Positive Technologies: 80% целевых фишинговых атак начинаются с почты

По данным исследования Positive Technologies¹, в 2025 году злоумышленники использовали электронную почту в 80% киберпреступлений, начинавшихся с применения социальной инженерии. Кроме того, зафиксировано 70% случаев доставки вредоносного ПО через этот канал связи. При этом фишинговые письма выступали лишь одним из элементов сложной схемы атакующих. Более того, фишинг активно трансформируется в технологичную сервисную индустрию phishing as a service (PhaaS). Это создает для бизнеса еще больше киберугроз и, как следствие, приводит к миллиардным убыткам ежегодно.

Уже много лет фишинг является основным способом проникновения во внутреннюю сеть компаний. Только за прошлый год было предотвращено 554 миллиона попыток перехода по фишинговым ссылкам и заблокировано 144 миллиона вредоносных вложений. За последнее время также многократно увеличилось и количество публикаций о продаже фишинговых услуг — 70% от общего количества объявлений, связанных с рынком PhaaS.

Электронная почта остается предпочтительным инструментом для доставки вредоносной нагрузки в инфраструктуру жертвы. Во-первых, пользователь с высокой вероятностью откроет письмо и его содержимое, думая, что получил его от доверенного источника. Во-вторых, почта позволяет доставлять файлы различных типов: архивы, документы, QR-коды и HTML-вложения. В-третьих, злоумышленники маскируют вредоносную нагрузку внутри многоступенчатых контейнеров, что затрудняет ее обнаружение традиционными средствами защиты. В-четвертых, использование взломанных легитимных почтовых аккаунтов делает письма реалистичными и повышает доверие получателей.

¹ _{Исследование содержит данные о действующих и уже неработающих дарквеб-форумах в России и мире, основанные на внутренней экспертизе Positive Technologies, отчетах ведущих российских и международных вендоров в сфере кибербезопасности, на данных с международных популярных в киберпреступной среде форумов и на информации из открытых источников государственных служб безопасности и правоохранительных органов, а также Telegram-каналов киберпреступных групп и хактивистов за 2025 год.}

«Современная атака не ограничивается самим письмом. Даже если сообщение выглядит правдоподобно и успешно проходит первичную проверку, вредоносная логика может проявиться в дальнейшей цепочке событий: в действиях пользователя, в перехвате сессий после многофакторной аутентификации и в динамическом контенте. Поэтому защита должна быть многоступенчатой и охватывать весь жизненный цикл угрозы».

Артем БелейСтарший аналитик группы международной аналитики Positive Technologies

Индустрия phishing as a service переходит к развитой рыночной экономике: предложение доминирует над спросом. При этом стоимость услуг продолжает увеличиваться: медианная цена объявлений за последние два года выросла с 125 до 500 долларов США. Предлагаются как комплексные фишинговые решения под ключ, так и отдельные компоненты: панели управления атаками, механизмы обхода систем защиты, готовые шаблоны для проведения атак и инструменты автоматизации всего процесса.

Объявления о таких услугах размещаются преимущественно в мессенджерах: на их долю приходится 12% публикаций. Там же в основном происходит коммуникация между заказчиками и исполнителями. Еще 8% объявлений распределяются между почтовыми сервисами и криптовалютными платформами.

Эксперты прогнозируют дальнейшую эволюцию рынка PhaaS. Тесная интеграция фишинговых услуг с другими сегментами киберпреступной деятельности создаст еще более сложные и трудно обнаруживаемые угрозы. Злоумышленники будут активнее применять искусственный интеллект для подготовки и проведения атак, предлагая готовые сценарии под конкретные задачи, а также инструменты быстрой адаптации под блокировки и защитные механизмы. Кроме того, будет развиваться монетизация скомпрометированных данных: каждая успешная атака может стать источником долгосрочного дохода для злоумышленников.