Гонка технологий: как современные средства защиты почты противостоят эволюции фишинговых атак

Фишинг на протяжении многих лет остается одним из наиболее часто используемых способов получения первоначального доступа к инфраструктуре. Несмотря на широкое распространение многофакторной аутентификации (MFA), значительные инвестиции компаний в антиспам-фильтрацию, защиту электронной почты, в программы обучения сотрудников, этот вектор атак продолжает активно применяться злоумышленниками и сохраняет свою эффективность.

Параллельно развивается другая сторона угрозы — рынок фишинга как услуги (phishing as a service, PhaaS). Продавцы на нем перестали предлагать исключительно наборы статичных страниц и перешли на продуктовые конвейеры: предложение включает панели управления, механизмы интеграции с ботами, антибот-механизмы, готовую инфраструктуру, модули для перехвата одноразовых паролей (OTP) и кодов подтверждения, доставку вредоносной нагрузки через вложения.

Электронная почта остается основным каналом для фишинга, поэтому ее защите уделяется большое внимание. Современные средства защиты и грамотно выстроенная защита периметра позволяет блокировать значительную часть массовых и автоматизированных атак, а также снижает риск доменной имитации и распространения вредоносных вложений. Однако злоумышленники постоянно усложняют применяемые техники и учатся обходить защитные механизмы, в том числе благодаря развитию инфраструктуры фишинговых кампаний и модели PhaaS, что ограничивает эффективность традиционных решений.

В этом исследовании рассматриваются основные функции систем защиты электронной почты, а также их потенциальные слепые зоны, которые могут использовать злоумышленники.

Задачи исследования:

• Проанализировать тренды в сфере фишинговых атак и показатели за 2025 год.
• Проанализировать данные с теневых форумов, иллюстрирующие состояние экономики PhaaS-рынка.
• Показать, как устроены современные цепочки фишинговых атак через электронную почту и какие методы злоумышленники применяют для обхода защиты.
• Выделить и сравнить функциональность средств защиты электронной почты.

Исследование содержит данные о действующих и уже не работающих дарквеб-форумах, основанные на внутренней экспертизе Positive Technologies, на отчетах ведущих вендоров в сфере кибербезопасности, на данных с популярных в киберпреступной среде ресурсов, на информации из открытых источников, принадлежащих государственным службам безопасности и правоохранительным органам, а также из Telegram-каналов киберпреступных группировок и хактивистов.

Исследование выполнено для того, чтобы обратить внимание компаний, государственных организаций, а также частных лиц, интересующихся информационной безопасностью, на наиболее актуальные методы фишинга и на эффективные способы защиты от него. Термины, которые мы использовали в исследовании, приведены в глоссарии на сайте Positive Technologies.

Анализ фишинговых атак, активности на теневых ресурсах и функциональных возможностей средств защиты электронной почты позволил сформулировать основные выводы исследования.

• Фишинг — один из самых часто используемых методов получения первоначального доступа.

Количество целевых фишинговых атак на организации продолжает расти. Социальная инженерия (47% успешных кибератак в мире за 2025 год) в совокупности с использованием ВПО (70% успешных кибератак) остается наиболее распространенным способом компрометации компаний. Даже при наличии средств защиты успешность атак часто определяется человеческим фактором и доверием пользователей.

• Электронная почта остается ключевым каналом для первичного проникновения, но больше не является главным звеном цепочки атаки.

В 80% атак на организации с применением социальной инженерии за 2025 год использовалась электронная почта. При этом современные фишинговые кампании отличаются мультивекторным подходом: отправка письма — лишь начало. После атака развивается через мобильные устройства, мессенджеры, веб-ресурсы или компрометацию пользовательских сессий.

• Вредоносное ПО является основным инструментом для проведения атак на организации, а электронная почта — одним из важнейших каналов его распространения.

В большинстве атак (70% за 2025 год) злоумышленники используют ВПО для получения доступа к инфраструктуре, для закрепления в системе или для дальнейшего развития атаки. Электронная почта при этом часто выступает удобным каналом доставки вредоносной нагрузки — через вложения, HTML-файлы, архивы или ссылки. Как следствие, защита почтового канала играет важную роль в предотвращении распространения ВПО внутри организации.

