Фішинг трансформується: які головні загрози існують у 2025 році та як їм протидіяти

Цей спосіб цифрового обману відомий вже кілька десятків років, але й досі залишається одним із найнебезпечніших кіберзагроз як для окремих користувачів, так і для компаній. За даними звіту IBM X-Force Threat Intelligence Index 2024, саме фішингові атаки стали основним методом проникнення у корпоративні мережі – 41% від усіх випадків. Компанія Proofpoint у своєму щорічному звіті зазначає, що 75% організацій по всьому світу стикалися хоча б з однією спробою фішингу. Ці цифри свідчать: проблема не тільки не зникає, а й постійно зростає та трансформується.

Як усе починалося: еволюція фішингу

Фішинг як явище виник ще в 1990-х роках, коли шахраї надсилали фальшиві електронні листи від імені банків, намагаючись викрасти логіни й паролі. З часом інструменти вдосконалилися: з’явилися масові розсилки, фальшиві сайти, переконливі шаблони. 

В основі фішингу лежить соціальна інженерія: зловмисники апелюють до емоцій, страху чи терміновості. Наприклад, у звіті Verizon Data Breach Investigations Report 2024 зазначається, що на фішинг та претекстінг припадає 73% інцидентів, пов’язаних із соціальною інженерією.

Тренди 2025 року: що змінилося у тактиках фішингу

Сучасні фішингові кампанії стали більш персоналізованими та технічно складними. Атаки дедалі частіше використовують штучний інтелект для генерації правдоподібного контенту. Наприклад, листи створюються на основі попередніх розмов або стилістики жертви. Зростає популярність voice phishing (вішинг) – дзвінки від “співробітників банку” або “служби безпеки”, де використовується синтезований голос. Активно застосовуються фішингові атаки через месенджери, соціальні мережі, навіть корпоративні чати. 

Але справжні радикальні зміни у правила гри вніс штучний інтелект. Зловмисники так вміло використовують генеративні моделі для створення текстів, що жертвам атаки важко відрізнити вигадані повідомлення від листування реальних людей. ШІ допомагає атакувальникам адаптувати фішингові сценарії до конкретної аудиторії, враховуючи професію, мову, поведінку жертви. Такі інструменти як deepfake-відео чи синтез голосу на базі реальних зразків значно ускладнюють виявлення шахрайства. В результаті у 2025 році фішинг більше не виглядає як груба масова розсилка. Це цільові атаки, зрежисовані за допомогою надсучасних технологій.

Як себе захистити: поради, що працюють

1. Навчання працівників – регулярні тренінги з кібергігієни допомагають розпізнати фішинг. Компанії, що інвестують у навчання, знижують ризики атак удвічі.
2. Двофакторна автентифікація (2FA) – навіть якщо зловмисник отримає логін і пароль, без додаткового коду увійти не зможе.
3. Фільтри та захист пошти – сучасні системи безпеки здатні виявляти та блокувати підозрілі листи, ще до того як їх відкриє користувач.
4. Уважність до деталей – перевірка адреси відправника, наявність помилок, підозрілий стиль – усе це сигнали небезпеки.
5. Звітність про підозрілу активність – варто одразу повідомляти IT-відділ або відповідального спеціаліста, якщо виникла підозра на фішинг.

Фішинг адаптується до нових умов, тому протидія йому має бути не менш динамічною. Технічний захист має поєднуватися з обізнаністю користувачів. Регулярне оновлення систем безпеки, інвестування в освіту та вміння критично мислити – основа захисту у 2025 році. Бо найслабшою ланкою часто залишається не система, а людина.