Фишинг давно стал одной из главных угроз в мире информационной безопасности. За годы его существования появились разные варианты атак, и вместе с ними — множество терминов, описывающих эти виды мошенничества. Казалось бы, разнообразие слов помогает точнее обозначать специфические угрозы. Но в последние годы ситуация вышла из-под контроля и превратилась скорее в путаницу, нежели в упорядоченный набор понятий. Все чаще можно услышать и прочитать новые нелепые «-ишинги», которые лишь запутывают как новичков, так и опытных специалистов.
Самое время остановиться и разобраться, почему именно такое повальное увлечение «-ишингами» не идет на пользу ни индустрии, ни пользователям, и почему нужно вернуться к более четкой, понятной и рациональной терминологии. В мире информационной безопасности создание новых терминов всегда было частью практики, призванной выделить особенности атак и помочь лучше понять их суть. Например, когда появились термины «фишинг» и «спирфишинг» (spear phishing), было понятно, что речь идет об общей категории мошенничества и ее более целенаправленном, прицельном виде. С тех пор специалисты активно используют разнообразную терминологию для обозначения новых техник и типов атаки, подразумевая точечность или определенную специфику. Однако в последние годы тенденция изменилась.
Вместо естественного развития терминологии и выработки общего понимания появилось чрезмерное изобилие «-ишингов». Появились такие слова, как «вишинг» (vishing), «смсишинг» (smishing), «куишинг» (quishing), «мишинг» (mishing) и многие другие. Каждый новый термин пытаются преподнести как принципиально новый вид атаки, хотя зачастую это всего лишь вариации уже известных способов фишинга, отличающиеся лишь средством доставки или незначительными особенностями. При этом большинство из этих новых слов — явно искусственные, зачастую абсурдные и избыточные. Это приводит к нескольким серьезным проблемам.
Во-первых, излишек терминов создает сильную путаницу. Особенно страдают начинающие специалисты, студенты, кандидаты на сертификаты вроде CISSP, которым приходится изучать огромное количество терминов и определений, не всегда четко разграниченных. Повышается порог входа в профессию, когда большинство исследований и обучающих материалов требует внимательного пересмотра и неоднозначного понимания. Во-вторых, такая избыточность и изобретение новых названий отнимает внимание от сути — реальных угроз и методов борьбы с ними. Вместо того чтобы фокусироваться на практических способах защиты и аналитике, информационная безопасность все чаще становится ареной соревнования в выдумывании модных понятий и хайпа.
Это сказывается на качестве обучения, на приоритетах в исследованиях и на общем восприятии проблематики в обществе. В-третьих, некоторая терминология выглядит скорее шуточно или нелепо, создавая ощущение непрофессионализма. Например, «куишинг» — фишинг с использованием QR-кодов — мог бы нормально называться «QR-фишингом». Или «мишинг» как обозначение мобильного фишинга вызывает вопросы: зачем придумывать новые слова, когда можно просто четко описать явление? Такое растяжение концепта «-ишинга» на все случаи жизни скорее отталкивает, чем помогает. Ещё один удивительный момент — попытка создавать обобщающие термины вроде «мишинг», подразумевающего составной фишинг, объединяющий другие типы.
Это не только сбивает с толку, но и осложняет коммуникацию, поскольку становится неясна точная суть термина и его границы. История с массовым введением новых «-ишингов» получила дополнительный импульс после рекламы Coinbase с QR-кодом на Супербоуле, которая вызвала волну публикаций про «куишинг». После этого имена новых нападок начали множиться с ускорением, порождая лавину бессмысленных слов. Как можно было допустить, что такое распространится среди инфобезопасников и станет «новой нормой»? Одним из возможных объяснений является внутренняя культура сообщества информационной безопасности. Часто между собой специалисты шутят о том, что излишняя терминология — признак профессионального перфекционизма и даже некоторой самоиронии, а порой и самобичевания.
Стремление выделиться, придумать что-то новое и запоминающееся толкает людей на изобретение очередного «-ишинга». Но при этом теряются главные задачи — ясность, надежность и эффективность коммуникации. Что же должно стать альтернативой этому переполнению терминов? Во-первых, нужно остановить бессмысленное изобретение новых слов, а вместо этого обратить внимание на существующую практику использования ясных и описательных словосочетаний — например, «голосовой фишинг», «фишинг через SMS», «QR-фишинг», «фишинг с помощью deepfake» и т. п. Такие термины понятнее, а значит легче воспринимаются и запоминаются.
Во-вторых, следует уделять внимание образованию и распространению общепринятой терминологии, поддерживаемой в ключевых источниках и утвержденной экспертным сообществом. Упрощение и стандартизация языка безопасности поможет всем — как специалистам, так и конечным пользователям — четче понимать угрозы и быстро реагировать. В-третьих, необходимо акцентировать на содержательной составляющей угроз, а не на формальных названиях. Понимание механизмов атак, форм их реализации и способов профилактики гораздо важнее для борьбы с киберпреступностью, чем запоминание десятков искусственных слов. Контент, который строится вокруг дешевых трюков с терминологией, имеет краткосрочную привлекательность, но не формирует глубоких знаний.
Наконец, сообщество информационной безопасности должно проявлять ответственность и критичность по отношению к новым терминам, не поддаваться модным тенденциям и стараться сохранять профессионализм. Создание уникальных и запоминающихся имен для новых явлений — важная составляющая развития отрасли, но она не должна превращаться в бесконечное расширение списка бессмысленных «-ишингов». Это не просто вопрос лингвистики, а вопрос эффективности коммуникации, обучения и защиты. Отказ от избыточной терминологии — шаг к прозрачности и знаниям. Суммируя все сказанное, можно уверенно заявить, что настало время сказать «нет» изобретению очередных «-ишингов».
Фокус должен сместиться на ясные, логичные и стандартизированные названия видов фишинга, которые помогут лучше понять угрозы и выработать эффективные меры противодействия. Такой подход будет полезен как для специалистов, так и для широкой аудитории, что в итоге повысит общий уровень кибербезопасности. Пусть энергетика и юмор, присущие сообществу, не теряются, но пусть они не мешают основной миссии — защищать людей и организации от мошенников и кибератак. Хватит с этих «-ишингов» — пора говорить на языке, который все поймут, и делать это с пользой для дела.