• Фишинг стал сервисной индустрией.

Рынок PhaaS демонстрирует признаки зрелой экосистемы: доминирование предложения, рост медианной стоимости решений более чем в три раза и распространение комплексных продуктов, значительно упрощающих проведение атак и ускоряющих их масштабирование.

• Злоумышленники активно используют техники обхода традиционных механизмов фильтрации.

К таким техникам относится использование QR-кодов, HTML-вложений, короткоживущих доменов, цепочек переадресации, а также AiTM-фишинг, позволяющий перехватывать токены аутентификации. Необходимо своевременно обновлять системы защиты, чтобы эффективно противостоять актуальным угрозам.

• Важна многоуровневая защиты электронной почты.

С развитием инструментов для фишинга возникла необходимость в киберзащите, включающей несколько взаимосвязанных уровней: анализ ссылок в момент взаимодействия пользователя с ними, сканирование вложений и извлечение URL из изображений и QR-кодов, мониторинг действий в почтовых ящиках после компрометации, корреляцию почтовых событий с IAM-событиями, возможность быстрого реагирования (включая удаление уже доставленных писем и отзыв активных токенов).

Фишинг следует рассматривать не как угрозу в электронной почте, а как полноценный вектор атаки, цепочка которой начинается с письма, но развивается через взаимодействие пользователя и инфраструктуру компании.

Во второй половине 2025 года отмечался крайне высокий уровень фишинговой активности: APWG (Anti-Phishing Working Group) зафиксировала порядка 892 тыс. атак в третьем квартале и 853 тыс. в четвертом. При этом поменялась структура угроз: выросла доля атак в смежных каналах, увеличилось число сложных сценариев, таких как BEC (business email compromise). За прошедший год 44,99% мирового трафика электронной почты составил спам, было заблокировано 144 722 674 вредоносных вложения и предотвращено 554 002 207 попыток перехода по фишинговым ссылкам.

Представленные показатели демонстрируют, что фишинг остается одной из наиболее масштабных и устойчивых угроз. Большое число инцидентов, а также значительное количество блокируемых вредоносных вложений и ссылок указывают на постоянную и непрерывную активность злоумышленников.

За последние годы фишинг значительно трансформировался: из набора простых мошеннических писем он превратился в сложную экосистему сервисов для массовых атак. Развитие модели PhaaS существенно снизило порог входа для злоумышленников и сделало проведение фишинговых кампаний масштабируемым процессом, который может быть быстро адаптирован под конкретные цели.

Меняется и архитектура атак. Электронная почта по-прежнему играет важную роль как точка запуска фишингового сценария, однако она все чаще становится лишь одним из элементов в более сложной цепочке. В таких сценариях письмо выступает средством установления доверия, после чего атака продолжается через ссылки, вложения, QR-коды или динамический веб-контент.

Злоумышленники активно используют мобильный канал и BYOD, уводят жертву за пределы корпоративного периметра, применяют QR-коды и HTML-вложения, а также строят многоэтапные атаки, где вредоносная нагрузка появляется только на последних шагах — уже после прохождения статических проверок.

Эти изменения — причина пересмотра подходов к защите электронной почты. Методы фильтрации сообщений на этапе доставки уже не могут обеспечить полную защищенность от современных сценариев атак: значительная часть вредоносной логики проявляется на более поздних этапах — во время взаимодействия пользователя с контентом или после компрометации учетной записи.

Количество фишинговых атак увеличивается от года к году. Методы и применяемые атакующими техники изменяются, при этом социальная инженерия остается одним из главных способов получения первоначального доступа к ресурсам организации. В 2025 году социальная инженерия была самым распространенным методом атак на организации: ее использовали в 50% случаев в первом полугодии и в 41% случаев во втором (Рис. 2).

