Фишинг не уходит в спам

Несмотря на экспансию мессенджеров, корпоративных чатов и видеосвязи, электронная почта не теряет актуальности. Через нее идут счета, договоры, согласования, уведомления из внутренних систем и внешняя переписка с партнерами. Для бизнеса, равно как и для злоумышленников, это один из самых привычных и юридически значимых каналов.

Выйти из полноэкранного режима

Развернуть на весь экран

По данным исследования Positive Technologies, в 2025 году электронная почта использовалась в 80% атак на организации, в которых злоумышленники пытались сыграть на доверии сотрудников. В целом методы социальной инженерии фигурировали в 47% успешных кибератак, а вредоносное ПО — в 70%. Для атакующих почта по-прежнему остается удобной точкой входа в инфраструктуру компании.

Спам лишь вершина айсберга

Еще несколько лет назад защита почты сводилась в основном к борьбе с примитивными вложениями и массовыми рассылками. Сейчас картина другая, говорит руководитель практики по защите почты Positive Technologies Александр Матвиенко. Письмо все чаще становится лишь первым касанием: дальше пользователя могут уводить на внешний ресурс, в мессенджер или на поддельную страницу авторизации. В ход идут QR-коды, HTML-вложения, временные домены, цепочки переадресации и другие техники, которые позволяют обходить классическую фильтрацию.

С похожей нагрузкой сталкиваются и сами компании. По словам руководителя службы информационной безопасности банка «Центр-инвест» Алексея Кудрика, средства защиты банка в среднем фиксируют около двух фишинговых писем в день на каждого сотрудника. Примерно поровну попыток доставить троян во вложении или в виде ссылок на сайты, мимикрирующие под легитимные ресурсы, чтобы украсть учетные данные сотрудников.

Противостояние злоумышленников и специалистов по кибербезопасности не останавливается и проявляется уже в новой плоскости, а именно в части взаимодействия на фишинговых сайтах. Для их оформления злоумышленники могут скопировать стиль с настоящих веб-страниц компании с высокой точностью, внедрить защиту от ботов, что затрудняет автоматическую проверку системами безопасности. То есть то, что раньше использовалось только для защиты легитимных ресурсов, приобрело новое применение и у злоумышленников. Также использование CAPTCHA может создать иллюзию доверия у жертвы, поскольку обычно ее используют подлинные сайты.

Фишинг стал индустрией

За последние годы выросла модель фишинга как услуги. На теневых площадках злоумышленникам предлагают уже не отдельные шаблоны страниц, а готовые конвейеры: с административными панелями, антибот-механизмами, инфраструктурой рассылки, модулями для перехвата одноразовых кодов и даже средствами обхода MFA. Медианная стоимость таких решений выросла с $125 до $500, и исследователи рассматривают это как признак зрелости рынка.

Порог входа для атакующих снижается. То, что раньше требовало собственной технической сборки, теперь можно купить как готовый набор или сервис. В результате компании все чаще сталкиваются не с разовыми кустарными рассылками, а с масштабируемыми фишинговыми кампаниями, собранными из готовой инфраструктуры.

В Positive Technologies также отмечают, что на качество таких атак начинает влиять развитие генеративного ИИ. Большие языковые модели позволяют быстрее готовить убедительные и адресные письма, стилизованные под обычную деловую переписку. В результате человек подвергается эмоциональному воздействию и вероятность его реакции повышается. Это не отменяет старые техники, но делает их дешевле, быстрее и аккуратнее в исполнении.

Главный риск — не письмо само по себе

На практике это видно по тому, как устроены реальные атаки. Директор центра мониторинга и реагирования на инциденты ИБ компании «Инфосистемы Джет» Ринат Сагиров среди самых частых сценариев называет доставку вредоносного ПО под видом документов или архивов, а также кражу учетных данных через поддельные страницы входа и сервисы поддержки. Более сложные кейсы начинаются с компрометации реального корпоративного ящика, уже известного адресатам. Дальше с него уходит письмо с вложением, которое выглядит безобидно, но после открытия запускает параллельные процессы: сотрудник видит нормальный файл, а вредоносная нагрузка в этот момент загружается с серверов злоумышленников.

Отдельный класс атак связан уже не с проникновением как таковым, а с деньгами. По словам господина Сагирова, встречались схемы, в которых письмо со ссылкой на поддельный портал смены пароля приводило к компрометации почтовых ящиков, после чего злоумышленники изучали процессы согласования платежей, готовили поддельные документы и отправляли их от имени взломанного сотрудника. В таких сценариях атака встраивается уже не только в переписку, но и в реальные бизнес-процессы компании.

Почему антиспама мало

Обычный почтовый шлюз хорошо справляется с массовыми и уже известными угрозами: спамом, типовыми вирусами, частью вредоносных вложений и ссылок. Но если вредоносная логика проявляется позже — после перехода по ссылке, открытия вложения или сканирования QR-кода, — одного фильтра на входе недостаточно.

В Positive Technologies говорят, что современная защита должна включать несколько связанных уровней: анализ ссылок, извлечение URL из QR-кодов, проверку вложений, включая зашифрованные файлы, мониторинг событий и возможность быстро реагировать на корпоративных устройствах сотрудников. Иначе значимая часть вредоносной логики ускользает на следующих этапах атаки.

Алексей Кудрик из «Центр-инвест» называет главный изъян классической проверки на шлюзе довольно приземленным: в основе такой защиты лежит сигнатурный анализ. Эвристические модули у многих решений есть, но их эффективности, по его оценке, часто недостаточно. Кроме того, такие средства обычно не проверяют сами ссылки внутри письма. Именно поэтому, считает он, переход к комплексной защите с песочницей и шлюзом позволяет закрыть сразу две уязвимости: анализировать вложения по сигнатурам, а также отдельно отрабатывать ссылки, на которые ведет письмо.

У песочницы здесь есть и еще одна функция, важная уже для ИБ-команд. При проверке вложения специалисты получают трассу вызовов и обращений вредоносной нагрузки к серверам управления. Эти данные можно использовать для более быстрого обмена индикаторами компрометации через CERT-системы, а также для оперативного обогащения настроек других средств защиты — например, межсетевых экранов и систем обнаружения вторжений.

Рынок отвечает на новую архитектуру атак

На этом фоне поставщики решений для защиты почты начинают перестраивать сами продукты. Positive Technologies разработала многоуровневую систему PT Email Security — связку почтового шлюза PT Email Gateway и сетевой песочницы PT Sandbox. Такой подход отражает общий сдвиг на рынке: заказчикам уже недостаточно фильтрации входящего потока.

Вопрос уже не только в том, сколько спама или известных угроз система блокирует на входе, а в том, способна ли она отработать более длинный сценарий: проверить вложение, проанализировать ссылку, увидеть подозрительную активность после доставки письма и сократить время на реагирование.

Пока почта остается главным каналом деловой коммуникации, цена ошибки измеряется не количеством пропущенных писем, а последствиями для бизнеса — от компрометации учетных записей до сбоев в финансовых и операционных процессах. Хочешь мира, готовься бороться с постоянно меняющейся конъюнктурой.