PAS7 Studio

Фішинг, вішинг і крадіжка облікових даних у 2026 році: як насправді працюють атаки на ідентичність

Практичний глибокий розбір фішингу, вішингу, обходу MFA, крадіжки сесій, credential stuffing та контролів захисту ідентичності у 2026 році для користувачів, засновників, CTO та інженерних команд.

19 трав. 2026 р.· 16 хв читання· Технології
Кому підійдеЗасновники та product ownersCTO і tech leadsІнженерні командиОпераційні команди, яким важлива безпекаКерівники support та operations
Людина отримує фальшивий дзвінок від служби безпеки, поки одноразові коди, MFA-запити та ідентифікаційні дані затягуються у цифровий шторм крадіжки
Гайд / СеріяСтаття серії

Кібербезпека 2026: гід з атак, детекції та захисту

Серія PAS7 Studio про практичну кібербезпеку у 2026 році: типові шляхи атак, сигнали детекції та конкретні патерни захисту.

Усі статті в цьому гайді

01

Кібербезпека у 2026: найпоширеніші атаки і базовий план захисту

Огляд attack landscape, типових сценаріїв компрометації та практичного baseline для людей, продуктів і команд.

Опубліковано

02

Phishing, vishing і credential theft: як атакують облікові записи

Детальний розбір фішингу, AiTM, device-code phishing, MFA fatigue, vishing, infostealers і захисту identity layer.

Ви тут

03

Ransomware і data extortion: як готувати продукт до найгіршого дня

Підготовка до ransomware: сегментація, immutable backups, detection, response plan, recovery drills і переговорні ризики.

Заплановано

04

DDoS у 2026: як захищати сайт, API та edge-інфраструктуру

Практичний deep dive у L3/L4/L7 DDoS, botnets, CDN/WAF, rate limiting, queueing і graceful degradation.

Заплановано

05

Supply chain attacks: залежності, CI/CD, npm, Docker і сторонні постачальники

Як захищати dependency graph, secrets, build pipeline, artifacts, registry policy і vendor access.

Заплановано

06

API security: Broken Access Control, BOLA і помилки авторизації

Як тестувати authorization, object-level access, rate limits, sensitive data exposure і API abuse.

Заплановано

07

Cloud security і misconfiguration: коли S3, IAM, Kubernetes і SaaS стають входом

Огляд cloud posture, least privilege, exposed services, workload identity, logging і guardrails.

Заплановано

08

AI-assisted attacks і prompt injection: нова поверхня атак для продуктів з AI

Як AI прискорює phishing, recon і exploitation, та як захищати LLM-функції, agents, tools і RAG.

Заплановано
Попередня
Наступна

Класичний урок про фішинг був простим: не натискайте на підозрілі посилання. Ця порада досі корисна, але для 2026 року її вже недостатньо.

Сприймайте фішинг як проблему identity та процесів, а не лише як email-проблему.
Припускайте, що атакувальники можуть комбінувати email, голос, фальшиві login pages, support workflows і leaked credentials.
Пріоритизуйте акаунти, де один успішний login створює найбільший blast radius.
Зробіть найбезпечніший шлях входу простішим за ризиковий для admins, finance, developers, support і customers із чутливими даними.

Атакувальники перемагають не лише тому, що користувачі стали менш уважними. Вони перемагають тому, що identity systems, SaaS stacks і communication channels стали набагато більш пов'язаними.

Фішинг став мультиканальним

Одна й та сама атака може комбінувати email, SMS, QR-коди, телефонні дзвінки, фальшиві support tickets, collaboration tools і fake login flows. FTC і CISA наголошують, що шахраї спираються на знайомі назви, терміновість і запити на чутливу інформацію. [1][3]

MFA тепер є ціллю, а не фінішною лінією

Традиційна MFA допомагає проти password reuse, але OTP codes, push approvals і helpdesk resets можна експлуатувати, коли атакувальник контролює розмову або проксіює login flow. NIST не вважає manually entered OTP outputs фішингостійкими. [6]

Identity providers стали chokepoints

Коли атакувальники компрометують SSO або email, вони можуть перейти від одного login event до багатьох підключених SaaS-продуктів. Okta описувала custom phishing kits, створені спеціально для voice-based social engineers у vishing campaigns. [11]

Автоматизація покращує економіку атакувальників

Microsoft Digital Defense Report 2025 описує high-volume середовище для phishing, cybercrime-as-a-service, identity abuse та AI-assisted social engineering. [7]

Крадіжка credentials — це проблема data flow. Email, voice, login pages, MFA prompts, sessions і recovery channels можуть живити один і той самий attacker-controlled collection path.