Сдвиг в сторону мессенджеров и мультивекторных атак подтверждают как сведения многих других вендоров, так и данные, полученные при анализе теневых ресурсов. Приведенные ранее сведения APWG, а также информация, собранная с дарквеб-форумов, подкрепляют наш прогноз: злоумышленники все активнее переносят фишинговые сценарии в мессенджеры и социальные сети. При этом электронная почта постепенно перестает быть единственной точкой взаимодействия с пользователем и все чаще выступает лишь одним из элементов более широкой схемы, где дальнейшее взаимодействие с жертвой может происходить через другие каналы коммуникации.

Одновременно с этим растет распространенность QR-фишинга: злоумышленники встраивают QR-коды непосредственно в тело письма или в PDF-вложения и побуждают пользователя отсканировать код с мобильного устройства, тем самым выводя его за пределы корпоративной инфраструктуры. Техника становится полноценным инструментом атакующих, особенно в сценариях, ориентированных на мобильные устройства. По данным APWG, в третьем квартале 2025 года было зафиксировано 716 306 уникальных вредоносных QR-кодов. Вместе с тем отмечается, что традиционные механизмы фильтрации неэффективны против подобных атак. В предыдущем исследовании мы также прогнозировали рост популярности этой техники. Хотя в четвертом квартале APWG фиксирует снижение числа фишинговых атак с применением QR-кодов примерно на 9%, на фоне общего уровня угроз это скорее временное колебание.

Отдельное внимание следует уделить атакам класса BEC, где даже небольшие изменения тактик могут приводить к резкому росту риска компрометации инфраструктуры. По данным APWG, в четвертом квартале количество BEC-атак увеличилось на 136% по сравнению с предыдущим. С точки зрения финансового ущерба они остаются одной из самых дорогостоящих категорий инцидентов: еще в 2024 году FBI IC3 относил BEC к киберпреступлениям, наносящим миллиардные убытки ежегодно. Таким образом, BEC-атаки следует рассматривать как отдельный риск, для управления которым необходимы контроль бизнес-процессов, связанных с финансовыми операциями, анализ цепочек деловой переписки, выявление аномалий в коммуникациях и оперативное реагирование специалистов по безопасности.

Защита от фишинга становится сложнее с развитием рынка продажи решений для его реализации. Модель PhaaS продолжает развиваться и приобретает черты полноценной индустрии. В качестве примера Microsoft приводит платформу Tycoon2FA, которая реализует AiTM-фишинг, антибот-механизмы, сложную обфускацию кода и собственные CAPTCHA-механизмы. При этом запуск таких атак может осуществляться через вложения, содержащие QR-коды или JavaScript-файлы. Анализ теневых форумов показывает тот же тренд: рынок смещается от продажи отдельных фишинговых страниц к предоставлению комплексных наборов инструментов — с административными панелями, инфраструктурой рассылки и модулями, повышающими конверсию атак.

При этом важным элементом почтовых атак остается распространение вредоносного программного обеспечения, выступающее одним из инструментов компрометации инфраструктуры. По данным Positive Technologies, в 70% атак на организации злоумышленники использовали вредоносное программное обеспечение, в 47% случаев они распространяли его через электронную почту. Это означает, что фишинговое письмо выступает не только инструментом социальной инженерии, но и способом доставки вредоносной нагрузки.

Хотя в последние годы значительное внимание уделяется фишинговым сценариям, направленным на кражу учетных данных и перехват сессий, электронная почта остается одним из основных каналов распространения ВПО.

На практике фишинг и доставка вредоносного ПО редко существуют отдельно. Во многих атаках они выступают частью одной цепочки, где письмо используется как способ доставки вредоносного вложения или ссылки, ведущей к загрузке вредоносного файла.

С точки зрения злоумышленников электронная почта остается удобным каналом для распространения ВПО по нескольким причинам:

• Высокая вероятность взаимодействия пользователя с письмом.
• Возможность доставки файлов различных типов (архивов, документов, QR-кодов, HTML-вложений).
• Возможность сокрытия вредоносной нагрузки внутри многоуровневых контейнеров.
• Использование легитимных почтовых аккаунтов или цепочек переписки (злоумышленник использует ранее существовавшую переписку между легитимными участниками, чтобы внедрить свое вредоносное сообщение).

