Какими будут фишинговые атаки в ближайшем будущем

Несмотря на регулярную борьбу с фишинговыми атаками, их количество продолжает расти, а сами атаки становятся все более сложными и изощренными. В этом исследовании мы проанализировали методы распространения фишинговых атак, рассмотрели, какие темы используют злоумышленники, какие инструменты для фишинга популярны на рынке киберпреступности. На основании тенденций 2024 года мы сделали прогнозы о том, какими будут фишинговые атаки в 2025 году, и дали основные рекомендации для защиты от них.

Отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, данных экспертного центра безопасности PT Expert Security Center (PT ESC) и Threat Intelligence (PT ESC TI), результатах расследований, а также на данных авторитетных источников. Кроме того, для исследования использовались данные, полученные с помощью сервиса для оценки защищенности электронной почты PT Knockin и песочницы PT Sandbox.

По нашей оценке, большинство кибератак не предаются огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся анализом инцидентов и действий хакерских групп. Цель исследования — обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также выявить основные тенденции в изменении ландшафта киберугроз.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная атака, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.

• Количество фишинговых атак продолжает расти: в 2024 году по сравнению с 2023-м их количество выросло на 33%, а с 2022-м — на 72%.

• Массовые фишинговые атаки будут становиться более подготовленными, качественными и правдоподобными, в частности благодаря применению злоумышленниками искусственного интеллекта.

• Злоумышленники не только будут активнее использовать альтернативные каналы связи (социальные сети и мессенджеры, звонки и сообщения), но и комбинировать их, переходя на многоканальные атаки.

• Главным вызовом для злоумышленников останется обход различных мер безопасности. Фишеры чаще будут использовать защитные механизмы во вредоносных целях.

• В 2025 году злоумышленники продолжат распространять вредоносные QR-коды, которые, однако, мигрируют во вредоносные вложения или ссылки, уходя из тела письма.

• В ближайшее время мы чаще будем видеть использование доверенных доменов и сервисов в фишинговых атаках.

• Наиболее используемой полезной нагрузкой останутся архивы и статические веб-страницы.

• Атаки и инструменты злоумышленников будут сосредоточены на обходе MFA.

• Охота на ИТ-специалистов и заражение ВПО через проекты с открытым исходным кодом станут одним из трендов в 2025 году.

• Эффективная защита от фишинговых атак требует комплексного, системного подхода, сочетающего продукты информационной безопасности и организационные меры. Их взаимодополняющее применение может обеспечить высокий уровень кибербезопасности. К таким продуктам и решениям относятся secure email gateway (SEG), аутентификация электронной почты (SPF, DKIM, DMARC), песочницы, NGFW (next-generation firewall), SWG (secure web gateway), EDR (endpoint detection and response) и механизмы анализа ссылок. Они позволяют автоматически выявлять и изолировать угрозы. В то же время обучение персонала формирует устойчивые навыки распознавания фишинга: по данным исследований, уже через полгода таких тренировок 50% сотрудников способны распознать реальную атаку, тогда как без подготовки этот показатель составляет лишь 13%.

Все чаще в атаках на организации злоумышленники стремятся прибегать не к технически сложным методам, а к эксплуатации человеческого фактора. Для этого они используют социальную инженерию — различные методы психологического воздействия, побуждающие жертву совершить небезопасные действия. Согласно отчету Verizon, 68% атак связаны с человеческим фактором, а время, за которое жертва попадается на фишинг, составляет менее 60 секунд.

Несмотря на повышение цифровой грамотности населения и развитие технологий защиты, люди по-прежнему становятся жертвами такого рода атак. Это происходит потому, что злоумышленники используют различные психологические манипуляции, а также эксплуатируют личностные качества. Например, в научной статье, опубликованной в 2023 году, был сделан вывод о том, что восприимчивость к фишингу можно предсказать по следующим факторам: уровню экстраверсии, импульсивности, возрасту, скорости реакции, а также уровням сознательности и открытости опыту.

При этом даже зная, что перед нами может находиться фишинговое письмо, мы не всегда можем его опознать. В результате одного из исследований, посвященных психологии фишинга,  никто из участников не справился с поставленной задачей на 100%, а средний процент верных ответов составил 68%.

Стоит отметить и то, что чем реже жертва сталкивается с такого рода атаками, тем выше вероятность на них попасться. В подтверждение этой гипотезы американские исследователи провели эксперимент, в котором участникам попадались письма с вредоносными вложениями с разной вероятностью: 1%, 5% и 20%. Это исследование опирается на известный в психологии эффект распространенности, который заключается в том, что люди склонны пропускать или не замечать сигналы, встречающиеся реже, по сравнению с теми, которые появляются чаще.

Таким образом, можно сказать, что фишинг — это угроза, с которой нам неизбежно придется иметь дело. Но это не означает, что борьба с ним бессмысленна: можно значительно снизить риски такого рода атак.

В 2024 году половина всех успешных атак на организации (50%) была проведена с применением социальной инженерии. При этом количество инцидентов с ее использованием растет: в 2024 году наблюдался рост на 33% по сравнению с 2023 годом и на 72% по сравнению с 2022-м. Одной из техник социальной инженерии является фишинг — вид кибератак, в ходе которого злоумышленники используют различные каналы связи для кражи конфиденциальной информации или заражения жертвы вредоносным ПО. Согласно итогам проектов по расследованию инцидентов, фишинг является вторым по популярности вектором проникновения в корпоративную инфраструктуру. 

Жертвами фишинговых атак становятся компании самых разных масштабов и отраслей. Но самыми востребованными у злоумышленников в 2024 году были государственные учреждения (15%), промышленные предприятия (10%) и ИТ-компании (9%).