Скріншот секції what-changed

Це перша контекстна ілюстрація в статті, бо вона пояснює головну mental model перед глибоким розбором. Конкретні інструменти змінюються, але патерн атаки достатньо стабільний, щоб проти нього будувати захист.

01

Pretext

Атакувальник створює правдоподібну причину: payroll update, expired session, security incident, vendor invoice, shared document, delivery issue, domain renewal або urgent support case.

02

Trust anchor

Повідомлення позичає довіру у відомого бренду, внутрішньої людини, постачальника, identity provider, банку, cloud platform або застосунку, яким target уже користується.

03

Controlled interaction

Жертву переводять у канал, який контролює атакувальник: fake login page, QR destination, phone call, remote support flow, malicious OAuth consent screen або fake browser prompt.

04

Credential або token capture

Атакувальник збирає password, OTP, backup code, push approval, device code, OAuth authorization, session cookie або доступ до recovery workflow.

05

Account stabilization

Після доступу атакувальник може додати recovery email, зареєструвати новий authenticator, створити forwarding rules, згенерувати API tokens, експортувати дані або підготувати persistence.

06

Business impact

Фінальна шкода може бути data theft, invoice fraud, source-code access, cloud compromise, user impersonation, ransomware staging або reputational loss.

Деталі відрізняються між звітами, але напрямок зрозумілий: identity abuse масштабується, social engineering покращується, а phishing-resistant authentication стає defensive baseline.

І consumer, і business guidance постійно попереджають про терміновість, знайомі назви та запити на чутливу інформацію. Практична відповідь — independent verification через відомий канал. [1][2][3]
FTC і CISA: перевіряйте незалежно
NIST SP 800-63B проводить чітку межу між traditional MFA і phishing-resistant authentication. Manually entered OTP outputs не слід вважати phishing-resistant. [6]
NIST: OTP не є phishing-resistant
CISA просуває phishing-resistant MFA і спрямовує команди до authentication, яку неможливо обманом змусити передати secrets impostor site. [5]
CISA: phishing-resistant MFA — цільовий стан
Okta описує phishing kits, побудовані навколо живої розмови social engineer, що добре нагадує: атака є операційною, а не лише технічною. [11]
Okta: vishing kits підлаштовуються під скрипт дзвінка

Використовуйте цю карту, щоб розуміти, від чого саме ви захищаєтеся. Більшість організацій стикається з кількома такими патернами одночасно.

Класичний credential phishing

Фальшивий email, message або landing page просить користувача sign in, verify the account, download a document, update payment details або resolve an urgent issue. Visual polish більше не є надійним trust signal.

Vishing і phone escalation

Телефонний дзвінок перетворює атаку на живу розмову. Caller може адаптуватися, заспокоювати жертву, тиснути на неї і провести її через точні кроки, потрібні для розкриття коду або approval access.

Adversary-in-the-middle login relay

Жертва вводить credentials і MFA у fake flow, поки атакувальник relays the session до legitimate service. Саме тому OTP і push MFA можуть провалюватися проти real-time phishing.

Session theft

Після login атакувальнику не завжди потрібен password. Browser cookies, session tokens, OAuth tokens, refresh tokens або stolen device context можуть дозволити access, поки користувач думає, що MFA захистила акаунт.

Credential stuffing і password spray

Leaked passwords повторно використовуються проти багатьох сервісів, або невеликий набір common passwords пробується на багатьох акаунтах. Unique passwords, rate limits, MFA і anomaly detection зменшують blast radius.

Helpdesk і recovery abuse

Атакувальники цілеспрямовано б'ють по процесах навколо authentication: support staff, MFA reset flows, device enrollment, recovery emails, SIM swaps і account recovery exceptions.

OAuth і consent phishing

Замість крадіжки пароля атакувальник переконує користувача або адміна надати app доступ до email, files, contacts або cloud resources. Login може виглядати легітимно, бо consent flow справжній.

QR, SMS і collaboration-tool lures

Delivery path може бути QR-code, text message, calendar invite, chat message або shared-document notification. Канал змінюється, але objective лишається тим самим — identity compromise.

