Credential stuffing — та самая схема, когда боты сотнями тысяч подставляют украденные логины и пароли в формы входа — постепенно теряет смысл как бизнес-модель для мошенников. Причина не в том, что преступники сдались. Просто входная дверь стала слишком крепкой. А значит, атака переехала дальше по коридору — туда, где защита слабее. Периметр атаки не сократился, он сместился.
Главный виновник этого сдвига — пасски. По данным исследования FIDO Alliance за 2026 год, 75% пользователей по всему миру уже включили passkey хотя бы на одном сервисе. Среди компаний ситуация похожая: 68% организаций либо уже используют парольную аутентификацию нового типа для сотрудников, либо тестируют её, либо только начинают внедрение. Украденный пароль в таком мире просто ничего не стоит — его негде применить, потому что входа по паролю больше нет.
Но проблема в том, что защитили только парадный вход. А есть ещё чёрный ход — процедуры восстановления доступа. Именно туда сейчас смещается фокус атакующих: восстановление аккаунта, повторная привязка устройства, дополнительная проверка при крупных транзакциях, магические ссылки для подтверждения личности. Все эти процессы изначально проектировались как второстепенные, вспомогательные — и поэтому получили куда меньше внимания служб безопасности, чем основной логин.
Отдельно стоит сказать про магические ссылки — те самые одноразовые письма «нажмите здесь, чтобы подтвердить, что это вы». Схема удобная для пользователя и оказалась удобной для злоумышленника. Такую ссылку можно перехватить через непроверенные мобильные диплинки, через скомпрометированный почтовый ящик или через переадресацию, организованную с помощью SIM-swap. В результате вся цепочка аутентификации обходится целиком — человек как будто прошёл проверку, хотя на самом деле это сделал кто-то другой.
Насколько массово растёт мошенничество, показывает опрос Veriff Fraud Industry Pulse Survey за 2026 год — в нём участвовали около 1200 специалистов по борьбе с мошенничеством и комплаенсу из разных компаний. Респонденты фиксируют общий рост онлайн-мошенничества, причём среди самых заметных категорий называют мошенничество с использованием чужой личности, вредоносное ПО, так называемое авторизованное мошенничество (когда жертву обманом заставляют самой одобрить платёж) и подделку документов.
Второй драйвер этого сдвига — генеративный искусственный интеллект, который сделал убедительную подделку личности дешёвой и доступной практически любому. В отчёте Veriff Identity Fraud Report за 2026 год приводится цифра: 4,18% всех попыток верификации оказались мошенническими. При этом вероятность того, что предъявленные цифровые медиафайлы были сгенерированы или изменены с помощью ИИ, выросла на 300% по сравнению с прошлыми периодами. А доля именно попыток выдать себя за другого человека теперь превышает 85% от всех атак, зафиксированных компанией. Дипфейк-селфи, подмена видеопотока в реальном времени, синтетические документы — всё это давно перестало быть экзотикой для узкого круга специалистов и превратилось в рутинный инструмент мошенника. Система верификации, которая до сих пор доверяет любому предъявленному изображению или видео, по сути защищается от угрозы прошлого года.
На горизонте ближайших 12-18 месяцев эксперты выделяют несколько направлений, куда сместится оборона. Первое — привязка намерения, или intent binding. Одной проверки личности уже недостаточно: нужно ещё криптографически подтвердить, что именно этот конкретный человек одобрил именно эту конкретную транзакцию или инструкцию. Атаки с внедрением поддельных данных через ИИ становятся всё изощрённее, и без такой привязки крупные и рискованные операции всё труднее защитить.
Второе направление — данные с сетевым эффектом. Проверка в одной точке слишком легко обходится в одиночку. Гораздо сложнее обмануть систему, которая анализирует закономерности сразу по миллионам сессий, устройств и сетей одновременно — так координированную атаку можно заметить раньше, чем она распространится. Лучшие результаты дают именно совместный анализ сигналов сразу по нескольким осям: личность человека, документ, устройство и сеть, из которой идёт запрос.
Третье — регуляторное давление, которое поднимает минимальную планку соответствия быстрее, чем многие компании успевают перестраивать свои внутренние процессы. Речь о конкретных документах: обновлённом европейском регламенте eIDAS 2.0, регламенте по борьбе с отмыванием денег AMLR и Digital Operational Resilience Act (DORA), регулирующем цифровую устойчивость финансового сектора. Параллельно идёт постепенный отказ от одноразовых кодов через SMS — все понимают, что этот канал слишком легко перехватить.
Отдельно стоит выделить единственный по-настоящему проверенный метод защиты — биометрическую проверку живости, liveness detection. При правильном внедрении она снижает захват аккаунтов на 80-90%. Это одна из немногих цифр в этой области, которая подтверждена практикой, а не только прогнозами.
Из всего этого складываются три практических приоритета для организаций, которые хотят не отставать. Первый — сделать passwordless-аутентификацию и проверку живости базовым требованием, а не премиальной опцией для избранных клиентов: сочетание устойчивых к фишингу учётных данных и биометрии резко поднимает стоимость подделки личности для атакующего. Второй — относиться к повторной верификации, магическим ссылкам и дополнительным проверкам как к событиям высокого риска, применяя к ним ту же строгость, что и при первичной регистрации, и используя риск-ориентированную повторную проверку вместо статичной разовой галочки — потому что именно эти процессы атакующие теперь бьют первыми. Третий — заранее готовиться к intent binding и к устойчивой к ИИ верификации, исходя из предположения, что любое присланное медиа может оказаться синтетическим.
