Точечная атака LLM на ваши аккаунты может начаться с письма рекрутера. Разбираем, почему старые эвристики безопасности больше не работают и что делать.— Читать дальше «Будущее мошенничества уже здесь: как LLM превращают целевые атаки в массовый продукт»
Если вы ищете работу и получили идеально подходящее предложение от рекрутера в LinkedIn — не спешите радоваться. Это может быть не вакансия, а первая сцена массовой пьесы, поставленной LLM специально для вас.
Сценарий придумал разработчик и исследователь безопасности Manish Goregaokar в материале «The Future of the Con Is Already Here», опубликованном 17 июня 2026 года. Его герой проходит «собеседование», подписывает NDA через фальшивый SSO, а спустя полгода обнаруживает украденную личность, пустой брокерский счёт и отсутствие доступа к почте. И всё это — работа одной языковой модели.
Что такое LLM-афера? Это не просто сгенерированное фишинговое письмо. Это целая цепочка действий — исследование жертвы, создание правдоподобного контекста, поддельные интервью, компрометация аккаунтов и извлечение денег — которую модель может поддерживать тысячами копий одновременно.
LLM заполняют середину между дешёвым спамом и дорогими целевыми атаками: аферы становятся персонализированными и масштабируемыми одновременно.
Цена персонализированного фишинга уже измеряется центами за письмо, а успешность почти втрое выше обычной рассылки.
Масштабируемость даёт атакующим терпение, возможность комбинировать схемы и превращать тысячи скомпрометированных аккаунтов в инструмент давления на платформы.
Привычные проверки реальности — красивый текст, веб-присутствие, голос, видео — перестают быть надёжными.
Новая защита: многоканальная верификация через инициированный вами контакт, аппаратный 2FA и понимание «швов» в системах.
Атака начинается не со спама, а с разведки. LLM собирает досье из открытых источников: резюме, публикации, соцсети, упоминания конференций. На основе этого она выбирает приманку — скажем, вакансию в компании, о которой вы мечтаете, с зарплатой чуть выше рынка.
Дальше — письмо от рекрутера, идеально попадающее в ваш опыт; короткий скрининг; и ссылка на подписание NDA в сервисе для юридических документов. Вы входите через Sign in with Google или Apple ID — и видите привычную страницу входа. Но это не настоящий OAuth: атакующий использует ваш пароль и последующий запрос двухфакторной аутентификации, чтобы создать сессию в вашем настоящем аккаунте.
После компрометации модель не действует сразу. Она мониторит почту и календарь, фильтрует предупреждения от банков и облачных сервисов, чтобы жертва не заметила следов. Скачиваются файлы, ищется информация для кражи личности, открываются кредитные карты.
Чтобы вывести деньги, атакующий может войти в брокерский счёт, который вы не трогаете месяцами, добавить счёт получателя и переводить небольшие суммы, имитируя обычную активность. Перевод запланирован на отпуск — модель знает даты из вашего календаря.
Когда риск раскрытия становится высоким, жертва блокируется из собственных аккаунтов. Процесс восстановления занимает месяцы, а часть средств уже не вернуть. Ирония в том, что «отказ» после собеседования был нужен только для того, чтобы вы не задавали лишних вопросов и не меняли пароли.
Раньше угрозы были примерно бимодальными. С одной стороны — дешёвый спам, который ловит менее внимательных пользователей. С другой — дорогие целевые атаки, которые имеют смысл только против VIP или крупных сумм: классический пример — афера на $25 млн в Гонконге с использованием дипфейков на видеоконференции.
В принципе, вы либо имеете дело с Моссадом, либо не имеете. Если противник — не Моссад, то вам достаточно хорошего пароля и игнорирования писем от ChEaPestPAiNPi11s@virus-basket.biz.ru.
James Mickensпрофессор информатики, Гарвардский университет
Эта шутка отражает старую реальность: возможности атакующих были либо очень дешёвыми и неточными, либо очень дорогими и точными. Целевую атаку на рядового специалиста просто не окупалось: нужна была команда, время, инфраструктура, и это не масштабировалось.
LLM меняют распределение. Исследование 2024 года показало, что персонализированный spear phishing с помощью языковых моделей обходится примерно в 4 цента за письмо, а в более позднем эксперименте на 7700 участниках LLM-письма дали кликабельность 10,0% против 3,9% у обычных рассылок. Модели 2026 года заметно сильнее.
Когда афера стоит центы, её можно запускать в цикле. Это не метафора: один оператор может вести тысячи сценариев параллельно. Масштаб открывает три новых свойства, которых раньше не было у индивидуальных атак.
Goregaokar приводит аналогию с фильмом «Афера» (1973): то, что раньше требовало зала, реквизита, костюмов и десятков людей, сегодня может получиться за несколько запросов к модели.
Мы привыкли проверять реальность по косвенным признакам. Хороший русский язык, персональные детали, активный LinkedIn, возможность позвонить или выйти на видео — всё это было признаком настоящего человека и реальной организации, потому что такой уровень работы стоил денег и времени.
Сегодня эти признаки генерируются за минуты. LLM пишет текст, клонирует голос, создаёт дипфейк-видео в реальном времени, делает поддельный сайт и поддельные профили. Эвристики, построенные на стоимости обмана, перестают работать.
