Звіт Google і Mandiant «M-Trends 2026» підтверджує, що вішинг нині є другим найпоширенішим початковим вектором компрометації у світі та вектором №1 у хмарних середовищах. Платформи атак на базі ШІ вже можуть автоматизувати весь дзвінок із соціальною інженерією. Єдиний ефективний контрзахід – навчання персоналу розпізнавати та зупиняти такий дзвінок ще до того, як зловмисники досягнуть мети.
Чому поява вішингу серед головних загроз у звіті «M-Trends 2026» має значення?
Звіт M-Trends базується на понад 500 000 годинах робіт із розслідування реальних кіберінцидентів, які Mandiant проводила у 2025 році. Ці дані поєднано з телеметрією Google Threat Intelligence Group (GTIG). Якщо звіт фіксує певну тенденцію, вона вже має бути врахована в моделі загроз організації. Початок видання 2026 року присвячений не програмам-вимагачам, вразливостям нульового дня чи державним APT-групам. Він присвячений вішингу.
Основні вектори 2025 року
| Вектор атаки | Частка розслідувань у 2025 році | Зміни порівняно з 2024 роком |
| Експлойти (CVE) | 32% | Стабільно: 6-й рік поспіль на 1-му місці |
| Голосовий фішинг (вішинг) | 11% | ↑ Суттєве зростання |
| Раніше скомпрометовані системи | ~10% | ↑ Зростання з 5-го місця у 2024 році |
| Викрадені облікові дані | 9% | ↓ Зниження з 16% у 2024 році |
| Компрометація вебресурсів | 8% | Стабільно |
| Email-фішинг | 6% | ↓ Зниження з 14% у 2024 році |
| Інсайдерська загроза | 6% | ↑ Зростання з 5% у 2024 році |
Одночасне падіння email-фішингу на 8 відсотків і зростання вішингу не є випадковістю. Зловмисники обирають шлях найменшого спротиву. Захист електронної пошти покращився. Водночас людському голосу не стало простіше не довіряти. У хмарних середовищах вішинг був найпоширенішим початковим вектором: 23% компрометацій, пов’язаних із хмарою. Він випередив викрадені облікові дані (16%), email-фішинг (15%) та експлойти (6%).
У звіті зроблено важливе концептуальне розмежування: email-фішинг класифікується як неінтерактивна технічна приманка. Вішинг класифікується як інтерактивна взаємодія з людиною. Різниця має операційний характер: інтерактивні атаки «значно стійкіші до автоматизованих технічних засобів контролю» та потребують принципово інших стратегій виявлення. Телефонний дзвінок неможливо заблокувати міжмережевим екраном.
Ключові висновки зі звіту «M-Trends 2026»
- Вішинг нині є другим початковим вектором компрометації за результатами всіх розслідувань інцидентів Mandiant у 2025 році.
- Email-фішинг знизився до 6% вторгнень у 2025 році порівняно з 14% у 2024 році, тоді як частка вішингу зросла.
- UNC3944, що перетинається зі Scattered Spider, проводить вішингові кампанії щонайменше з початку 2022 року. Ці кампанії націлені на служби підтримки для обходу MFA.
- UNC6040 використовувала голосовий фішинг, щоб змусити своїх цілей авторизуватися у SaaS-застосунках, контрольованих зловмисниками. Надалі це використовувалося для вимагання під брендом ShinyHunters.
- У звіті зазначено, що інтерактивні голосові атаки значно стійкіші до автоматизованих технічних засобів контролю, ніж email-фішинг.
- Тренд «передавання доступу», коли один зловмисник отримує доступ через вішинг і продає його групі програм-вимагачів, може реалізовуватися менш ніж за 30 секунд.
Як виглядають реальні вішингові атаки?
У звіті «M-Trends 2026» як показові приклади згадуються UNC3944 і UNC6240, однак ці кампанії вже добре задокументовані. Новіші звіти про атаки демонструють подальше ускладнення методів вішингу. Зокрема, йдеться про доступну для купівлі інфраструктуру автоматизованих дзвінків на базі ШІ та про використання фейкових відеозустрічей державними угрупованнями. Такі зустрічі застосовуються для збору голосових записів, які надалі повторно використовуються в наступних атаках. Два нещодавні приклади варто розглянути детальніше.