Как сформулировал один из авторов отчёта Veriff: «В 2026 году побеждают те команды, которые уже защищают следующее звено цепи, а не те, кто продолжает охранять участок, который атакующие давно покинули».
Главный виновник этого сдвига — пасски. По данным исследования FIDO Alliance за 2026 год, 75% пользователей по всему миру уже включили passkey хотя бы на одном сервисе. Среди компаний ситуация похожая: 68% организаций либо уже используют парольную аутентификацию нового типа для сотрудников, либо тестируют её, либо только начинают внедрение. Украденный пароль в таком мире просто ничего не стоит — его негде применить, потому что входа по паролю больше нет.
Но проблема в том, что защитили только парадный вход. А есть ещё чёрный ход — процедуры восстановления доступа. Именно туда сейчас смещается фокус атакующих: восстановление аккаунта, повторная привязка устройства, дополнительная проверка при крупных транзакциях, магические ссылки для подтверждения личности. Все эти процессы изначально проектировались как второстепенные, вспомогательные — и поэтому получили куда меньше внимания служб безопасности, чем основной логин.
Отдельно стоит сказать про магические ссылки — те самые одноразовые письма «нажмите здесь, чтобы подтвердить, что это вы». Схема удобная для пользователя и оказалась удобной для злоумышленника. Такую ссылку можно перехватить через непроверенные мобильные диплинки, через скомпрометированный почтовый ящик или через переадресацию, организованную с помощью SIM-swap. В результате вся цепочка аутентификации обходится целиком — человек как будто прошёл проверку, хотя на самом деле это сделал кто-то другой.
Насколько массово растёт мошенничество, показывает опрос Veriff Fraud Industry Pulse Survey за 2026 год — в нём участвовали около 1200 специалистов по борьбе с мошенничеством и комплаенсу из разных компаний. Респонденты фиксируют общий рост онлайн-мошенничества, причём среди самых заметных категорий называют мошенничество с использованием чужой личности, вредоносное ПО, так называемое авторизованное мошенничество (когда жертву обманом заставляют самой одобрить платёж) и подделку документов.
Второй драйвер этого сдвига — генеративный искусственный интеллект, который сделал убедительную подделку личности дешёвой и доступной практически любому. В отчёте Veriff Identity Fraud Report за 2026 год приводится цифра: 4,18% всех попыток верификации оказались мошенническими. При этом вероятность того, что предъявленные цифровые медиафайлы были сгенерированы или изменены с помощью ИИ, выросла на 300% по сравнению с прошлыми периодами. А доля именно попыток выдать себя за другого человека теперь превышает 85% от всех атак, зафиксированных компанией. Дипфейк-селфи, подмена видеопотока в реальном времени, синтетические документы — всё это давно перестало быть экзотикой для узкого круга специалистов и превратилось в рутинный инструмент мошенника. Система верификации, которая до сих пор доверяет любому предъявленному изображению или видео, по сути защищается от угрозы прошлого года.
На горизонте ближайших 12-18 месяцев эксперты выделяют несколько направлений, куда сместится оборона. Первое — привязка намерения, или intent binding. Одной проверки личности уже недостаточно: нужно ещё криптографически подтвердить, что именно этот конкретный человек одобрил именно эту конкретную транзакцию или инструкцию. Атаки с внедрением поддельных данных через ИИ становятся всё изощрённее, и без такой привязки крупные и рискованные операции всё труднее защитить.
Второе направление — данные с сетевым эффектом. Проверка в одной точке слишком легко обходится в одиночку. Гораздо сложнее обмануть систему, которая анализирует закономерности сразу по миллионам сессий, устройств и сетей одновременно — так координированную атаку можно заметить раньше, чем она распространится. Лучшие результаты дают именно совместный анализ сигналов сразу по нескольким осям: личность человека, документ, устройство и сеть, из которой идёт запрос.
Третье — регуляторное давление, которое поднимает минимальную планку соответствия быстрее, чем многие компании успевают перестраивать свои внутренние процессы. Речь о конкретных документах: обновлённом европейском регламенте eIDAS 2.0, регламенте по борьбе с отмыванием денег AMLR и Digital Operational Resilience Act (DORA), регулирующем цифровую устойчивость финансового сектора. Параллельно идёт постепенный отказ от одноразовых кодов через SMS — все понимают, что этот канал слишком легко перехватить.
Отдельно стоит выделить единственный по-настоящему проверенный метод защиты — биометрическую проверку живости, liveness detection. При правильном внедрении она снижает захват аккаунтов на 80-90%. Это одна из немногих цифр в этой области, которая подтверждена практикой, а не только прогнозами.
Из всего этого складываются три практических приоритета для организаций, которые хотят не отставать. Первый — сделать passwordless-аутентификацию и проверку живости базовым требованием, а не премиальной опцией для избранных клиентов: сочетание устойчивых к фишингу учётных данных и биометрии резко поднимает стоимость подделки личности для атакующего. Второй — относиться к повторной верификации, магическим ссылкам и дополнительным проверкам как к событиям высокого риска, применяя к ним ту же строгость, что и при первичной регистрации, и используя риск-ориентированную повторную проверку вместо статичной разовой галочки — потому что именно эти процессы атакующие теперь бьют первыми. Третий — заранее готовиться к intent binding и к устойчивой к ИИ верификации, исходя из предположения, что любое присланное медиа может оказаться синтетическим.
Как сформулировал один из авторов отчёта Veriff: «В 2026 году побеждают те команды, которые уже защищают следующее звено цепи, а не те, кто продолжает охранять участок, который атакующие давно покинули».