Последние несколько лет государственные учреждения пользуются популярностью у злоумышленников. В условиях роста темпа цифровизации объем хранимых и обрабатываемых данных и сложности систем госорганизаций постоянно увеличиваются, что делает их особо уязвимыми. При этом кибератаки становятся частью геополитического противостояния. Они нацелены не просто на кражу данных, а на дестабилизацию социальных и экономических структур, на подрыв репутации государственных органов. Игроками в этой битве нередко становятся опасные, хорошо подготовленные высокоорганизованные преступники — APT-группировки¹, более 90% которых, по нашим данным, используют социальную инженерию для получения первоначального доступа. Например, в 2024 году так действовали Cloud Atlas, Earth Lusca, Kimsuky. Помимо APT-группировок, государственные организации столь же рьяно атакуют и хактивисты², такие как Head Mare. Госучреждения также являются мишенью и для групп вымогателей, желающих заработать. Так, в июле 2024 года группировка вымогателей Rhysida получила доступ к внутренней сети города Колумбус: сотрудник загрузил вредоносный файл с фишингового сайта. Это позволило атакующим развить атаку и украсть 3,1 ТБ конфиденциальной информации, затребовав за нее 1,7 млн долларов в биткоинах. Не получив выкупа, злоумышленники опубликовали украденные данные.

Второе место в списке атакуемых фишерами³ секторов занимают промышленные компании (10%). Этот сектор имеет ключевую роль в развитии стран не только с точки зрения финансов, но и в части государственных интересов и ценной информации, такой как разработки и ноу-хау. Например, злоумышленники Librarian Ghouls ведут промышленный шпионаж за российскими компаниями, нацеливаясь на файлы, связанные с программами для моделирования и разработки промышленных систем. В ходе атаки преступники рассылают вредоносные архивы с файлами формата SCR, маскирующимися под офисные документы; при их запуске загружается дополнительная вредоносная нагрузка, позволяющая украсть конфиденциальную информацию. 

Замыкают тройку лидеров по количеству фишинговых атак ИТ-компании (9%) — эта тенденция характеризует весь 2024 год и продолжится в 2025-м. Эта отрасль является стратегически важной для злоумышленников: помимо финансовой выгоды, она является трамплином для взлома других организаций — атак на цепочку поставок или атак через доверительные отношения, — поскольку дает доступ к важным ресурсам, исходному коду, конфигурациям и системам автоматизации. Так, одним из ярких примеров 2024 года стала фишинговая атака на разработчиков расширений Chrome, в ходе которой вредоносный код был внедрен как минимум в 36 расширений и затронул не менее 2,6 млн человек. Вредоносное расширение крадет данные учетных записей в Facebook, в том числе рекламных и бизнес-аккаунтов. Сообщается, что бизнес-аккаунт может быть использован злоумышленниками в широком спектре вредоносных действий: для осуществления прямых платежей с кредитных счетов жертв, проведения фишинговых кампаний от лица аккаунта на платформе и для продажи доступа третьим лицам.

Фишинговые атаки на организации могут привести к целому ряду серьезных последствий, затрагивающих различные аспекты их деятельности.

Более чем в половине (63%) фишинговых атак на организации в 2024 году была украдена конфиденциальная информация. Например, в инциденте с медицинской компанией Ascension в руки злоумышленников попали данные около 5,6 млн человек. Украденные данные включали в себя медицинскую, платежную, страховую и другую личную информацию.

Кроме того, фишинговые атаки приводили к нарушению деятельности организаций (28%). Так, от сбоя в работе ИТ-систем в октябре 2024 года пострадала компания Casio, в результате чего на неделю задержала поставки продукции, а некоторые ее сервисы временно перестали работать. Позднее, в отчете по расследованию инцидента, Casio заявила, что в качестве вектора первоначального доступа злоумышленники использовали фишинговые письма с вредоносными вложениями. Другой пример — фишинговая атака вымогателей на округ Вашингтон, которая привела к резкой остановке работы округа и суда. Как сообщается, понесены и серьезные финансовые потери — преступники получили выкуп в размере 350 000 долларов. Этот случай иллюстрирует, что несмотря на то, что прямые денежные потери составляют небольшую часть (5%) последствий, их размеры являются весьма существенными.

Можно отметить и происшествия, связанные исключительно с денежными потерями. Они относились в основном к BEC-атакам  (Business Email Compromise, компрометация корпоративной электронной почты): например, европейская розничная сеть Pepco от подобной атаки понесла ущерб в размере 15 млн евро, а промышленная компания Orion — 60 млн долларов.

Фишинговые атаки можно разделить на две большие категории: целевые и массовые. Целевые направлены на конкретную группу лиц; такой фишинг персонализирован и более проработан. Он требует от атакующих больше времени и вложений, но и вероятность успеха такого подхода гораздо выше. Зачастую этим методом пользуются APT-группировки. Например, исследователями была обнаружена кампания, в которой группировка Kimsuky мимикрировала под южнокорейского государственного чиновника. Для этого злоумышленники создали поддельные аккаунты в соцсети, чтобы устанавливать контакт с экспертами по правам человека и безопасности Северной Кореи. После этого они распространяли вредоносные ссылки и документы.

К целевому фишингу также относят и компрометацию корпоративной электронной почты. В рамках такой кибератаки злоумышленник выдает себя за заслуживающее доверия лицо и вынуждает жертву отправить ему деньги или доверить конфиденциальную корпоративную информацию. Расцвет этого вида фишинга произошел благодаря распространению удаленной работы и цифровой коммуникации, в особенности по электронной почте. BEC является прибыльным для злоумышленников: как сообщает рабочая группа по борьбе с фишингом (Anti-Phishing Working Group), в первом квартале 2024 года средняя запрашиваемая сумма в атаках на банковские переводы BEC составила 84 059 долларов, во втором квартале она увеличилась до 89 520 долларов.

Основная же часть атак представляет собой массовый фишинг: атакующие рассылают письма большому количеству людей, надеясь, что хотя бы небольшой процент получателей совершит требуемое действие. В таких атаках злоумышленники часто мимикрируют под известные бренды. Так, по данным Check Point, в четвертом квартале 2024 года в атаках чаще всего имитировали Microsoft, Apple и Google. Например, исследователями было обнаружено более 5000 поддельных уведомлений Microsoft, выглядящих правдоподобно: в них нет грамматических ошибок, стиль письма и качественная верстка похожи на настоящие.

