Коли аналітик із кібербезпеки шукає в підпільному форумі слова «кредитна картка» або «банківський рахунок», він може нічого не знайти — не тому що загрози нема, а тому що злочинці давно написали 💳 і 🏦. Саме це зафіксували дослідники Flashpoint у новому звіті про мову нелегальних спільнот в інтернеті.
Що відбувається на підпільних платформах
Активність кіберзлочинців дедалі більше концентрується на швидких неформальних платформах — Telegram, Discord і закритих форумах. Там швидкість і лаконічність важать більше за конспірацію в класичному розумінні. Емодзі дозволяють учасникам миттєво сканувати повідомлення, розуміти суть і реагувати без довгих текстових пояснень.
За даними Flashpoint, символи підміняють ключові поняття, що стосуються шахрайства, фінансових операцій і конкретних платформ чи сервісів. Наприклад, 💳 замість «credit card», 🏦 замість «bank». Стандартні фільтри, налаштовані на пошук текстових тригерів, просто не «бачать» ці символи.
«Заміна слів емодзі у поєднанні зі сленгом, скороченнями та багатомовними фразами створює багаторівневу форму обфускації, яка ускладнює масштабний моніторинг».
Flashpoint, звіт «The Language of Emojis in Threat Intelligence»
Два виміри однієї схеми
Дослідники виділяють два паралельні вектори використання емодзі у злочинному середовищі:
- Обхід автоматичної модерації. Системи безпеки, орієнтовані на ASCII-текст і ключові слова, не розпізнають символи Unicode як загрозу. Це стосується як платформних фільтрів, так і корпоративних рішень для моніторингу загроз.
- Міжнародна координація. Як зазначає Flashpoint, не всі учасники нелегальних спільнот добре знають англійську. Емодзі функціонують як мова без кордонів — дозволяють швидко доносити зміст між учасниками з різних країн без перекладу.
Глибше, ніж підміна слів
Окремий рівень — так зване emoji smuggling («контрабанда» через емодзі). Це технічніша атака: зловмисники вбудовують шкідливий код або команди всередину Unicode-послідовностей, що супроводжують емодзі. Результат виглядає як звичайний символ, але несе приховане навантаження.
Дослідники Mindgard і FireTail встановили, що такі техніки — кодування через емодзі та символи нульової ширини — дозволяють обходити захисні фільтри великих мовних моделей з успішністю, що наближається до 100%. Це означає: навіть AI-системи, на які корпорації покладаються для фільтрації контенту, вразливі.
Окрім цього, за даними Flashpoint, злочинці використовують стійкі патерни у виборі емодзі — це дозволяє аналітикам розпізнавати конкретних акторів через час, навіть якщо ті змінюють нікнейми. Підпис у символах стійкіший, ніж вони самі вважають.
Сліпа пляма захисту
Проблема не лише у великих корпораціях. Рішення для кібербезпеки малого та середнього бізнесу — антивіруси, поштові фільтри, засоби виявлення вторгнень — проєктувалися під відомі загрози у текстовому вигляді. Для emoji smuggling сигнатур атак ще просто не існує. Захист шукає не те.
Flashpoint рекомендує аналітикам переходити на Unicode-aware пошук: їхня платформа вже дозволяє шукати емодзі поруч із ключовими словами, щоб фіксувати розмови, які інакше залишилися б невидимими.
Питання в іншому: якщо злочинці вже виробили стійкі «емодзі-словники» для конкретних спільнот, чи зможуть системи моніторингу встигнути за їхньою еволюцією — або кожна нова хвиля сленгу знову скидає рахунок до нуля?