Даже в тех рассылках, которые на первый взгляд не имеют вредоносных ссылок или вложений, вредоносное ПО часто используется на следующих этапах. После получения первоначального доступа к инфраструктуре злоумышленники могут доставлять дополнительную вредоносную нагрузку через те же почтовые каналы — например, отправляя документы с эксплойтами или архивы с загрузчиками. Вредоносные вложения, распространяемые через почту, могут содержать совершенно разные типы ВПО, как и в других атаках. За счет того, что фишинговые сообщения являются одним из основных векторов доставки ВПО, его распределение можно оценить по общей картине используемых в атаках семплов.

Особое внимание нужно уделить доставке шифровальщиков через фишинговые кампании. В рамках подобного сценария пользователь может инициировать запуск загрузчика, который в дальнейшем скачивает на устройство основной модуль полезной нагрузки (им нередко выступает именно шифровальщик). Особенность подобных сценариев заключается в том, что между первичным контактом с письмом и запуском шифровальщика могут существовать и другие этапы с установкой дополнительных модулей — это усложняет детектирование особенно на поздних стадиях. Критически важным становится выявление атаки на самых ранних этапах — на уровне письма, ссылки или вложения, до закрепления злоумышленника в инфраструктуре и до доставки финальной нагрузки.

При всем этом важно, чтобы средства защиты были способны анализировать реальное поведение ВПО. Многие киберпреступники обфусцируют вредоносные файлы или стараются обеспечить многоступенчатую загрузку на конечном устройстве, из-за чего статический анализ не позволяет выявить их истинное назначение. Кроме того, злоумышленники активно подстраиваются не только под возможности средств защиты, но и под различные операционные системы, используемые в организациях.

Именно поэтому в современных системах защиты электронной почты ключевую роль играет динамический анализ вложений в изолированной мультиплатформенной среде — в песочнице. Это особенно важно в контексте эволюции почтовых атак, так как злоумышленники все чаще комбинируют несколько техник. Письмо может содержать QR-код или HTML-вложение, которое открывает фишинговую страницу или вредоносный загрузчик, а затем запускает цепочку компрометации. Например, в 2025 году исследователи обнаружили фишинговую кампанию, в которой злоумышленники распространяли письма с SVG-вложениями. Хотя такие файлы обычно воспринимаются как изображения, формат SVG основан на XML и может содержать HTML и JavaScript-код.

При анализе угроз, связанных с почтой, важно рассматривать фишинг не только как инструмент социальной инженерии, но и как основной механизм доставки вредоносной нагрузки. С практической точки зрения это означает, что эффективная защита электронной почты должна закрывать одновременно две категории угроз:

• Социальную инженерию и фишинг, направленные на кражу учетных данных.
• Доставку вредоносных вложений, предназначенных для запуска вредоносного кода.

Именно сочетание этих двух направлений — динамической детонации¹ вложений и анализа содержимого писем — формирует полноценную защиту почты и объясняет необходимость интеграции почтовой безопасности с механизмами sandbox.

PhaaS — это модель, которая на основе подписки позволяет киберпреступникам проводить сложные фишинговые атаки. Поставщики PhaaS предлагают комплекты, включающие все необходимое для фишинговых атак. Рынок сместился в сторону пакетов услуг. Теперь продается не контент, а полноценное решение — с административной панелью, сбором данных, уведомлениями, обходом антибот-систем и поддержкой инфраструктуры комплекса инструментов.

Это делает фишинг масштабируемым и снижает порог входа: оператору не нужно собирать цепочку атаки с нуля — достаточно просто заплатить и подключиться к сервису.

Проблема не является новой: эксперты Positive Technologies ранее уже говорили о росте рынка PhaaS, а крупные платформы, такие как Lucid или Tycoon2FA, отмечались высокой активностью в прошлом году.

В 2025 году мы отметили рост числа публикаций, связанных с рынком PhaaS.