Такая правдоподобность в последнее время все чаще встречается в массовом фишинге. Эту тенденцию также отмечают исследователи из «Лаборатории Касперского». Одним из ключевых моментов такого изменения является активное развитие технологий, в частности искусственного интеллекта. Использование элементов целевого фишинга в массовых атаках в 2025 году продолжит набирать обороты, и грань между массовым и целевым фишингом будет все больше стираться: таких сообщений не только станет больше, но и содержание их будет становиться более убедительным.

Злоумышленники будут более активно использовать чат-ботов в фишинговых атаках. На примере использования LLM Mistral AI⁵ исследователи из F-Secure продемонстрировали, как при помощи чат-бота можно выманить у жертвы учетные данные при помощи самых простых инструкций. Кроме того, отмечалось использование чат-ботов в рамках фишинговой атаки, в ходе которой создавалась рассылка сообщений в мессенджерах от лица руководителей компаний. Возможности чат-ботов позволяют атакующим экономить время и ресурсы на проведение фишинговой атаки, и в будущем злоумышленники будут тратить время на развитие их адаптивности: язык и тактика письма будут меняться в зависимости от ответа пользователя.

Стоит отметить и бум использования дипвойсов и дипфейков в 2024 году: по данным отчета компании KPMG, с первого квартала 2023 года по первый квартал 2024-го наблюдался рост использования дипфейков в киберинцидентах по всему миру на 245%. В 2025 году активное использование этих технологий продолжится. Особенно эффективным для злоумышленника будет их применение в целевых и BEC-атаках; одним из первых таких примеров стал случай, произошедший в начале 2024 года. В этом инциденте одна гонконгская фирма заявила о краже 25 миллионов долларов в ходе атаки с использованием дипфейков. Атакующий отправил сообщение от лица якобы финансового директора компании, базирующегося в Великобритании. Сначала работник заподозрил, что это фишинговое письмо, поскольку в нем говорилось о необходимости проведения секретной транзакции. Но после видеозвонка сомнения рассеялись — все присутствовавшие выглядели и звучали точь-в-точь как знакомые ему коллеги.

Нередко целевой фишинг исходит от законного отправителя: злоумышленники используют аккаунт легитимного пользователя, с которым, возможно, у жертвы была связь. Такая тактика выгодна злоумышленникам: это помогает не только с большей долей вероятности обмануть жертву, но и обойти меры безопасности. Так, в одном из случаев атакующие скомпрометировали партнера ESET в Израиле, от лица которого разослали фишинговые письма; в них содержался вайпер⁶, замаскированный под антивирусное программное обеспечение.

Злоумышленники могут использовать не только аккаунт, но и переписки жертвы во вредоносных целях. Примером этому может служить техника email thread hijacking (перехват ветки сообщений). Ее суть заключается в том, что злоумышленники, получив доступ к учетной записи электронной почты пользователя, отслеживают текущую переписку, а затем вставляют свои вредоносные сообщения в эти ветки. Похожий случай был описан специалистами PT ESC TI: группировка Hive0117 воспользовалась взломанным аккаунтом и отправила ответ на настоящее письмо из прошлого.

Группа киберпреступников Hive0145 модифицировала эту технику: вместо добавления ответного сообщения в ветку они заменили вложение на вредоносную полезную нагрузку с использованием оригинального имени файла (без оригинального расширения). Таким образом группировка распространяла ВПО Strela Stealer.

В 2024 году особым интересом атакующих была кража учетных данных (22%), в том числе — от почтовых аккаунтов. Поэтому в 2025 году мы сможем наблюдать рост использования скомпрометированных почтовых аккаунтов в атаках, которые затронут не только целевую организацию, но их клиентов.

Фишинг может осуществляться через разные каналы связи.

Как и в предыдущие годы, основным каналом социальной инженерии для организаций является электронная почта. В первую очередь это связано с тем, что уже долгое время она используется как основное средство коммуникации между сотрудниками, партнерами и клиентами.

Альтернативой почте могут стать мессенджеры и социальные сети. Только в 2023 году 93% российских компаний использовали мессенджеры для корпоративного общения. Поэтому и здесь злоумышленники не стоят на месте: кибершпионская группировка Core Werewolf осваивает Telegram для атак на оборонную промышленность, другие неназванные преступники распространяют DarkCrystal RAT через мессенджер Signal.

Еще одним альтернативным каналом служат различные корпоративные платформы, такие как Microsoft Teams и Slack. С каждым годом они становятся все более популярными: так, за последние два года число активных пользователей Microsoft Teams составило около 320 миллионов в день. Киберпреступники знают об этих изменениях и адаптируют под них свои атаки: например, с августа 2024 года группа вымогателей Black Basta стала использовать Microsoft Teams для выхода на связь с потенциальными жертвами.

В 2025 году электронная почта останется основным каналом социальной инженерии, но злоумышленники будут адаптировать фишинговые атаки под текущие реалии: часть атак перейдет в мессенджеры и социальные сети, а также корпоративные платформы.

В 23% фишинговых атаках в 2024 году злоумышленники использовали сайты. Число таких страниц продолжает расти: например, исследователи BI.ZONE отмечают, что их количество в 2024 году выросло в 1,5 раза по сравнению с 2023 годом. Кроме того, около 80% вредоносных сайтов используют протокол HTTPS, чтобы казаться легитимными.

Ранее мы подчеркивали, что нередко такие сайты продвигаются при помощи вредоносной рекламы. Исследователи Gen Digital также сообщают об этой тенденции: так, по данным на третий квартал 2024 года, отмечается рост использования вредоносной рекламы на 17,8% для настольных устройств и на 38,3% — для мобильных. Например, под видом популярного ПО для ИТ-специалистов распространялся бэкдор MadMxShell. Поэтому можно утверждать, что в 2025 году эта тенденция сохранится.

