Как распознать фишинг в Gmail с помощью ИИ и как ему противостоять

Этот тип атаки стал заметен недавно: злоумышленники используют ИИ‑голоса и техники подделки писем, чтобы заставить жертву думать, что ей звонит служба поддержки Google. Подробно разберём, как работает схема, какие есть признаки подделки и что делать, если вы получили такое письмо или звонок.

Как работает фишинг с ИИ через Gmail

Схема, задокументированная в блоге исследователя Sam Mitrovic, работает так:

1. Злоумышленник пытается войти в ваш аккаунт Google. Это вызывает стандартное уведомление о попытке входа на ваше устройство.
2. Если вы отклоняете уведомление, через ~40 минут мошенники звонят вам и включают синтезированный голос, имитирующий сотрудника службы поддержки Google.
3. Голос сообщает, что аккаунт взломан и ссылается на раннее уведомление. Затем он просит конфиденциальную информацию (пароли, коды подтверждения, доступ к почте).
4. Параллельно приходит профессионально выглядящее письмо от «поддельного» отправителя, что повышает доверие.

Почему это выглядит правдоподобно

• Номер звонка может маскироваться так, чтобы казаться исходящим от Google.
• Электронное письмо оформлено в корпоративном стиле и использует похожий адрес отправителя.
• Синтезированный голос звучит естественно и говорит профессиональным языком.

Важно: Google редко инициирует телефонный звонок пользователю, если только речь не идёт о Business Profile или согласованных службах. Любой неожиданный звонок от «Google» — повод насторожиться.

Признаки мошенничества (чеклист для пользователя)

• Внезапный звонок после отклонённого уведомления о входе.
• Запрос пароля, кода подтверждения или опции «передать доступ».
• Адрес отправителя в письме отличается на один‑два символа (т.н. typo‑squatting).
• Давящая тактика: угроза блокировкой аккаунта, если вы не действуете немедленно.
• Просьбы перейти по ссылке и ввести логин/пароль вне официального сайта.

Что делать немедленно, если вам позвонили или пришло похожее письмо

• Прервите звонок. Не сообщайте данные.
• Не переходите по ссылкам и не скачивайте вложения из подозрительных писем.
• Откройте страницу https://support.google.com напрямую (введите адрес в браузере) и найдите раздел помощи по безопасности.
• Проверьте последние попытки входа в аккаунт Google: Моя учётная запись → Безопасность → Активность на устройстве.
• Включите двухфакторную аутентификацию (2FA), если она ещё не включена.

Пошаговый план реагирования (runbook) для пользователя

1. Закройте разговор и не подтверждайте данные. Запишите точное время звонка и номер, если он виден.
2. Откройте настройки безопасности аккаунта Google и смените пароль с другого защищённого устройства.
3. Отзовите все сессии и приложения, которые вы не узнаёте.
4. Включите 2FA: используйте аппаратный ключ или приложение‑генератор кода (лучше аппаратный ключ для максимальной защиты).
5. Проверьте почтовые фильтры и пересылки: убедитесь, что не добавлены правила пересылки на чужой адрес.
6. Свяжитесь с официальной поддержкой Google через сайт помощи и сообщите об инциденте.
7. Если есть подозрение, что были утечены финансовые данные — свяжитесь с банком и мониторьте операции.

Критерии приёмки: если вы завершили шаги 2–5 и активность входов нормализовалась, инцидент можно считать локализованным.

Для IT‑администратора или службы поддержки

• Быстрая блокировка скомпрометированных сессий и сброс привилегий.
• Анализ логов входа по IP и географии, мониторинг аномалий.
• Проверка правил переадресации и прав доступа в почтовых ящиках.
• Уведомление пользователей и запуск кампании по повышению осведомлённости.

Когда эта схема не сработает (контрпример)

Схема чаще всего проваливается, если пользователь:

• Использует аппаратный ключ как второй фактор. Аппаратный ключ нельзя выдать по телефону.
• Отключает все входы, требующие подтверждения через страницу Google (не через сторонние ссылки).

Альтернативные подходы к защите

• Используйте менеджер паролей: он автоматически заполняет формы только на авторизованных доменах.
• Для корпоративных аккаунтов — настройте политики безопасности: обязательный аппаратный 2FA, ограничение логинов по географии.
• Обучение сотрудников: инсценированные фишинг‑тесты и регулярные напоминания.

Краткие эвристики (ментальные модели)

• «Не доверяй неожиданному» — неожиданный звонок от службы поддержки почти всегда подозрителен.
• «Проверяй источник» — вводите URL вручную или используйте закладки для входа в важные сервисы.
• «Аппаратный ключ решает» — для критичных аккаунтов аппаратный 2FA минимизирует риск компромета.

Короткий словарь

• 2FA — двухфакторная аутентификация: второй уровень проверки, например код или аппаратный ключ.
• Spoofing — подделка данных отправителя/номера телефона, чтобы выглядеть как доверенный источник.
• Social engineering — методы психологического воздействия для вытягивания секретов.

Итог

Мошеннические звонки с использованием синтезированного голоса и поддельных писем выглядят правдоподобно, но их можно распознать и остановить. Прекращайте разговор, проверяйте информацию через официальный сайт Google и включайте надёжную двухфакторную аутентификацию. Если есть сомнения, следуйте пошаговому плану реагирования и обратитесь в официальную поддержку.

Важно: если вы сомневаетесь — никогда не передавайте пароли и коды по телефону или через ссылки из письма. Тишина и проверка — ваши лучшие инструменты.