Навіть polished phishing flow залишає behavioral clues: urgency, borrowed brand trust, mismatched destinations, credential capture і pressure to complete MFA outside normal context.

Скріншот секції common-patterns

MFA досі є одним із найважливіших контролів, які команда може увімкнути. Але фраза 'у нас є MFA' не означає 'ми стійкі до фішингу'. Тип MFA і процес навколо нього мають значення.

SMS codes, email codes, authenticator-app OTPs і push prompts покращують захист від базового password reuse. Вони значно слабші, коли атакувальник може говорити з жертвою, proxy login in real time або натиснути на helpdesk, щоб reset the second factor.

Мова NIST про phishing-resistance корисна, бо прибирає wishful thinking: authentication не має покладатися на здатність користувача помітити fake verifier. Phishing-resistant authentication має запобігати розкриттю valid authenticator outputs impostor verifier. [6]

На практиці це веде команди до passkeys, FIDO2/WebAuthn, hardware security keys і strong device-bound або verifier-bound authentication для акаунтів, які можуть завдати найбільшої шкоди.

Traditional MFA зменшує password-only risk, але phishing-resistant authentication змінює шлях атакувальника, бо authenticator прив'язаний до справжнього сайту.

Скріншот секції why-mfa-fails

Практичне правило

MFA необхідна. Phishing-resistant MFA — це контроль, який змінює економіку атакувальника для high-value accounts.

Security advice не працює, коли вона занадто складна. Цей baseline навмисно простий і повторюваний.

Використовуйте password manager і унікальні паролі

Ніколи не перевикористовуйте passwords для email, banking, cloud, social, work, domain registrar або developer accounts. Password manager робить це реалістичним.

Увімкніть passkeys або security keys там, де це доступно

Для основного email, Apple/Google/Microsoft account, financial accounts, GitHub, cloud consoles і domain registrar надавайте перевагу passkeys або hardware-backed MFA замість SMS чи OTP, якщо сервіс це підтримує. [4][5][9]

Ніколи не передавайте одноразовий код телефоном

Легітимному support specialist не потрібні ваш OTP, backup code, password або screen-lock PIN. Будь-який запит на код — це stop signal.

Перевіряйте через відомий канал

Якщо повідомлення створює відчуття терміновості, не використовуйте number або link з цього повідомлення. Відкрийте app самостійно, введіть domain вручну або зателефонуйте на відомий номер зі своїх записів. FTC рекомендує independent verification, коли є сумніви. [1]

Переглядайте devices і sessions

Періодично перевіряйте signed-in devices, active sessions, recovery emails, forwarding rules і connected apps. Attackers часто намагаються стабілізувати доступ після першого успішного login.

Захищайте recovery paths

Ваш recovery email, phone number, password manager і device unlock method є частиною security perimeter. Слабкий recovery ламає сильний login security.

Product team не може вирішити phishing лише через user education. Система має робити compromise складнішим, помітнішим і менш руйнівним.

  • Запропонуйте phishing-resistant authentication для admins, finance users, developers, support agents і customers із чутливими даними.

  • Сприймайте session tokens як credentials: скорочуйте high-risk sessions, rotate refresh tokens і вимагайте re-authentication для sensitive actions.

  • Додайте step-up checks для password changes, recovery email changes, MFA resets, export actions, API key creation, payout changes і admin role updates.

  • Інструментуйте identity events: login attempts, MFA failures, new devices, recovery changes, impossible travel, consent grants, token creation і admin changes.

  • Harden support workflows через no-code-sharing rules, approval requirements для MFA resets, audit trails і чіткі escalation paths.

  • Проєктуйте login alerts, які показують device, location, time, app і зрозумілий шлях 'this was not me'.

  • Обмежуйте login abuse через throttling, bot detection, IP and ASN reputation, breached-password checks і progressive friction.

  • Застосовуйте SPF, DKIM, DMARC і domain hygiene. Email authentication не прибере phishing повністю, але зменшить easy spoofing і покращить trust signals. [1]

Identity telemetry noisy. Мета не в тому, щоб alertити на кожен login. Мета — ловити комбінації, які вказують на compromise або account takeover.

New device плюс recovery change

Login з нового пристрою, після якого йде recovery email change, MFA reset, password change або forwarding-rule creation, є сильнішим сигналом, ніж new device сам по собі.