За последние 12 месяцев активность по предоставлению услуг на форумах, связанных с фишингом, отличалась стабильностью, однако в первые месяцы 2026 года мы наблюдали ее незначительное снижение. Это можно связать с несколькими факторами, из которых мы выделяем уже ранее спрогнозированное сокращение активности злоумышленников на форумах и их переход в приватные каналы в мессенджерах и социальных сетях. Кроме того, форумы начали совершенствовать свою систему безопасности: например, стали использовать нестандартную защиту от парсинга (JavaScript-челленджи, необычные CAPTCHA) и хуже индексироваться средствами сбора информации.

Рынок PhaaS характеризуется значительным доминированием предложения над спросом и достаточно зрелой экосистемой. Объявления становятся все менее однотипными, в них описывается очень разный инструментарий (Рис. 9, 10).

Доминирование предложения над спросом обычно означает переход к развитой экономике. Рынок PhaaS уже насыщен поставщиками, конкуренция высокая, а ценность объявлений смещается в сторону инструментов для автоматизации и для обхода методов защиты. При этом цены все равно растут, несмотря на большое количество публикаций о продаже фишинговых решений или о предоставлении подобных услуг. (Рис. 11).

Средняя цена объявления в указанный период составляла примерно 723 доллара. Однако стоит отметить, что на этот показатель значительно повлияло большое количество дорогих лотов. В основном цена колеблется от 10 до 1000 долларов (Рис. 12), однако примерно в 25% объявлений она выше. Медианная цена выросла со 125 долларов до 500.

Как было отмечено ранее, дорогие лоты обычно представляют собой продукты-воронки, которые уже готовы к использованию и обеспечивают злоумышленнику легкий путь от первого использования решения к цели киберпреступной деятельности. Если говорить о распределении предложений на теневых форумах, то мы видим следующую картину, которая подтверждает этот тезис.

Предлагается большое разнообразие решений для фишинга. Представлены как инструменты для обхода аутентификации, так и средства для управления фишинговым инструментарием и для оповещения оператора, что говорит о серьезном развитии рынка PhaaS. Кроме того, можно сказать, что административные панели — один из ключевых элементов PhaaS-инфраструктуры: доля объявлений об их продаже составляет 18%. Операторы активно распространяют готовые инструменты для управления фишинговыми кампаниями: для сбора учетных данных, мониторинга жертв, управления шаблонами и работы с данными о статистике совершенных атак.

Широко представлены и средства для обхода двухфакторной аутентификации (OTP, 2FA). Доля объявлений, связанных с инструментами для перехвата одноразовых кодов, составляет 13%, что подтверждает растущую специализацию разработчиков PhaaS-решений на обходе современных механизмов аутентификации; то же можно отметить и относительно создателей инструментов для обхода CAPTCHA и антибот-систем. Все это демонстрирует развитие технической составляющей PhaaS.

Объявления на форумах показывают, что злоумышленники продают не только готовые фишинговые комплекты, но и отдельные развитые компоненты инфраструктуры: панели управления, средства для обхода защиты, специализированные шаблоны атак и инструменты автоматизации. Киберпреступники выбирают и комбинируют представленные на рынке модули, собирая под себя атакующий стек или выбирая готовые решения.

По упоминаниям категорий среди всех объявлений чаще всего встречаются следующие.

Из графика следует, что мессенджеры — основной вектор атак и основной канал их организации: 12% объявлений связано именно с ними. Операторы PhaaS активно предлагают инструменты для атак через Telegram, Discord и другие платформы, где пользователи меньше ожидают фишинг и где уровень встроенной защиты ниже. Однако почтовые сервисы и криптовалюта остаются ключевой целью. Успешная компрометация почтовых ящиков и криптокошельков позволяет атакующим быстро выводить средства или организовать дальнейшие этапы атаки.

График иллюстрирует два доминирующих направления на рынке PhaaS:

1. Финансы и криптовалюта (биржи, кошельки, банки).
2. Учетные записи и элементы цифрового профиля потенциальной жертвы (почта, платежи, платформы). Ценность — в последующем использовании для проведения атаки или для монетизации аккаунта.