С первого квартала 2024 года мы наблюдали бум количества использований менеджеров пакетов, таких как PyPl и npm, и сервисов, таких как GitHub, в фишинговых атаках. Для их распространения преступники часто используют тайпсквоттинг — метод, при котором вредоносный пакет имитирует название легитимного, рассчитывая на невнимательность пользователя. Например, группой исследователей Socket было обнаружено шесть вредоносных пакетов в npm, мимикрирующих под популярные для разработчиков библиотеки, имеющие десятки миллионов загрузок. Они содержали бэкдор, позволяющий злоумышленнику получить доступ к системе жертвы через SSH. На момент выхода исследования Socket вредоносные пакеты были загружены более 700 раз и все еще находились в реестре npm.

В 2025 году злоумышленники продолжат распространять вредоносный код через менеджеры пакетов, поскольку это все еще эффективный способ компрометации систем. Это может позволить атаковать не только целевую организацию, но и вклиниться в цепочку поставок, тем самым затронув и другие компании-партнеры.

Еще одной тенденцией, которую мы будем наблюдать чаще в 2025 году, станет использование сразу нескольких каналов связи в атаках. Этот тренд начал развиваться еще в 2024 году. Так, исследователи из Trustwave SpiderLabs отмечали рост числа подобных кампаний в 1,4 раза в период с июля по сентябрь 2024 года. Такой подход связан с тем, что многие организации стремятся внедрить различные меры предотвращения фишинговых атак по электронной почте. Поэтому атакующие ожидают, что остальные каналы связи могут быть не так хорошо защищены. Например, компания Zimperium сообщает, что все чаще преступники прибегают к использованию стратегии mobile first, рассматривая мобильные устройства как основную точку входа для проникновения в корпоративные системы.

Злоумышленники активно интегрируют вишинг (голосовой фишинг) и смишинг (SMS-фишинг) в многоканальные атаки. Например, один из таких случаев был отмечен исследователями GuidePoint Security. В нем злоумышленник под видом сотрудника службы поддержки или работника ИТ-отдела компании звонил жертве, утверждая, что он помогает решить проблему входа в VPN. После установления доверия он отправлял SMS-сообщение, содержащее ссылку на поддельную страницу входа в VPN целевой организации. После того как пользователь вводил свои учетные данные, он перенаправлялся на легитимный портал VPN, не заметив подмены.

Существуют платформы безопасности, работающие на основе методов ИИ и машинного обучения (МО). Отличительной чертой такого рода методов является выявление отклонений от «заведомо хороших»⁹ сигнатур, в отличие от традиционных мер безопасности, основанных на «заведомо плохих». Но и они находятся под ударом злоумышленников. Исследователи из SlashNext обнаружили способ, при котором преступники создают письма, состоящие из двух отдельных частей: видимой, предлагающей получателю перейти по ссылке или отправить информацию, и скрытой, содержащей безобидный текст, предназначенный для обмана алгоритмов ИИ или МО путем имитации «заведомо хорошего» общения. Злоумышленники делают ставку на то, что люди не прокрутят пустые страницы вниз, чтобы увидеть предназначенный только для ИИ и МО блок текста.

Кроме того, злоумышленники избегают обнаружения с помощью различных видов вредоносной нагрузки, о которых мы поговорим далее.

Что касается сайтов, то они могут проверяться автоматизированными мерами безопасности. Для их обхода злоумышленники внедряют тест CAPTCHA, что затрудняет автоматическую блокировку. Использование CAPTCHA может создать иллюзию доверия у жертвы, поскольку обычно его используют легитимные сайты. Такой способ обмана применялся в различных атаках, например в кампании Uncle Scam, а также группировками Tycoon и Storm-1575 в атаках на школы США. Обход автоматизированных проверок также предлагают различные антибот-сервисы, продаваемые в даркнете.

Атакующие также прибегают к более хитрым техникам, рассчитанным на человека. Примером такой в 2024 году была Paste and Run, которая вынуждала пользователей копировать, вставлять и запускать вредоносный код на своих устройствах. Жертве отправляли файлы, при открытии которых появлялось сообщение об ошибке, для исправления которой было необходимо выполнить ряд команд. Компания Hornetsecurity обнаружила кампанию, в которой с 17 доменов, контролируемых злоумышленниками, было отправлено в общей сложности 105 640 фишинговых писем, использующих этот прием социальной инженерии. В ряде похожих случаев в качестве приманки использовалась поддельная CAPTCHA — об этой тенденции мы рассказывали в четвертом квартале 2024 года.

Злоумышленники зачастую комбинируют эти методы. Например, согласно аналитике Positive Technologies, 9% вложений содержат в себе QR-код — это в 2,5 раза больше, чем количество QR-кодов напрямую в теле письма. Это связано с тем, что их внедрение в документы затрудняет средствам защиты анализ, выявление и блокирование этих сообщений до того, как они достигнут сотрудников. Кроме того, атака часто позволяет задействовать несколько устройств: сотрудники получают фишинговое письмо на одно устройство, но сканируют QR-код с помощью другого, например личного мобильного телефона, который может не иметь того же уровня защиты, что и корпоративные системы. 

Атакующие используют в QR-кодах ASCII- и Unicode¹⁰-символы, позволяющие обойти инструменты, такие как оптическое распознавание символов (OCR), с помощью которых можно извлекать, проверять и блокировать вредоносные URL-адреса в QR-кодах. Кампании с применением этого подхода были проанализированы исследователями SlashNext и Barracuda.

В ближайшее время фишинговые атаки с использованием QR-кодов будут продолжать нести все большую угрозу. В 2025 году появятся новые методы, подобные ASCII- и Unicode-QR-кодам, позволяющие маскировать их от средств защиты. Вредоносная нагрузка, в том числе и QR-коды, будет мигрировать во вложения или ссылки, уходя из тела письма.