Сценарій 1: набір для TOAD-атак; ШІ автоматизує весь дзвінок
У квітні 2026 року дослідники загроз з Abnormal AI опублікували аналіз кіберзлочинної платформи ATHR. Вона продається на підпільних ринках за 4000 доларів США плюс 10% прибутку. Це найнаочніший на сьогодні приклад того, як вішинг перетворився на індустріалізований процес.
ATHR об’єднує весь ланцюг атаки в одному браузерному продукті:
1. Доставка приманки: вбудований поштовий модуль генерує підроблені брендовані листи-сповіщення від імені Google, Microsoft, Coinbase або Binance. У них можна налаштовувати поля персоналізації: час блокування, невдалі спроби входу, останнє місце входу, IP-адресу. Кожен лист адаптується під конкретну ціль, щоб пройти поверхневу перевірку.
2. Маршрутизація зворотного дзвінка: коли ціль телефонує за номером, вказаним у листі, ATHR спрямовує дзвінок або до оператора-людини, або до голосового ШІ-агента на базі Asterisk WebRTC. Це та сама інфраструктура, яку використовують легальні кол-центри.
3. Соціальна інженерія на базі ШІ: агенти ШІ ATHR для вішингу працюють за структурованим сценарієм із 10 кроків. Вони перевіряють зворотний дзвінок, описують вигадану підозрілу активність в акаунті та виманюють шестизначний код підтвердження. Оператор-людина при цьому не бере участі в розмові. Один оператор може одночасно запускати кампанії проти кількох брендів.
4. Збір облікових даних у режимі реального часу: під час голосової взаємодії фішингові панелі ATHR перехоплюють облікові дані в режимі реального часу. Оператори бачать кожну ціль як активну сесію та можуть перенаправляти її на конкретні сторінки просто під час дзвінка.
Значення цього для захисників полягає в тому, що запуск масштабної вішингової кампанії більше не потребує досвідчених фахівців із соціальної інженерії. Платформа знижує вартість виконання атаки та дає змогу масштабувати її. Персонал служби підтримки, фінансовий відділ та ІТ-адміністратори стають системно доступними цілями.
Сценарій 2: UNC1069; фейкові зустрічі, запис голосу та північнокорейська інфраструктура
У квітні 2026 року дослідники Validin опублікували детальний аналіз UNC1069 (північнокорейського зловмисного угруповання, що перетинається з Bluenoroff). Воно проводить кампанії проти цілей у сферах криптовалют, Web3 та фінансових послуг.
Ланцюг атаки:
1. Зловмисники створюють вигадані образи представників венчурного капіталу та виходять на цілі через LinkedIn і Telegram. Для підвищення довіри вони використовують раніше скомпрометовані акаунти.
2. Вони планують зустрічі через посилання Calendly, які ведуть на фейкові платформи відеоконференцій. На рівні інфраструктури ці платформи імітують Zoom, Google Meet і Microsoft Teams.
3. Під час зустрічі зловмисники стверджують, що мікрофон або вебкамера цілі працює некоректно. Вони створюють відчуття терміновості та показують підказку в стилі ClickFix, пропонуючи вставити й виконати команду, щоб «виправити проблему».
4. Критично важливо, що ці фейкові платформи для зустрічей записують аудіо та відео цілі. Надалі ці записи повторно використовуються в наступних кампаніях для імітації реальних людей, зокрема у вигляді дипфейків керівників.
Це багатоетапна й тривала операція соціальної інженерії, у якій голосовий канал є одночасно вектором атаки та інструментом збору розвідданих. Mandiant відстежує цей кластер у межах ширших тенденцій використання раніше скомпрометованих систем та вішингу, описаних у «M-Trends 2026».
Чому ці атаки спрацьовують?
Обидва сценарії мають спільну структурну перевагу: вони експлуатують довіру до людської взаємодії у режимі реального часу.
Email-фішинг змушує ціль натиснути посилання й розраховує, що вона його не перевірить. Вішинг додає до атаки голос: терплячий, контекстний і здатний реагувати на відповіді. Автоматизовані email-шлюзи виявляють вкладення. Але вони не виявляють переконливий привід, озвучений зі швидкістю 0,9x і регіональним акцентом.