В объявлениях на форуме использование ИИ явно отмечалось лишь несколько раз. Однако встречается множество сообщений о поиске эффективных ИИ-решений или об оказании помощи в разработке.

Упоминание ИИ редко используют как часть маркетинговой стратегии — либо используют, но не афишируют в объявлениях, чтобы не привлекать внимание модераторов, правоохранителей или конкурентов.

Таким образом, проанализировав данные, можно сделать следующие выводы:

• Рынок PhaaS массовый и наполненный (доминирует продажа). На нем растет доля комплексных решений: панелей, антибот-систем, решений для перехвата OTP, кодов MFA.
• Медианная цена выросла со 125 до 500 долларов — это сигнал о том, что спрос смещается в сторону продажи комплексных решений с высокой конверсией.
• Мессенджеры (например, Telegram) являются частью PhaaS-стека. Они часто упоминаются в объявлениях и выступают как средства службы поддержки пользователей решения и получения уведомлений, а также для доставки ВПО.
• Частое упоминание OTP, MFA свидетельствует о том, что рынок адаптировался и что злоумышленники строят цепочки атак на перехвате MFA-подтверждений и на социальной инженерии.

Если рынок предлагает готовые комплексные решения с административными панелями, антибот-системами и обходом MFA, значит, стороне защиты нужно сфокусироваться на контроле ссылок, браузерной эмуляции, на детектировании не только классических вложений, но и QR-кодов и HTML, на корреляции почты с IAM-событиями (аномалии входов, новые сессии, подозрительные правила, пересылки), а также на мониторинге утечек или упоминаний компании и бренда на теневых ресурсах (ранний индикатор атаки).

В связи с технологическим развитием подходов к фишингу на эту технику следует смотреть как на последовательность этапов, где письмо — лишь транспорт для запуска сценария атаки и последующей компрометации. Эта логика согласуется и с MITRE ATT&CK, где фишинг описывается как техника для получения первоначального доступа.

В упрощенной форме можно отобразить фишинговую атаку следующим образом (Рис. 16).

Ниже — подробное описание цепочки атаки. Таблица связывает действия атакующего, наблюдаемые артефакты, ожидаемую телеметрию и методы защиты.

Проанализировав типичные сценарии фишинговых атак, можно сделать следующие выводы:

• Фишинговая атака — многоэтапный процесс, который начинается задолго до отправки письма.
• Компрометация все чаще начинается с доверенной инфраструктуры. Использование взломанных почтовых ящиков и корректно настроенных DKIM, DMARC позволяет атакующим обходить базовые почтовые фильтры и снижает эффективность репутационных механизмов защиты.
• Вредоносную нагрузку активно маскируют. Для обхода фильтрации применяются HTML-вложения, архивы-контейнеры, документы с макросами, QR-коды и ссылки на внешние загрузчики. Это усложняет статический анализ — требуется динамическая проверка вложений.
• Ключевой момент атаки — взаимодействие пользователя с письмом. Даже при наличии технических средств защиты переход по ссылке или запуск вложения становятся точкой, в которой атака переходит из стадии доставки в стадию компрометации.
• Эффективная защита требует многоуровневой архитектуры. Ни один отдельный инструмент не способен остановить атаку на каждом из этапов ее развития — необходима комбинация из почтовых шлюзов, sandbox-анализа, проверки ссылок, применения EDR-, XDR-решений, IAM-контроля и корреляции событий.

Ключевая мысль, которую стоит вынести из этой последовательности: современные кампании часто выглядят правдоподобно на этапе доставки письма (легитимные цепочки переписки, нормальная аутентификация домена), а вредоносная логика проявляется позже — на этапе перехода пользователя по ссылке, в динамическом контенте и при перехвате сессий после прохождения MFA. Это объясняет, почему атаки AiTM оказываются системным вызовом даже для организаций, в которых используется многофакторная аутентификация: злоумышленники не обязательно взламывают MFА-решения, они проксируют сессию и получают токены, которые затем дают доступ без повторной проверки. В разборе Tycoon2FA также подчеркивается, что доступ может сохраниться даже после смены пароля, если активные токены не будут отозваны.

