Как ИИ-фишинг подвергает школьные округа риску

ИИ усиливает социальную инженерию, а школы K-12 по-прежнему остаются ценной целью. В среднем с 2 739 образовательными технологиями на район, персонал и ученики сильно зависят от ноутбуков и классных технологий, которые должны быть защищены от новейших угроз. Сегодня это включает все: от убедительных писем от "директора" до дипфейк голосовых заметок и захвата учетных записей учеников.

PromptLock - это пример нового типа компьютерного вируса, который использует генеративные инструменты для написания собственного вредоносного кода при каждом запуске. Это означает, что он может немного меняться каждый раз, что затрудняет его обнаружение системами безопасности.

Оказавшись на компьютере, вредоносное ПО просматривает файлы. Затем оно может украсть их и заблокировать, чтобы школы не могли их открыть.

По мере того как программы-вымогатели становятся более сложными, атаки могут быть направлены не только на крупные школы, но и на отдельных учеников и сотрудников, подвергая их более высоким рискам кражи данных, финансовых потерь и сбоев в обслуживании. Школы должны знать, где находятся их слабые места и как защититься от таких типов кибератак.

Найдите и устраните слабые места во встроенных фильтрах

Встроенные инструменты часто пропускают приманки, созданные с помощью ИИ, потому что новейшие инструменты генеративного ИИ могут писать отшлифованные сообщения, которые звучат по-человечески. В недавнем опросе 18 000 работающих взрослых только 46% правильно определили, что фишинговое письмо было написано ИИ. Для традиционных систем безопасности это одинаково сложно. Когда нет орфографических ошибок или неуклюжих фраз, фильтры, которые ищут "типичный язык мошенничества", с трудом их отмечают.

Часть проблемы заключается в том, что ИИ может извлекать детали из общедоступных веб-сайтов или социальных сетей и упоминать предстоящие школьные мероприятия и имена сотрудников, делая их звучащими подлинно. Даже когда электронное письмо не содержит вредоносного ПО, оно может обмануть кого-то, заставив поделиться паролями или конфиденциальными данными. Это означает, что ИТ-администраторы должны внедрять фильтры, которые понимают контекст.

Как только команды безопасности понимают, что учетная запись была скомпрометирована, они могут пометить содержимое и учетную запись как предупреждение для остальной части школы и обновить свои системы безопасности. Но поскольку ИИ может генерировать немного другую версию одного и того же фишингового сообщения для каждой цели, сложно сказать традиционным системам безопасности, какие шаблоны или "подписи" искать. Инструменты, которые полагаются на правила и известные списки угроз, а не на рассуждения в реальном времени, больше не достаточны.

Чтобы усилить защиту, районы должны ежеквартально проверять свои встроенные фильтры. Они должны тестировать защиту с реалистичными фишинговыми симуляциями, которые представляют сегодняшний стандарт атаки, и корректировать правила для отметки сообщений, содержащих срочность, запросы на оплату или подсказки для входа. Продвинутые инструменты обнаружения фишинга и дополнения могут помочь командам безопасности отмечать сообщения, которые "кажутся странными", даже если они выглядят чистыми.

Создайте план защиты с нулевым доверием

Хакеры захватывают учетные записи сотрудников и учеников и отправляют фишинговые письма, выдавая себя за членов школы. Microsoft сообщает, что из всего 11 скомпрометированных учетных записей в трех университетах, Storm-2657 отправил фишинговые письма почти на 6 000 адресов электронной почты в 25 учреждениях. Поскольку многие фишинговые письма теперь приходят из скомпрометированных законных учетных записей, встроенные инструменты больше не могут предполагать, что сообщения от них безопасны.

Политики нулевого доверия, где школы никому автоматически не доверяют, необходимы. Каждый вход, устройство и подключение приложения должны быть проверены. Школы также должны отслеживать шаблоны входа, активность устройств и необычное поведение при обмене в облачных приложениях, таких как Google Drive или Microsoft 365. Создавая оповещения о необычной внутренней активности, например, когда учетная запись учителя внезапно отправляет десятки сообщений после рабочего времени, ИТ-администраторы могут усилить защиту.

