«Добрий день, служба безпеки Google. Ми зафіксували підозрілий вхід у ваш Gmail. Підтвердьте, що то були ви». Голос без акценту, фірмове вітання, а Caller ID — ідентифікатор Google Sydney. На екрані — свіжа смс із проханням схвалити відновлення доступу. Все виглядає настільки правдиво, що хочеться натиснути «Так, це я». Саме на цей рефлекс і розраховують шахраї: нова схема поєднує синтез мовлення на базі штучного інтелекту, заміну номерів та легітимні сервери Google для надсилання листів. Підсумок — повне захоплення пошти, а разом із нею та всіх прив’язаних сервісів. Розберемо механізм по гвинтиках і подивимося, як захиститись.
Як починається атака: хибне «відновлення доступу»
Сценарій майже завжди стартує з пуш- або смс-повідомлення «Підтвердіть запит на скидання пароля». Повідомлення формується автоматично самим Google — зловмисник просто заповнює форму «Забули пароль?» та вказує ваш e-mail. Користувач бачить реальне системне вікно і дивується: хто намагається увійти?
Дехто закриває вікно і йде далі. Однак через 30-60 хвилин надходить дзвінок. Номер визначився як австралійський офіс Google, що підтверджується на офіційних сторінках підтримки — перший гачок довіри.
ШІ-вішинг: голос, який майже неможливо відрізнити
Через телефон звучить ввічливий оператор із «американським корпоративним» акцентом. На фоні — приглушений гул кол-центру і навіть звук клавіатури. Поки ви думаєте, що говорити, «співробітник» уточнює:
«Бачимо, що ви не мандруєте. Значить, хтось інший вимагає відновлення із США. Ми готові допомогти заблокувати зловмисника, але треба підтвердити деякі дані».
Секрет фотореалістичного голосу — нейромережевий синтез мови. Алгоритм підлаштовується під паузи співрозмовника: якщо користувач надовго замовкає, бот вставляє ввічливе «алло?», імітує подих, змінює інтонацію. Саме ідеально рівний темп і відсутність пауз у результаті видають брехуна: безпомилкова, «стерильна» мова звучить підозріло — як актор, який читає текст по паперу.
Підміна Caller ID: чому телефон показує Google
Коли дзвінок йде через VoIP-мережу, у його SIP-пакеті є поле From — рядок, куди ініціатор може вписати будь-які цифри та назву абонента. Поки номер рухається ланцюжком операторів, ніхто цей ідентифікатор не перевіряє, тому на вашому екрані виводиться саме те, що було записано в пакеті: шахрай легко маскується під «Google Sydney». Протидіяти підміні повинен стандарт STIR/SHAKEN: вихідний оператор криптографічно підписує Caller ID, а сторона, що приймає, перевіряє підпис і позначає номер як «перевірений» або «підозрілий». Але STIR/SHAKEN є обов’язковим лише в США і впроваджений далеко не скрізь, тому міжнародні виклики, як і раніше, проходять без перевірки — і спуфінг залишається робочим прийомом.
Фальшиві листи, що проходять DKIM та DMARC
Поки «оператор» тримає жертву на лінії, він обіцяє надіслати підтвердження електронною поштою — «для надійності». Через пару секунд у Gmail дійсно з’являється лист від no-reply@google.com і стандартні перевірки DKIM і DMARC показують зелені «PASS». Секрет простий: зловмисники надсилають повідомлення через хмарний сервіс розсилок (Salesforce Marketing Cloud та аналогічні). Клієнт такого сервісу може підставити будь-яку адресу у полі From, а сам лист фактично надсилається через інфраструктуру Google Workspace, яка вже авторизована у Google. Тому цифрові підписи сходяться і пошта виглядає легітимною. Єдиний доказ ховається глибоко в заголовках: у полі Return-Path вказаний технічний домен Salesforce, але більшість користувачів туди ніколи не заглядають.
Останній крок – витягнути одноразовий код
Щоб «закріпити блокування», оператор просить продиктувати цифри, що надійдуть у смс. Насправді бот ініціює повторний запит відновлення, а цифри це ваш шестизначний код перевірки Google. Передавши його, ви дозволяєте зловмиснику скинути пароль, налаштувати власний фактор двоетапної перевірки та миттєво викинути вас із пошти.
Чому схема така небезпечна
- Триканальна атака. Смс, дзвінок та лист створюють «ефект присутності» Google відразу на всіх екранах.
- Діє тижнями. Шахраї повторюють цикл, щоб ви звикли бачити «підозрілі входи» — так притуплюється пильність.
- Штучний інтелект дає масштаб. Один оператор управляє десятком роботів: мова синтезується на льоту, сценарій підлаштовується під відповіді жертви.
Як розпізнати шахраїв за 30 секунд
- Запитайте: Який у мене резервний e-mail? Ця підтримка Google не бачить цю адресу повністю: вона виводиться в інтерфейсі частково прихованим.
- Подивіться «Показати оригінал» у листі. У Gmail перевірте рядок Return-Path. Домен має належати google.com.
- Перевірте «Безпека → Нещодавня активність». Якщо чужих спроб входу немає — фальшивий дзвінок.
- Оцініть «природність» мови. Ідеальний про рівний, «стерильний» голос без запинок — привід насторожитися.
Технічні засоби захиститися
- Переключіть двофакторний захист на апаратний ключ. FIDO2-ключ не можна передати телефоном, і бот нічого не доб’ється.
- Увімкніть Google Passkey. Замість коду використовується криптографічна пара, що зберігається у Secure Enclave смартфона.
- Активуйте програму Advanced Protection. Google вимагатиме фізичний ключ і обмежить сторонні API-запити – рекомендовано журналістам та політикам.
- Уточніть в оператора статус STIR/SHAKEN. Якщо підтримка увімкнена, спуфінг номера стає помітним.
Що робити компаніям
Якщо ви вже працюєте з Google-поштою, налаштуйте строгий DMARC p=reject, забороніть SaaS-службам міняти поле From: без перевірки та переведіть співробітників Google Workspace на вхід тільки по security-keys. Головне правило навчання: «Підтримка ніколи не запитує коди».
Підсумок: ідеальна ілюзія вимагає ідеальної пильності
Шахраї поєднали стару соціальну інженерію з новими можливостями штучного інтелекту: голос-бот, спуфінг номера, SaaS-розсилку. На виході майже кінематографічний обман, де кожна деталь працює на довіру. Технології захисту теж зростають, але головний фільтр все ще між клавіатурою та стільцем. Тримайте скепсис, ставте «незручні» питання — і навіть найпереконливіший робот зрозуміє, що не на того нарвався.
Більше цікавого:
- 5 порад від Google, які допоможуть вам залишатися в безпеці в Інтернеті
- Що таке цифровий слід: коли він з’являється, як його знайти і видалити
- Дослідження: 30% молоді в Україні впевнені, що не стануть жертвами інтернет-шахраїв
Джерело: Sam Mitrovic