Противодействовать современным фишинговым атакам позволяет только многоуровневая защита электронной почты, охватывающая все этапы — от доставки до возможной компрометации сессии. На практике необходимо использование нескольких взаимодополняющих слоев защиты: периметровой фильтрации писем, анализа вложений и ссылок, динамической проверки URL и механизмов защиты после доставки письма. При этом каждый из слоев решает свою задачу и имеет собственные ограничения: то, что эффективно обнаруживается на одном этапе, может оставаться невидимым для другого.

Для понимания реальной устойчивости почтовой инфраструктуры важно рассматривать ее не как единый механизм, а как набор функциональных слоев, каждый из которых закрывает определенный класс угроз и одновременно имеет типовые слепые зоны. Рассмотрим, какие именно механизмы действительно работают, какие задачи они решают и где проходят границы их эффективности.

Описание функций наиболее популярных систем защиты электронной почты, методов обнаружения и слепых зон приведено в таблице.

Стоит отметить, что эффективной работы нескольких инструментов не всегда достаточно для полноценной защиты. Злоумышленники активно используют архитектурные особенности почтовых протоколов, динамическую инфраструктуру и взламывают легитимные учетные записи для обхода традиционных средств фильтрации.

Чтобы подробнее разобрать слепые зоны, необходимо рассмотреть несколько важных ограничений в работе механизмов безопасности:

• Аутентификация электронной почты важна, но защищает лишь от узкого спектра угроз — например, от спуфинга домена. Это подтверждается и официальной документацией по DMARC (задача — валидировать отправителя и управлять политикой обработки писем, которые не проходят SPF- или DKIM‑аутентификацию). DMARC позволяет выявить доменную имитацию, но не кражу паролей или компрометацию аккаунта. Поэтому письма, полученные со скомпрометированного легитимного ящика, могут выглядеть корректно с точки зрения протоколов.

• Фокус смещается на момент взаимодействия пользователя с вложением или ссылкой и в сторону использования динамического контента. Статическая проверка URL хуже работает против временной инфраструктуры злоумышленников, а анализ URL во время взаимодействия пользователя с ним и браузерная эмуляция открытия ссылки становятся не еще одной опцией для защиты почты, а обязательным модулем.

• Проверка QR-кодов, ссылок, вложений — это отдельная область, которую нельзя покрыть только системой защиты электронной почты. Если в стеке нет механизма распознавания QR‑кодов, анализа вложений при помощи песочницы, слепая зона в защите инфраструктуры появляется ровно там, где растет рынок PhaaS и существует основная угроза.

• Борьба с BEC в конечном счете сводится к управлению учетными записями и сеансами работы пользователей. Против AiTM‑сценариев полезно ориентироваться на функции, которые публично рекомендуют регуляторы и крупные экосистемы: устойчивый к фишингу MFA, усиление контроля доступа к внешним ресурсам и оперативный отзыв активных токенов при подозрении на компрометацию.

Наконец, помещение вложений в карантин после доставки — ответ на запаздывающую информацию. Как уже отмечалось, наблюдаемый объем фишинговых кампаний может отличаться от реального, поскольку часть писем блокируется почтовыми системами. На практике это означает, что правила и TI обновляются уже после начала вредоносной кампании, и способность быстро удалить уже доставленные письма становится критически важной, особенно если вы хотите снизить вероятность повторного открытия вредоносных вложений в корпоративной сети.

Анализ фишинговых кампаний показывает, что эффективная защита электронной почты требует не одного отдельного механизма, а совокупности взаимодополняющих функциональных слоев. В предыдущем разделе были рассмотрены ключевые элементы защиты почтового канала.

Пошаговые рекомендации по построению системы безопасности:

1.       Обеспечить базовую защиту периметра (почтовый шлюз, репутация и индикаторы, аутентификация домена).