Появляется и обратный эффект — дивиденд лжеца: мы перестаём быть уверены в том, что видим и слышим. Если родственник просит срочно перевести деньги на видеозвонке, вы не можете быть уверены, что это он, и не можете быть уверены, что его аккаунт не взломали. Проверка требует всё больших усилий.
Проблема касается не только людей, но и институтов. В США потребительская защита Regulation E чётко разделяет несанкционированный перевод (банк обязан вернуть деньги) и ситуацию, когда вас убедили перевести деньги сами. Когда LLM может действовать изнутри вашего аккаунта, эта граница размывается. В Великобритании в 2024 году приняли закон, обязывающий банки возмещать ущерб жертвам так называемого authorized push payment fraud — признание того, что старая логика уже не работает.
Полностью застраховаться от обмана невозможно — оптимальное количество мошенничества не равно нулю. Но можно сделать себя дорогой и неудобной целью.
From: и Caller ID подделываются.Важно понимать, кого защищают системы, которыми вы пользуетесь. Многие «швы» — например, лояльное отношение к спорным переводам или простая смена получателя — существуют не потому, что банки глупы, а потому что удобство стоит дороже редких потерь. Когда такие «швы» начинают эксплуатировать тысячи скомпрометированных аккаунтов одновременно, экономика меняется, и платформам придётся пересматривать правила.
Часто задаваемые вопросы
1
Что такое LLM-афера?
Это многоступенчатая атака, в которой языковая модель исследует жертву, создаёт правдоподобный сценарий — от собеседования до знакомства — компрометирует аккаунты и извлекает деньги. Главное отличие от классического фишинга — масштабируемость и персонализация одновременно.
2
Почему технически грамотные люди тоже попадаются?
Потому что атака не опирается на глупость. Она использует доверие к привычным сервисам — LinkedIn, Google, Apple ID, банк — и работает через компрометацию этих сервисов, а не через явную просьбу перевести деньги незнакомцу.
3
Можно ли отличить дипфейк-звонок от настоящего?
Нельзя полагаться на качество видео или голос. Лучшее, что можно сделать, — перезвонить человеку самостоятельно на известный номер или задать вопрос о событии, которое не записано в цифровом виде.
4
Как защитить аккаунты от такого сценария?
Включите аппаратный ключ FIDO2/WebAuthn для критичных сервисов: он привязывает аутентификацию к домену и не позволяет фишинговому сайту украсть сессию. Не используйте SMS-коды для важных аккаунтов.
5
Что делать, если близкий просит деньги в мессенджере?
Не переводите по первой просьбе. Позвоните на известный номер, используйте заранее договорённый устный пароль или спросите о чём-то, что знаете только вы двое. Если человек настоящий, он поймёт осторожность.
Будущее мошенничества уже здесь, но распределено неравномерно. Все описанные возможности — клонирование голоса, дипфейк-видео, автоматическое исследование жертв, мониторинг скомпрометированных аккаунтов — существуют сегодня и будут только дешеветь.
Будущее мошенничества уже здесь. Оно просто распределено неравномерно.
Manish Goregaokarразработчик и исследователь безопасности
Следующие годы станут гонкой вооружений: платформы и регуляторы будут пересматривать защиту, а атакующие — искать новые «швы». Пока институции адаптируются, единственное, что остаётся лично нам, — обновить эвристики: не доверять входящим каналам, верифицировать через исходящие и делать себя дорогой целью. И помогать разобраться родителям и друзьям, которые о таких вещах могут не знать.
— Manish Goregaokar — The Future of the Con Is Already Here, It's Just Not Evenly Distributed
— Evaluating Large Language Models' Capability to Launch Fully Automated Spear Phishing Campaigns
— Bruce Schneier — Mickens on Security
— CNN — Hong Kong worker loses $25 million in deepfake video call scam
| # | Наименование новости | Тональность | Информативность | Дата публикации |
|---|---|---|---|---|
| 1 | Fine-tuning LLM в 2026: гид по LoRA, QLoRA и полному дообучению | 0 | 7 | 25-06-2026 |
| 2 | Почему классический CI/CD не справляется с LLM (и какие release gates мы построили, чтобы это исправить) | 0 | 7 | 04-07-2026 |
| 3 | Как написать отчёт по практике с помощью ИИ и готовых промптов? | 5 | 7 | 02-07-2026 |
| 4 | AI-агенты сломали управление жизненным циклом идентификации. Что с этим делать | 0 | 7 | 04-07-2026 |
| 5 | Как ограничить расходы на OpenAI API, чтобы ИИ-агенты не сожгли бюджет | 0 | 8 | 04-07-2026 |
| 6 | ТОП-10 ИИ-сервисов для помощи с чертежами в 2026 году | 0 | 5 | 26-06-2026 |
| 7 | Нейросеть для генерации видео: ТОП-6 ИИ для создания видео в 2026 году | 0 | 8 | 03-07-2026 |
| 8 | Нейросеть для генерации изображений: ТОП-7 ИИ генераторов картинок в 2026 | 0 | 7 | 03-07-2026 |
| 9 | Как заполнять дневник по практике с помощью ИИ за один вечер? | 5 | 7 | 01-07-2026 |