Явным изменением по сравнению с прошлым периодом стало увеличение доли использования статических веб-страниц в атаках — они стали применяться так же часто, как архивы (32%). Статические веб-страницы являются универсальным инструментом: при помощи них злоумышленники могут распространять формы для кражи учетных данных или ВПО. По данным из отчетов PT Knockin, этот тип файлов доходит до конечного пользователя в 9% случаев. Чтобы обойти проверки, злоумышленники используют различные методы избегания обнаружения, в числе которых особенно выделяется техника HTML Smuggling¹¹. Согласно исследованию Egress, за первые три месяца 2024 года в 16,2% случаев эта техника помогла пройти через безопасный шлюз электронной почты. Примечательно, что для написания HTML-файлов, использующих эту технику, злоумышленники стали применять GenAI. Злоумышленники также создают и продают специальные инструменты для преобразования вредоносного HTML в форму, которую сложнее распознать системам безопасности.

Стоит отметить, что злоумышленники стали использовать изображения в качестве вредоносных вложений (16%). В графический файл могут быть встроены вредоносный код или кликабельная вредоносная ссылка, при этом у пользователя он может не вызвать подозрений. Например, атакующие использовали формат SVG для отображения HTML и выполнения JavaScript при загрузке графики, таким образом создав форму для кражи учетных данных.

В 2025 году одними из самых используемых злоумышленниками типов вредоносной нагрузки будут оставаться архивы. Учитывая, что этот формат файлов все реже доходит до пользователя в неизменном виде, злоумышленники продолжат эксперименты над ними: появятся новые методы обхода защиты, подобные объединению ZIP-архивов. В силу своей универсальности, а также широких возможностей обхода обнаружения вторым по популярности типом вложений останутся статические веб-страницы. Замкнут тройку лидеров офисные документы и PDF-файлы.

Для распространения ссылок атакующие используют методы обхода, связанные с применением легитимных сервисов и сайтов. Это позволяет не вызвать подозрений у пользователя и скрываться в большом объеме легитимного сетевого трафика. Этот подход называется Living Off Trusted Sites (LOTS), и в него включены популярные сайты и сервисы, используемые злоумышленниками. Он берет свое начало в методах living off the land (LoTL), которые направлены на использование стандартных служб, таких как, например, PowerShell и WMI, в кибератаках. Иногда LOTS-атаки называют фишинговыми атаками с файлообменниками: в исследовании Abnormal Security отмечается рост использования таких сайтов в атаках на 350% за период с июня 2023 года по июль 2024-го.

В 2024 году в тройке лидеров поставщиков услуг, сервисы которых используются в фишинге с LOTS, были Google, Microsoft и GitHub. При этом среди сервисов Microsoft и Google самыми популярными оказались облачные хранилища (OneDrive, Google Drive) — например, они использовались в атаках группировок Earth Kasha, Earth Preta.

Злоумышленники также интегрируют в фишинговые атаки технологии, используемые доверенными сервисами. Так, в 2024 году компания Egress отметила рост использования технологии AMP¹² для маскировки вредоносных ссылок. Хотя эта техника впервые была использована еще в 2023 году, вскоре частота ее применений пошла на спад. Но с мая по октябрь 2024 года исследователи наблюдали устойчивый рост ее использования, который за этот период составил около 7%. Техника направлена на обход проверки ссылок при наведении курсора: обычно, когда пользователь наводит курсор на ссылку, он видит ее настоящий URL, что позволяет оценить безопасность перехода. Но при использовании этого метода жертва видит легитимную ссылку на Google или TikTok, однако при переходе по ней происходит перенаправление на вредоносный сайт. Дополнительно это помогает обходить системы сканирования URL, поскольку первоначальный адрес выглядит доверенным.

Учитывая тенденцию 2024 года, будет наблюдаться рост применения доверенных сервисов в фишинговых атаках для доставки и размещения вредоносного контента, а также в качестве фишинговых приманок.

В фишинговых атаках в 2024 году злоумышленники по-прежнему сосредоточены на заражении жертв ВПО (63%) и краже их учетных данных (35%).

В 39% случаев атакующих интересовала кража данных аккаунтов на порталах целевых организаций. Так, компания Resilience сообщила о фишинговой атаке APT-группировки Kimsuky, нацеленной на сотрудников университетов, исследователей и профессоров в Южной Корее. Злоумышленники использовали скомпрометированные интернет-узлы, на которых разместили веб-шелл Green Dinosaur, позволяющий выполнять файловые операции. После настройки веб-шелла атакующие загружали заранее подготовленные фишинговые страницы, созданные путем скрапинга¹³. Они используются для похищения учетных данных пользователей. Как сообщают исследователи, целью кампании является сбор разведывательной информации.

Все же основной задачей злоумышленников в фишинговых атаках остается заражение жертвы ВПО. Именно благодаря ему атакующие могут украсть различную конфиденциальную информацию, нарушить работу систем или в течение длительного времени заниматься шпионажем. Что касается распределения типов вредоносного ПО, то оно соответствует общемировой тенденции: тройку лидеров последовательно занимают шифровальщики (41%), ВПО для удаленного управления (34%) и шпионское ПО (24%).

Минувший 2024 год привнес некоторые изменения в использование фишерами различных типов ВПО. Так, можно отметить значительное уменьшение (на 15%) интереса атакующих к распространению шифровальщиков: злоумышленники фокусировались на распространении ВПО для удаленного управления (прирост 14%). Этот тренд коснулся не только фишинговых атак: перемены в интересах злоумышленника мы отмечали с первого квартала 2024 года. Любовь преступников к этому виду вредоносного ПО можно объяснить его универсальностью: при помощи RAT атакующий может собирать данные, контролировать пользователя, вести разведку, длительное время оставаясь незамеченным. По нашим данным, в фишинговых атаках 2024 года самыми популярными среди киберпреступников инструментами стали Remcos RAT, SparkRAT и AsyncRAT. Например, в одной из фишинговых атак, обнаруженной экспертами PT ESC в январе 2024 года, злоумышленники рассылали вредоносный PDF-файл, имитирующий платежный документ SWIFT. Он содержал VBS-макрос, приводящий в конечном итоге к заражению Remcos RAT.