Ни один инструмент не может поймать все, но вместе они значительно снижают риск. Школы должны применять многофакторную аутентификацию (MFA) для всех учетных записей, отслеживать облачную активность на предмет необычного обмена файлами и отслеживать входы с незнакомых устройств. Таким образом, даже если злоумышленник обходит начальную защиту, необычное поведение учетной записи быстро обнаруживается и сдерживается.

Поскольку существует так много платформ для управления, чтобы сохранить цифровую собственность школы в безопасности, ложные срабатывания могут замедлить время обнаружения. Недавние результаты опроса 500 респондентов по кибербезопасности показали, что только 29% могут расследовать более 90% своих оповещений о безопасности облака в течение 24 часов. Когда самая быстрая зарегистрированная атака заняла всего 51 секунду от первоначального взаимодействия до компрометации, у экспертов по безопасности действительно нет времени на потерю.

Школы могут рассмотреть возможность инвестирования в интеллектуальный анализ почтовых ящиков, который использует ИИ, чтобы помочь определить, выдает ли сообщение себя за пользователя. Создавая автоматизированные шаги для карантина подозрительных сообщений, сброса учетных данных и уведомления затронутых пользователей, школы могут минимизировать время между обнаружением и сдерживанием.

Обучайте каждого пользователя как партнера по безопасности

Технология сама по себе не может остановить каждую попытку фишинга, особенно когда ИИ делает мошенничество более убедительным и персонализированным. Даже лучшие антифишинговые инструменты пропустили до 15 процентов атак в сертификационном тесте AV-Comparatives 2025 года. Брандмауэры, фильтры и карантин сообщений необходимы, но они не всегда могут поймать сообщения, которые выглядят законными или приходят из доверенных учетных записей. Вот почему одинаково важно обучать персонал и учеников, как распознавать подозрительные сообщения и уверенно сообщать о них.

Эффективное обучение сейчас совсем не похоже на старую презентацию "не нажимай". Районы в Огайо и других местах проводят ежемесячные симуляции, отправляя поддельные фишинговые сообщения, чтобы увидеть, кто их замечает, а кому нужно обучение. Этот подход нормализует отчетность и поддерживает свежесть осведомленности.

Обучение также должно отражать риски каждой роли. Сотрудники, которые занимаются финансами, должны распознавать поддельные счета или срочные запросы на перевод. ИТ-команды должны знать признаки захвата учетной записи, усталости от MFA и имитации службы поддержки, созданной ИИ. Студенты должны научиться проверять ссылки и замечать слишком хорошие, чтобы быть правдой, предложения.

Короткие, повторяющиеся уроки работают лучше всего. Замените ежегодные семинары быстрыми микрокурсами, которые учат людей останавливаться, задавать вопросы и проверять. Отслеживайте прогресс через показатели отчетности, а не только посещаемость, и празднуйте обнаружения как победу для всего района. Практический план действий на 2026 год должен включать: 

1. Частые аудиты и адаптация: Проводите фишинговые симуляции каждый семестр и проверяйте, какие учетные записи или инструменты не справились.
2. Автоматизируйте управление ответами: Используйте интеллектуальный анализ почтовых ящиков на основе ИИ для изоляции подозрительных сообщений и сброса затронутых учетных данных.
3. Обучайте критическому мышлению: Переходите от запоминания правил к реалистичным сценариям фишинговых атак, которые тренируют инстинкт и суждение.

Поскольку образование теперь обгоняет здравоохранение как главную цель мошенников, школы не могут позволить себе сокращать пути в киберзащите. Путь вперед сочетает в себе более умные технологии, дисциплинированную проверку и сообщество, которое понимает свою роль в безопасности. Когда районы сочетают обнаружение на основе ИИ с человеческим скептицизмом, они сокращают разрыв между первым кликом и первым отчетом — окно, которое определяет, станет ли попытка фишинга завтрашним заголовком.

\n