию: на протяжении большей части 2025 года доля AI-генерированных фишинговых писем держалась ниже 5%. А в декабре скачок — до 56%. Рост в 14 раз за один месяц. В январе 2026-го показатель немного откатился — до 40%, — но «новая норма» уже установилась.

Генеративные модели позволяют атакующим делать то, что раньше требовало либо времени, либо специальных навыков: анализировать публичные данные о жертве, имитировать корпоративный стиль переписки, адаптировать тон под конкретного получателя. Правило «плохо написанное письмо = фишинг» окончательно перестало работать.

Дипфейки, QR-коды и голосовые атаки

Угрозы давно вышли за пределы почты.

Вишинг и дипфейки — голосовые и видеозвонки с имитацией руководителей или коллег. По данным одного из отраслевых опросов, 85% компаний столкнулись хотя бы с одним инцидентом, связанным с дипфейками за последний год. Мошенники звонят «от лица CEO» с просьбой срочно перевести деньги — и это уже не фантастика, а рутина корпоративной безопасности.

Quishing — фишинг через QR-коды. Вредоносная ссылка кодируется в изображение, которое не видят текстовые фильтры и антиспам-системы. С 2023 по 2025 год количество таких атак выросло на 400%, сильнее всего пострадали энергетика и здравоохранение.

Smishing — SMS-фишинг. Атаки через мессенджеры и текстовые сообщения растут параллельно с тем, как люди переносят рабочую коммуникацию в Telegram, WhatsApp и Slack. Поддельные уведомления о доставке, банковские алерты, «верификации» аккаунтов.

AiTM: когда двухфакторка больше не спасает

Отдельного внимания заслуживает класс атак AiTM — Adversary-in-the-Middle. Злоумышленник не крадёт пароль напрямую, а перехватывает сессионные cookies уже после успешной авторизации, в том числе с двухфакторной аутентификацией. Число таких атак в 2024 году выросло на 146%, и тенденция сохраняется.

Это означает, что SMS-код или TOTP-приложение само по себе не гарантирует защиту. Нужны аппаратные ключи (FIDO2/Passkeys) и внимательность к адресной строке браузера.

Что реально помогает

Не существует серебряной пули, но есть связка практик, которая существенно снижает риски:

1. Passkeys вместо паролей — там, где сервис поддерживает аппаратную аутентификацию, используй её. Ни фишинговый сайт, ни AiTM-атака не могут перехватить ключ, привязанный к устройству.
2. Проверяй домен, не содержимое — красивое письмо ничего не значит. Смотри на заголовки, домен отправителя, путь ссылки (наведи курсор, не кликай).
3. QR-коды — зона повышенного внимания — перед тем как открыть ссылку из QR, посмотри в адресную строку. Большинство камер и браузеров показывают URL до перехода.
4. Корпоративные запросы через второй канал — если «директор» просит что-то срочное в мессенджере, позвони по известному тебе номеру для подтверждения.
5. Менеджер паролей — уникальный пароль на каждом сервисе. Если один утечёт, остальные в безопасности.

Интернет 2026 года — это среда с профессиональными, автоматизированными и персонализированными угрозами. Привычка думать «со мной это не случится» стала дорогостоящей роскошью.