2.     Закрыть два ключевых пробела в защите от фишинга: противодействие вредоносному ПО (анализ вложений в песочнице) и детектирование обходных техник (проверка QR‑кодов, HTML‑контента и URL).

3.     Усилить возможности реагирования после доставки письма.

4.     Связать все с IAM-событиями (аномальные входы, новые сессии, новые правила пересылки сообщений, подозрительные OAuth‑разрешения для приложений).

5.     Использовать соответствующие уровню угрозы средства защиты, которые комплексно работают с другими решениями для информационной безопасности инфраструктуры.

Выполнить большинство из этих шагов позволяет PT Email Security, который закрывает критически важные этапы в цепочке фишинговой атаки, включая доставку письма, анализ вложений и ссылок, а также реагирование. Это позволяет эффективно противостоять массовым фишинговым кампаниям, атакам с использованием вредоносных вложений, цепочек переадресации и QR-кодов.

Фишинг больше не ограничивается почтой — он стал сервисной моделью, которая распространяется на различные каналы, задействует мобильный контур, вложения‑контейнеры и активно использует методы обхода защиты. На стороне атакующих эта тенденция поддерживается и технологиями: они используют QR-коды, HTML-вложения с динамическим контентом, многоэтапные атаки и контейнеры, которые не обнаруживаются при помощи статических фильтров и сигнатур.

Одновременно с этим рынок PhaaS демонстрирует явное развитие с точки зрения экономики. В 2024–2025 годах наблюдался рост предложения, медианная цена сместилась вверх, начали распространяться функциональные компоненты, которые повышают конверсию атак (панели управления, антибот-системы, средства интеграции с мессенджерами и модули, ориентированные на перехват MFA-кодов и одноразовых паролей).

Это означает, что защищающиеся от фишинговых атак сталкиваются не с единичными письмами, а с сервисными конвейерами, которые быстро адаптируются под блокировки и меняются. Помимо социальной инженерии и сервисной модели PhaaS, важным элементом современных почтовых атак остается распространение вредоносного программного обеспечения. Во многих сценариях фишинговое письмо выступает не только инструментом для кражи учетных данных, но и каналом доставки вредоносных вложений или загрузчиков, запускающих дальнейшую цепочку компрометации. Защита электронной почты должна учитывать как сценарии социальной инженерии, так и риски распространения ВПО.

Классическая модель, которая подразумевает перехват вредоносного письма на входе, не является единственным способом защиты. Успешные атаки стали чаще строиться вокруг цепочки событий после доставки вредоносной нагрузки. Такими событиями могут быть: переход по ссылке, сканирование QR-кода, взаимодействие с динамическим контентом, компрометация учетных данных или сессий и последующие действия злоумышленников или пользователя. Поэтому эффективная защита должна быть выстроена как связный стек. Оптимальная стратегия складывается из нескольких решений:

• Динамический контроль URL в момент взаимодействия пользователя с ним.
• Извлечение QR-кодов и URL из вложений (а не только из тела письма).
• Возможность помещения письма в карантин даже после его первоначальной доставки и быстрый отзыв токенов при признаках AiTM.
• Использование решений для защиты электронной почты, например PT Email Security.

В ближайшей перспективе можно ожидать дальнейшего развития сервисной модели фишинга и ее еще более тесной интеграции с другими сегментами киберпреступной экономики. Вероятно, PhaaS-платформы будут все активнее автоматизировать процессы подготовки, активнее применять ИИ для проведения атак, предлагая готовые сценарии под конкретные отрасли, компании или события, а также инструменты для быстрой адаптации под блокировки и защитные механизмы. Одновременно можно ожидать расширения экосистемы таких сервисов: интеграции с брокерами доступа, с сервисами распространения вредоносного ПО, с инфраструктурой для обхода MFA и решениями для монетизации компрометации. Это приведет к тому, что фишинговые кампании будут становиться более масштабными и опасными, и еще сильнее повысит значение комплексной защиты всей цепочки атаки, а не только входящего почтового трафика.