Як захиститися від вішингу? Навчити персонал розпізнавати такий дзвінок
Технічні засоби контролю зупиняють відоме шкідливе програмне забезпечення. Але вони не зупиняють абонента, який називається працівником вашого ІТ-відділу й просить фінансового директора погодити банківський переказ, бо генеральний директор на зустрічі та недоступний. Єдиний масштабований захист – формування правильної поведінкової реакції через реалістичні симуляції. Команда має безпечно зіткнутися саме з тією динамікою дзвінків, яку використовують зловмисники, і отримати зворотний зв’язок з просвітницьким контекстом.
Як працюють симуляції вішингових атак
Добре розроблена програма симуляції вішингу має дві окремі цілі:
1. Аудит і оцінювання ризиків
Проводиться реалістична вішингова кампанія проти організації без завчасного повідомлення. Після цього збираються поведінкові дані. Які команди повідомляють про те, що виявилися ціллю кампанії? Які ролі розкривають облікові дані під тиском? Які приводи спрацьовують? Це допомагає визначити конкретні групи, яким потрібне цільове навчання.
2. Тренінги для підвищення обізнаності
Симуляція використовується як навчальний механізм. Якщо користувач не проходить вішинговий дзвінок, він одразу має отримати коротке пояснення та розбір ситуації з освітньою метою. Він має відбутися у момент помилки, а не під час квартальної презентації.
Що робить симуляцію вішингу достатньо реалістичною та корисною?
Три змінні визначають, чи дасть симуляція практично корисні дані, чи лише нерелевантні результати:
Привід: сценарій має відображати реальні тактики зловмисників: імітацію служби підтримки ІТ, сповіщення про банківське шахрайство, імітацію керівника, зворотний дзвінок від HR. Узагальнені приводи дають результати, які не можна коректно перенести на реальне оцінювання ризиків.
Голос: голос абонента має відповідати приводу. У симуляціях на базі ШІ клонування голосу дає змогу змоделювати атаку, де голос схожий на знайомого колегу або керівника. Це саме той сценарій, якого побоюється CISO і який UNC1069 уже застосовує.
Номер телефону: підроблені номери, що виглядають як внутрішні номери організації або номери відомого постачальника, різко підвищують частку виконання вимог. Якщо в симуляції використовується звичайний номер, перевіряється сценарій, який уже є менш ризиковим, ніж ті, що застосовують зловмисники.
Коли варто використовувати симуляцію вішингу на базі ШІ?
Два очевидні сценарії:
| Сценарій використання | Чому потрібна симуляція на базі ШІ |
| Масштабні кампанії (понад 100 користувачів) | Оператори-люди не можуть масштабуватися економічно ефективно. Голосова симуляція на базі ШІ дає змогу протестувати всю організацію в межах одного вікна кампанії. |
| Сценарії просунутих загроз | Перевірка стійкості працівників до клонування голосу та дипфейків потребує використання самої технології, а не оператора-людини, який читає сценарій. |
Платформа Arsen для симуляції вішингу використовує ШІ для роботи з голосом у режимі реального часу та клонування голосу, щоб відтворювати саме ті вектори атак, які описані в «M-Trends 2026». Кампанії можна спрямовувати на групи підвищеного ризику (фінанси, ІТ, керівників) або запускати на рівні всієї організації. Результати відстежуються на рівні окремих користувачів і команд та інтегруються в безперервні процеси навчання з кібербезпеки.
Що має входити до програми симуляції вішингу?
- Бібліотека сценаріїв, що охоплює імітацію служби підтримки ІТ, шахрайство від імені керівників, зворотні дзвінки від HR, імітацію постачальників, спроби обходу MFA.
- Варіанти голосу: стандартний голос ШІ, відповідність регіональному акценту та імітація керівника за допомогою клонованого голосу.
- Підроблений caller ID, що відповідає внутрішнім номерам або номерам відомих постачальників.
- Відстеження дзвінків у режимі реального часу та метрики частки виконання вимог.
- Негайний зворотний зв’язок з просвітницькою метою після дзвінка для користувачів, які виконали вимоги.
- Звітні дешборди для CISO з видимістю ризиків за командами, ролями та локаціями.
Якщо вас зацікавила Arsen, платформа для симуляції фішингу, вішингу та смішингу, і ви бажаєте безкоштовно отримати її тестову версію, будь ласка, залиште свої контактні дані у формі нижче.