В 2024 году шпионское ПО опустилось на третье место среди типов распространяемого ВПО, хотя доля его использования в фишинговых атаках почти не изменилась. Главенствующие позиции в арсенале преступников занимают Lumma Stealer, Meta Stealer и RedLine Stealer. Так, эксперты из PT ESC зафиксировали фишинговую кампанию, целью которой было заражение организаций Lumma Stealer и NetSupport RAT. Атакующие рассылали документы форматов LNK и DOCX, при открытии которых осуществлялась загрузка ВПО с GitHub-репозитория и управляющего сервера. Кроме того, злоумышленники хорошо поработали над обфускацией Lumma Stealer: его семплы определялись как вредоносные всего лишь тремя антивирусными движками VirusTotal.

Резкое изменение интересов злоумышленников может говорить о том, что в 2025 году акцент будет сделан на длительной разведке, краже данных и перепродаже доступов. Кроме того, такой подход может быть использован и группами вымогателей: в последние годы среди них популярна стратегия exfiltration first — сначала извлечение конфиденциальных данных, а лишь потом шифрование. Это подтверждает появление в 2024 году гибридного ВПО — шифровальщиков с модулями для кражи информации, например Crystal Rans0m и Luxy. Такие вредоносы позволяют атакующим, помимо получения выкупа за расшифрование, дополнительно шантажировать жертву украденными данными.

Ранее мы говорили о том, что фишинг основан на психологических манипуляциях: атакующим нужно каким-либо образом побудить жертву открыть вредоносное письмо, перейти по ссылке и т. д. Для этого они используют темы, которые вызывают у жертвы сильный эмоциональный отклик: манипулировать страхом, важностью и срочностью, жадностью человека и другими чувствами.

Как и ранее, злоумышленники активно распространяют сообщения, непосредственно связанные с рабочей деятельностью получателей: письма от контрагентов, работодателей, соискателей и других. Например, в одной из кампаний АРТ-группировка SideWinder рассылала фишинговые письма об увольнении сотрудников, тем самым вызывая чувство тревоги у жертвы.

Среди сообщений якобы от работодателя в 2024 году особой популярностью пользовались письма от отдела кадров и ИТ-отдела. Так, по данным KnowBe4, сообщения от HR и ИТ-отдела стали самыми «нажимаемыми» в фишинговых тестах в первом, втором и третьем кварталах 2024 года. Популярность тем, связанных с работой, объясняется тем, что они применимы практически для любых предприятий: такие письма выглядят обыденно и могут не вызывать подозрений у жертвы.

Еще одной темой, плотно закрепившейся в арсенале преступников, остаются сообщения от органов власти. Такие сообщения манипулируют страхом и срочностью, усиливая давление авторитетом отправителя. Например, экспертами PT ESC было обнаружено письмо якобы от управления ФСТЭК России по СЗФО, послужившее началом многоступенчатой фишинговой атаки. В полученном письме содержался PDF-файл, который является сканом информационного письма ФСТЭК. Документ был непригоден для работы из-за низкого качества, но он не был вредоносным. Это вынуждало жертву спровоцировать диалог, в ходе которого ей отправлялась «улучшенная» версия. Ей был исполняемый файл с иконкой PDF, приводящий к созданию сессии удаленного управления, к которой может подключится злоумышленник.

В фишинговых атаках также широко используются сообщения, отправленные якобы от известных компаний. В таких случаях злоумышленники могут эксплуатировать, например, доверие к организации, от лица которой осуществляется фишинговая атака. Так, преступники отправляли на почту письма, имитирующие уведомления от платформы электронного документооборота Docusign. В письме жертве предлагалось пройти стандартную для Docusign процедуру — перейти по ссылке, чтобы посмотреть и подписать документ. При переходе жертва перенаправляется на фишинговую веб-страницу, предназначенную для кражи учетных данных. Примечательно, что в рамках данной кампании злоумышленники были ориентированы только на мобильные устройства: при переходе по вредоносной ссылке с компьютера пользователь перенаправлялся на легитимные сайты.

При этом злоумышленники всегда остаются в курсе последних новостей — актуальные события, происходящие в мире, интегрируются (и будут интегрироваться) в фишинговые атаки.

Плановые мероприятия заранее известны широкой аудитории и повторяются с разной степенью периодичности. Они дают преступникам возможность заранее подготовить атаки и создать высокореалистичный контент. Например, они ежегодно готовятся к различным предпраздничным сезонам, концу года, черной пятнице и т. д. Также в календаре злоумышленников появляются и события, связанные с новостной повесткой: политические, спортивные мероприятия, конференции и форумы, выходы крупных продуктов. Так, например, APT-группировка Earth Lusca использовала документы, связанные с китайско-тайваньскими отношениями, в качестве приманки для распространения вредоносного ПО. Операция предшествовала выборам в Тайване и продолжалась с конца декабря 2023 года по январь 2024-го.

На фишинговые атаки также оказывают значительное влияние события, которые можно отнести к категории «черный лебедь». Они являются редкими, неожиданными и трудно прогнозируемыми, вызывают у жертв панику и волнение и, соответственно, становятся подспорьем для атак. Одним из таких инцидентов в 2024 году был глобальный сбой CrowdStrike, затронувший 8,5 млн устройств Windows по всему миру. Всего через несколько дней были обнаружены фишинговые письма, замаскированные под руководство по восстановлению от Microsoft. Еще одним примером использования актуальных событий был зафиксирован экспертами PT ESC в августе. В нем злоумышленники использовали вышедший на днях муниципальный правовой акт, который не отображается корректно. Этим жертву вынуждают нажать кнопку «Включить содержимое», тем самым разрешив выполнение встроенного макроса.

Развитие рынка даркнета превратило преступную деятельность в товар, открыв возможность даже самым неквалифицированным злоумышленникам получать доступ к инфраструктуре организаций, не прилагая значительных усилий. Фишинговые атаки, как известно, требуют затрат времени и сил атакующего — эту проблему решили платформы PhaaS (phishing as a service). При этом цена на готовые фишинговые проекты начинается всего от 10 долларов.

