Когда аналитик по кибербезопасности ищет на подпольном форуме слова «кредитная карта» или «банковский счет», он может ничего не найти — не потому что угроз нет, а потому что преступники давно написали 💳 и 🏦. Именно это зафиксировали исследователи Flashpoint в новом отчете о языке нелегальных сообществ в интернете.
Что происходит на подпольных платформах
Активность киберпреступников все больше концентрируется на быстрых неформальных платформах — Telegram, Discord и закрытых форумах. Там скорость и лаконичность важнее конспирации в классическом смысле. Эмодзи позволяют участникам мгновенно сканировать сообщения, понимать суть и реагировать без длинных текстовых объяснений.
По данным Flashpoint, символы заменяют ключевые понятия, касающиеся мошенничества, финансовых операций и конкретных платформ или сервисов. Например, 💳 вместо «credit card», 🏦 вместо «bank». Стандартные фильтры, настроенные на поиск текстовых триггеров, просто не «видят» эти символы.
«Замена слов эмодзи в сочетании со сленгом, сокращениями и многоязычными фразами создает многоуровневую форму обфускации, которая усложняет масштабный мониторинг».
Flashpoint, отчет «The Language of Emojis in Threat Intelligence»
Два измерения одной схемы
Исследователи выделяют два параллельных вектора использования эмодзи в преступной среде:
- Обход автоматической модерации. Системы безопасности, ориентированные на ASCII-текст и ключевые слова, не распознают символы Unicode как угрозу. Это касается как платформенных фильтров, так и корпоративных решений для мониторинга угроз.
- Международная координация. Как отмечает Flashpoint, не все участники нелегальных сообществ хорошо знают английский. Эмодзи функционируют как язык без границ — позволяют быстро доносить содержание между участниками из разных стран без перевода.
Глубже, чем замена слов
Отдельный уровень — так называемое emoji smuggling («контрабанда» через эмодзи). Это более техническая атака: злоумышленники встраивают вредоносный код или команды внутри Unicode-последовательностей, сопровождающих эмодзи. Результат выглядит как обычный символ, но несет скрытую нагрузку.
Исследователи Mindgard и FireTail установили, что такие техники — кодирование через эмодзи и символы нулевой ширины — позволяют обходить защитные фильтры крупных языковых моделей с успешностью, приближающейся к 100%. Это означает: даже AI-системы, на которые корпорации полагаются для фильтрации контента, уязвимы.
Кроме того, по данным Flashpoint, преступники используют устойчивые паттерны в выборе эмодзи — это позволяет аналитикам распознавать конкретных акторов со временем, даже если те меняют ники. Подпись в символах более устойчива, чем они сами считают.
Слепое пятно защиты
Проблема не только у крупных корпораций. Решения для кибербезопасности малого и среднего бизнеса — антивирусы, почтовые фильтры, средства обнаружения вторжений — проектировались под известные угрозы в текстовом виде. Для emoji smuggling сигнатур атак еще просто не существует. Защита ищет не то.
Flashpoint рекомендует аналитикам переходить на Unicode-aware поиск: их платформа уже позволяет искать эмодзи рядом с ключевыми словами, чтобы фиксировать разговоры, которые иначе остались бы невидимыми.
Вопрос в другом: если преступники уже выработали устойчивые «эмодзи-словари» для конкретных сообществ, смогут ли системы мониторинга успеть за их эволюцией — или каждая новая волна сленга снова обнулит счет?