MFA prompt storm

Repeated push prompts, failed OTP attempts або successful approval після багатьох denials можуть вказувати на MFA fatigue або атакувальника на live call.

Token activity після impossible travel

Якщо акаунт використовує valid session material з unusual geography, hosting infrastructure, anonymizing networks або multiple distant locations, investigate token theft.

Sensitive export після first login

First-time access, після якого йде mailbox search, CRM export, billing change, source-code clone, cloud key creation або bulk download, має підвищувати severity.

Support reset clusters

Кілька account recovery або MFA reset requests через support у короткому вікні можуть вказувати на social-engineering pressure проти helpdesk.

Consent і app grants

New OAuth applications, SAML/OIDC integrations, unusually broad scopes або admin-consented apps мають логуватися й переглядатися.

Корисний сигнал зазвичай знаходиться у sequence після login: new device, recovery change, token creation, export activity і persistence attempts, згруповані в короткому вікні.

Скріншот секції detection-signals

Ця ілюстрація стоїть саме тут, бо секція операційна: після phishing credentials читачеві потрібна конкретна послідовність, а не ще одне абстрактне попередження.

01

Revoke active sessions і refresh tokens

Password changes alone можуть не invalidувати кожну active session. Force sign-out, revoke tokens і remove unknown devices.

02

Reset credentials і rotate secrets

Змініть password, rotate API keys, revoke app passwords, invalidate backup codes і regenerate credentials, exposed through the compromised account.

03

Перевірте persistence points

Перегляньте recovery email, phone number, MFA devices, mail forwarding rules, inbox rules, OAuth grants, SSO apps, service accounts і admin roles.

04

Inspect data access

Шукайте mailbox searches, document downloads, CRM exports, repository clones, cloud console actions, billing changes і customer data access.

05

Notify owners і preserve evidence

Escalate internally, preserve logs, inform affected owners і дотримуйтесь legal або compliance processes, якщо customer data або regulated data могли бути зачеплені.

Це коротка версія, яку можна перетворити на Jira tickets або security-hardening sprint.

Auth roadmap

Заплануйте підтримку passkeys або FIDO2/WebAuthn, принаймні спочатку для admins і high-risk accounts.

Session model

Визначте session TTLs, refresh-token rotation, token revocation, suspicious-session invalidation і re-auth requirements для sensitive actions.

Account-change controls

Додайте explicit flows і alerts для password change, MFA reset, device enrollment, recovery updates, email change, API key creation і payout changes.

Abuse controls

Додайте login rate limits, password-spray detection, breached-password checks, IP reputation, bot signals і progressive friction.

Telemetry

Створіть structured logs для auth, admin, export, recovery, consent і support events. Зробіть їх searchable by user, tenant, IP, device і action type.

Support policy

Задокументуйте, що support може і не може resetити, які requests require approval і які identity proof steps є mandatory.

Email domain hygiene

Налаштуйте SPF, DKIM, DMARC, monitored abuse mailboxes, domain renewal alerts і lookalike-domain monitoring для high-value brands.

Incident drill

Проведіть tabletop exercise: finance user is phished, SSO is accessed, recovery email is changed. Перевірте, що logs, alerts і response steps працюють.

Training без system changes: awareness допомагає, але не має бути primary control для high-value accounts.

MFA без phishing resistance: OTP і push MFA кращі за passwords alone, але недостатні для акаунтів, які мають доступ до money, production, customer data або SSO administration.

No alert on recovery changes: attackers часто закріплюють persistence через зміну recovery paths.

Helpdesk exceptions без audit trail: fast support цінний, але identity resets без structured verification стають bypass.

Treating customer auth and internal auth separately: lessons from customer account takeover мають впливати на internal controls і навпаки.

No recovery rehearsal: policy, який каже 'revoke sessions and rotate tokens', — це не те саме, що знати, де живе кожна session, token, app grant і recovery path.

Для користувачів: unique passwords, passkeys або security keys для critical accounts, no code-sharing on calls і акуратна recovery hygiene.
Для product teams: пріоритизуйте phishing-resistant authentication, safer sessions, strong recovery controls, high-signal logging, support-process hardening і incident response, який invalidates persistence.
Для business leaders: сприймайте identity security як resilience investment, а не лише IT policy.
У чому різниця між phishing і vishing?