В основном платформы phishing as a service предоставляют следующие функции:

• Шаблоны для фишинга, позволяющие имитировать сайты различных организаций. Например, среди появившихся в 2024 году решений можно отметить платформу Sniper Dz.

• Инструменты для генерации или клонирования веб-сайтов.

• Обход MFA.

• Использование CAPTCHA.

• Различные методы избегания обнаружения.

• Массовые рассылки по электронной почте.

• Справка и поддержка.

• Дашборды с различными метриками эффективности фишинговых кампаний.

Одним из популярных классов PhaaS являются решения реверс-прокси — именно они позволяют злоумышленникам обходить MFA. В традиционной фишинговой атаке киберпреступники создают поддельный сайт с фальшивой страницей для входа. Жертва вводит данные, после чего перенаправляется на легитимный сайт, а атакующие используют украденные данные по назначению. Реверс-прокси работает сложнее. Вместо статического клона целевого сайта атакующие выступают посредником между оригинальным сайтом и жертвой. Это работает следующим образом: жертва отправляет учетные данные на обратный прокси-сервер преступников, этот запрос злоумышленники пересылают на целевой веб-сайт. Сайт отвечает обратному прокси-серверу, а сервер отправляет полученный контент пользователю в ответ на его первоначальный запрос. Когда пользователь вводит свой код MFA, прокси-сервер перехватывает эту информацию, пересылая ее на сайт. При этом, имея доступ к MFA в момент входа, злоумышленник может использовать его для получения доступа к учетной записи пользователя.

На теневых рынках существуют различные решения, содержащие реверс-прокси. Но, помимо этого, они могут предлагать и другие функции. Например, платформы Tycoon 2FA и Mamba 2FA предоставляют своим клиентам шаблоны фишинговых вложений и предлагают готовые к использованию документы-приманки. Помимо этого, в Tycoon 2FA добавлен дашборд, отражающий в реальном времени количество заблокированных ботов, входов, украденных учетных данных и их содержание и другие метрики. Во многие из решений по умолчанию добавлена CAPTCHA во избежание автоматического анализа, а также может использоваться IP-прокси для сокрытия исходного хостинг-провайдера. В некоторых инструментах, таких как ONNX Store, дополнительно используется зашифрованный код JavaScript, который расшифровывается во время загрузки страницы, добавляя уровень обфускации для обхода обнаружения. Почти все эти сервисы работают по подписке, а цена за нее в среднем составляет примерно 250 долларов.

Существуют и open-source продукты, находящиеся на просторах GitHub. Одним из самых популярных таких решений является Evilginx. Для его настройки используются фишлеты  — небольшие файлы конфигурации. Разработка фишлета может обойтись примерно в 200 долларов.

Но на киберпреступных форумах существует достаточное количество уже готовых фишлетов, статей и консультаций по их разработке.

Сам по себе инструмент Evilginx не так прост в использовании, особенно для начинающих. Разработчики создали платный курс, но в октябре 2024 года этот курс стал раздаваться на даркнет-форумах бесплатно.

По данным JumpCloud, 87% компаний численностью от 10 000 человек и 78% компаний численностью от 1001 до 10 000 человек используют многофакторную аутентификацию. При этом, согласно исследованию Okta, внедрение MFA продолжает расти. Именно поэтому фишинг, направленный на обход мультифакторной аутентификации, будет набирать обороты. Спрос рождает предложение, поэтому такие инструменты и предложения, связанные с ними, будут востребованы на рынке. Появление в открытом доступе курса по Evilginx скажется на росте количества его использований в атаках, в особенности начинающими фишерами.

Одним из опасных фишинговых инструментов, появившихся в 2024 году, стал GoIssue. Благодаря этому инструменту злоумышленники могут автоматически извлекать адреса электронной почты из профилей GitHub и отправлять на эти адреса массовые рассылки. Например, они могут использовать поддельные письма-уведомления от GitHub, выдавая себя за сотрудников службы безопасности или рекрутеров. Этот инструмент позволяет оптимизировать процесс фишинговой атаки. Появление GoIssue плотно перекликается с тенденцией нацеленности киберпреступлений на разработчиков, которые могут стать отправной точкой для атаки не только на отдельную организацию, но и на цепочку поставок; этот тренд может сохраниться и в 2025 году.

Ранее мы уже сделали прогноз относительно применения ИИ и дипфейков в фишинговых атаках. Появление в декабре 2024 года на преступных форумах инструмента DarkGPT дополнительно подтверждает эту тенденцию. Это средство для генерации фишинговых сообщений и помощи при планировании фишинговых кампаний, которое позволяет злоумышленнику значительно упростить себе осуществление атаки.

Кроме того, на просторах теневых ресурсов также появляются объявления о продаже deepfake as a service (DaaS). Злоумышленник может воспользоваться и open-source версией с GitHub. Появление модели DaaS может дополнительно свидетельствовать о том, что вырастет количество киберинцидентов с использованием дипфейков.

Фишинговые атаки будут оставаться одной из самых актуальных киберугроз как для организаций, так и для отдельных пользователей. С каждым годом они становятся все более изощренными и сложными, что требует постоянного внимания к вопросам безопасности. С развитием теневого рынка и появлением различных инструментов PhaaS стирается грань между профессиональным фишером и новичком, тем самым расширяя круг возможных злоумышленников. Фишинговые письма становятся более правдоподобными: грань между целевым и массовым фишингом начинает стираться.

На сегодняшний день главным каналом связи для фишинговых атак продолжает быть электронная почта, хотя злоумышленники комбинируют ее с другими средствами коммуникации, повышая вероятность успеха. Цели злоумышленников не изменились: они продолжают распространять вредоносное ПО и формы для кражи учетных данных. Что касается тематики фишинговых писем, самыми используемыми среди злоумышленников остаются темы, имеющие связь с работой: это позволяет привлекать внимание сотрудников, не вызывая подозрений. При этом злоумышленники также активно эксплуатируют темы, отражающие актуальную мировую повестку. По-прежнему используются психологические рычаги давления — именно они позволяют убедить пользователя выполнить указанное действие.

Большая часть сил атакующих брошена на обход средств защиты. Благодаря этому фишинговые сообщения доставляются напрямую к жертвам, несмотря на существующие и постоянно развивающиеся барьеры. Это можно сравнить с игрой в пинг-понг между злоумышленниками и решениями для кибербезопасности: одни находят лазейки, другие их закрывают, и все начинается заново. Поэтому в 2025–2026 годах преступники будут нацелены на повышение технической сложности атак.

Для защиты от фишинговых атак, как и от кибератак в целом, мы советуем придерживаться общих рекомендаций по обеспечению личной и корпоративной кибербезопасности.

Важным аспектом защиты организации от фишинговых является обеспечение безопасности электронной почты. Для обеспечения комплексной защиты используйте решения класса secure email gateway (SEG), которые позволят изолировать потенциально опасные сообщения до того, как они смогут нанести вред. Обязательным является использование технологий аутентификации электронной почты: DKIM, DMARC, SPF. Применяйте правила фильтрации электронной почты для автоматической маркировки или изоляции писем с распространенными признаками фишинга. Для проверки защищенности электронной почты пользуйтесь специализированными сервисами.

Включайте встроенные в популярные браузеры или дополнительные плагины к ним механизмы защиты от фишинга. Для получения актуальной информации о фишинговых доменах подпишитесь на фиды Threat Intelligence.

Для защиты устройства от возможного заражения ВПО через фишинговые атаки используйте песочницы, позволяющие проанализировать поведение скачанных файлов в виртуальной среде, выявить вредоносную активность и вовремя предотвратить ущерб, который может быть нанесен компании. Для инспекции URL при переходе по ссылкам следует разместить на периметре следующие классы средств защиты: SWG (secure web gateway), NGFW (next-generation firewall), SASE (secure access service edge) и т. п. Используйте решения класса EDR (endpoint detection and response) для обнаружения событий, связанных с вредоносной активностью на конечных узлах, и реагирования на них.

Реализуйте принцип наименьших привилегий: сотрудники должны иметь доступ к информации и системам, необходимым для выполнения их рабочих функций. Это поможет снизить риск получения доступа злоумышленников к критически важным системам.

Разработайте план реагирования на инциденты и восстановления, не забывайте о важности процедуры резервного копирования. 

Несмотря на важность технических мер защиты, отправной точкой для фишинговых атак становится именно человеческий фактор. Поэтому в выстраивании эффективной обороны ключевым элементом является обучение персонала.

Обучение сотрудников требует комплексного подхода: теоретические знания должны подкрепляться практическими задачами. Организацию образовательного курса вы можете доверить собственному ИТ-отделу, приглашенным экспертам или воспользоваться различными онлайн-программами.

Как мы писали выше, чем чаще человек видит фишинг, тем реже на него попадается. Это подтверждает исследование компании Hoxhunt: уже через полгода обучения 50% сотрудников могут обнаружить реальную угрозу. При этом без таких тренировок этот показатель составляет всего 13%. В этой связи важным этапом обучения являются регулярные тестовые фишинговые рассылки для сотрудников. Это поможет определить слабые места в знаниях персонала, а также сформировать культуру информационной безопасности в организации. Важно разбирать совершенные ошибки: это позволит эффективнее противостоять атакам. Фишинговые методы регулярно развиваются — такие рассылки помогут обеспечить вашим сотрудникам актуальный уровень знаний.

Несмотря на разнообразие методов фишинга, его можно распознать по ряду признаков. Мы составили правила, следуя которым вы сможете определить фишинговое письмо, а соответственно, и защититься от атаки.

Одним из самых важных правил защиты является ваше спокойствие: не поддавайтесь эмоциям, которые пытаются вызвать злоумышленники. Получив сообщение, ответьте себе на следующие вопросы:

1. Является ли письмо неожиданным?

2. Мне знаком отправитель письма?

3. В письме содержатся грамматические, орфографические ошибки? Соответствует ли дизайн письма и его качество уровню организации, от имени которой письмо отправлено?

4. Письмо вызывает эмоции: страх, любопытство, желание помочь? Создает ли сообщение ощущение срочности? Содержит ли предложение, которое слишком выгодно, чтобы быть правдой?

5. Есть ли в письме потенциальное оружие: ссылки, вложения или QR-коды?

6. Письмо обезличено, нет обращения по имени и отчеству?

7. Является ли просьба в письме необычной или странной?

Если хотя бы на один из вопросов ответ «Да», перед вами может быть фишинговое письмо. Сделайте паузу и перепроверьте предоставленную информацию: перезвоните на официальный номер, проверьте данные через личный кабинет и т. д. Никогда не сообщайте конфиденциальную информацию третьим лицам.

При получении электронного письма, помимо проверки по чек-листу, приведенному выше, необходимо:

• Проанализировать отправителя: почтовый домен, имя и электронный адрес.

• Удостовериться, что ссылки ведут туда, куда нужно. Это можно сделать наведя на них курсор.

Чтобы не стать жертвой фишинговых сайтов, необходимо обращать внимание:

• На адрес сайта и доменное имя. Необходимо осматривать внимательно: приемы злоумышленников, такие как тайпсквоттинг, рассчитаны на рассеянность и спешку пользователя. Например, вместо ptsecurity.com может быть написано plsecurity.com, pt-security.com, pt.security.com, ptsecurity.link и т. д.

• Наличие SSL-сертификата (знак замка в браузере), а также владельца сертификата и дату регистрации доменного имени; например, это можно сделать с помощью сервиса WHOIS.

Для безопасной работы в мессенджерах и социальных сетях необходимо:

• Не переходить по непроверенным ссылкам, не открывать подозрительные файлы.

• Скрывать чувствительные данные. Чем меньше персональной информации доступно в вашем профиле, тем сложнее злоумышленникам составить фишинговое письмо, направленное против вас.