Phishing — це ширша категорія social engineering, яка змушує користувачів розкривати інформацію або виконувати небезпечні дії, зазвичай через email, websites, SMS, QR codes або messages. Vishing — це voice phishing: атакувальник використовує phone call або voice channel, щоб тиснути на target і отримати credentials, codes, approvals або recovery information.

Чи достатньо MFA, щоб зупинити phishing?

MFA є essential, але не вся MFA однаково стійка до phishing. OTP codes, SMS, email codes і push approvals усе ще можуть бути використані в real-time phishing або vishing. Для high-value accounts сильнішим baseline є phishing-resistant MFA, наприклад passkeys, FIDO2/WebAuthn або hardware security keys.

Чому passkeys більш phishing-resistant, ніж passwords?

Passkeys використовують public-key cryptography і прив'язані до legitimate website або app context, тому користувач не вводить reusable secret на сторінці, яку attacker може скопіювати. Це робить їх значно складнішими для крадіжки через fake login pages, ніж passwords або manually entered OTP codes.

Що компанії робити перш за все, якщо працівник передав MFA code?

Revoke active sessions, reset the password, rotate exposed tokens або API keys, remove unknown devices and app grants, check recovery settings and forwarding rules, review sensitive data access і preserve logs for investigation. Не припускайте, що password reset alone повністю contained the incident.

Який найважливіший product-security control проти account takeover?

Одного control недостатньо. Найсильніший practical baseline поєднує phishing-resistant authentication для high-risk users, safer session management, step-up verification для sensitive actions, account-change alerts, login abuse controls і high-signal logging для suspicious identity events.

Вибрані офіційні та авторитетні references, використані для grounding defensive recommendations у цьому розділі.

Перевірено: 20 трав. 2026 р.Актуально для: SaaS-продуктиАктуально для: ВебзастосункиАктуально для: Адмін-панеліАктуально для: Identity providersАктуально для: Процеси customer supportАктуально для: Внутрішні акаунти компаніїПеревірено з: CISA phishing guidanceПеревірено з: CISA phishing-resistant MFA guidanceПеревірено з: NIST SP 800-63B Digital Identity GuidelinesПеревірено з: FTC phishing guidanceПеревірено з: Microsoft Digital Defense Report 2025Перевірено з: Verizon DBIR 2025

PAS7 Studio може допомогти переглянути authentication flows, session handling, admin access, support reset processes, security logging і практичні hardening steps, які відповідають вашій реальній product architecture.

Ви тут02/08

Phishing, vishing і credential theft: як атакують облікові записи

Попередня
Наступна

Пов'язані статті

ai-assistants

Скільки коштує розробка AI асистента у 2026: RAG чатбот, база знань, CRM, Telegram та підтримка

Практичний гід для бізнесу: від чого залежить ціна розробки AI асистента у 2026 році, що входить у RAG чатбот, інтеграції з CRM, Telegram, guardrails, оцінювання, моніторинг і супровід.

blogs

AI для розробки лендінгів: де він реально прискорює запуск, а де псує конверсію

Дослідження про використання AI у розробці лендінгів: v0, Webflow AI, Builder.io, Framer-подібні AI builders, генерація UX, copy, SEO, персоналізація, A/B тести, ризики шаблонності, безпеки, доступності та технічного боргу.

growth

AI SEO / GEO у 2026: ваші наступні клієнти — не люди, а агенти

Пошук зміщується від кліків до відповідей. Боти та AI-агенти сканують, цитують, рекомендують і дедалі частіше купують. Дізнайтесь, що таке AI SEO / GEO, чому класичного SEO вже недостатньо, і як PAS7 Studio допомагає брендам перемагати у «агентному» вебі.

blogs

Найпотужніший чіп від Apple? M5 Pro і M5 Max б'ють рекорди

Аналітичний розбір Apple M5 Pro і M5 Max станом на березень 2026 року. Пояснюємо, чому ці чіпи можна вважати найпотужнішими професійними ноутбучними SoC від Apple, як вони виглядають на тлі M4 Pro, M4 Max, M1 Pro, M1 Max і що показують у порівнянні з актуальними Intel та AMD.

Професійна розробка для вашого бізнесу

Створюємо сучасні веб-рішення та боти для бізнесу. Дізнайтеся, як ми можемо допомогти вам досягти цілей.