Современный ландшафт киберугроз демонстрирует окончательную трансформацию фишинга из набора разрозненных мошеннических писем в зрелую сервисную индустрию, функционирующую по канонам легитимного ИТ-бизнеса. 

Фишинг на протяжении многих лет остается одним из наиболее востребованных способов получения первоначального доступа к корпоративной инфраструктуре, сохраняя свою эффективность вопреки массовому внедрению многофакторной аутентификации (MFA) и инвестициям в антиспам-фильтрацию. 

В 2025 году социальная инженерия стала самым распространенным методом атак на организации: её доля составляла 50% в первом полугодии и 41% во втором. При этом в 80% случаев успешных атак с применением социальной инженерии основным вектором выступала именно электронная почта. Однако сегодня почта — это лишь стартовая точка сложной многоэтапной цепочки кибератаки, которая быстро уводит жертву в мессенджеры, социальные сети или на скомпрометированные веб-ресурсы.

Доля использования социальной инженерии в успешных атаках на организации
Доля использования социальной инженерии в успешных атаках на организации

Экономика PhaaS: зрелость рынка и рост медианных цен

Рынок фишинга как услуги (Phishing as a Service, PhaaS) в 2025 году перешел в стадию глубокой специализации и доминирования предложения над спросом. Продавцы на теневых форумах перестали предлагать исключительно статические наборы страниц, перейдя к реализации полноценных «продуктовых конвейеров». Современный фишинг-кит включает в себя:

  • административные панели управления

  • механизмы интеграции с ботами

  • антибот-фильтры

  • готовую облачную инфраструктуру и специализированные модули для перехвата одноразовых паролей (OTP). 

Объекты продажи или направления, связанные с предлагаемыми PhaaS-решениями, в объявлениях на теневых форумах за 2024–2025 год 
Объекты продажи или направления, связанные с предлагаемыми PhaaS-решениями, в объявлениях на теневых форумах за 2024–2025 год 

Статистика активности на дарквеб-ресурсах подтверждает стабильно высокий интерес к модели PhaaS, несмотря на некоторое снижение открытых публикаций в начале 2026 года, вызванное переходом злоумышленников в приватные каналы мессенджеров и усилением защиты самих форумов от парсинга.

Пример каталога с ценами на сайте продавца фишинговых решений
Пример каталога с ценами на сайте продавца фишинговых решений

Ценовая политика киберпреступного рынка также претерпела значительные изменения. Если в 2024 году медианная цена за фишинговое решение была относительно невысокой, то к 2025 году она выросла более чем в три раза — со 125 до 500 долларов. Средняя же стоимость лота составила около 723 долларов, что обусловлено появлением на рынке дорогих комплексных решений стоимостью свыше 1000 долларов. Эти дорогостоящие предложения представляют собой готовые «продукты-воронки», которые обеспечивают злоумышленнику максимально простой путь от запуска кампании до реализации преступной цели. В структуре предложений 18% объявлений приходится на продажу административных панелей, а 13% напрямую связаны с инструментами для перехвата 2FA и OTP, что подчеркивает фокус разработчиков на обходе современных систем защиты.

Вредоносное ПО как финальный аккорд почтовой атаки

Типы ВПО, которые фиксировались в атаках на организации в 2025 году
Типы ВПО, которые фиксировались в атаках на организации в 2025 году

Фишинг и распространение вредоносного программного обеспечения (ВПО) в современных условиях практически не существуют отдельно друг от друга. В 70% атак на организации в 2025 году злоумышленники использовали ВПО для получения доступа, закрепления в системе или дальнейшего развития инцидента. 

Почтовый канал является критически важным звеном в этом процессе: через него доставлялось ВПО в 47% случаев. Основными типами вредоносного контента, фиксируемыми в атаках, остаются шпионы, шифровальщики и загрузчики. Особую опасность представляют многоступенчатые сценарии, когда фишинговое письмо содержит лишь безобидный на первый взгляд загрузчик, который впоследствии скачивает основной модуль полезной нагрузки, например шифровальщик.

Злоумышленники активно используют почту для доставки файлов различных типов — от архивов и документов с макросами до HTML-вложений и QR-кодов. Для сокрытия вредоносной логики применяются многоуровневые контейнеры-«матрешки», которые затрудняют статический анализ средствами защиты.

В 2025 году была зафиксирована активность, связанная с использованием SVG-вложений: несмотря на то что пользователи воспринимают их как изображения, формат SVG основан на XML и может содержать в себе вредоносный HTML и JavaScript-код. Это заставляет средства защиты переходить к динамическому анализу (песочницам), способным проверять поведение файлов в изолированной мультиплатформенной среде.

Технологические тренды: QR-коды, AiTM и обход MFA

Одним из самых ярких трендов 2025 года стал взрывной рост QR-фишинга (Quishing). Использование QR-кодов позволяет атакующим уводить пользователя за пределы корпоративного контроля, побуждая его сканировать код личным мобильным устройством. В третьем квартале 2025 года было зафиксировано 716 306 уникальных вредоносных QR-кодов. Эта техника эффективна против традиционных механизмов фильтрации, так как QR-коды, встроенные в PDF или тело письма, не распознаются стандартными антиспам-решениями без специализированных модулей OCR.

Другим системным вызовом стали атаки класса AiTM (Adversary-in-the-Middle). Платформы вроде Tycoon2FA реализуют сложные сценарии, позволяющие проксировать сессию аутентификации в реальном времени, перехватывать токены и обходить MFA. Проблема усугубляется тем, что доступ злоумышленника в таких случаях может сохраняться даже после смены пароля пользователем, если активные сессионные токены не будут принудительно отозваны администратором. Кроме того, киберпреступники всё чаще используют легитимные, но скомпрометированные учетные записи или встраиваются в уже существующие цепочки деловой переписки, что делает их сообщения максимально правдоподобными для систем фильтрации и самих пользователей.

Анатомия атаки: от разведки до монетизации

Схема фишинговой атаки
Схема фишинговой атаки

Типичная фишинговая атака — это не разовое событие, а последовательность тщательно подготовленных этапов. Процесс начинается с разведки и сбора информации о сотрудниках и бизнес-процессах организации, что позволяет злоумышленникам подбирать максимально релевантные сценарии, например, для BEC-атак (Business Email Compromise). На этапе доставки письма атакующие используют инфраструктуру, обеспечивающую прохождение проверок DKIM и DMARC, чтобы минимизировать риск блокировки по репутационным признакам.

Маскировка вредоносного контента осуществляется через использование короткоживущих доменов, цепочек переадресации и геофильтров, которые показывают фишинговое содержимое только целевым пользователям, скрывая его от сканеров систем безопасности. Момент вовлечения пользователя — переход по ссылке или открытие вложения — становится критической точкой перехода атаки в стадию компрометации. На последующих этапах злоумышленники стремятся закрепиться в инфраструктуре, изменяя правила пересылки почты или запрашивая OAuth-разрешения для приложений, что позволяет им развивать атаку горизонтально внутри сети организации.

Стратегия защиты: многоуровневый стек и работа со слепыми зонами

Анализ современных угроз показывает, что ни один отдельный инструмент не способен обеспечить полную защиту почтового канала. Традиционные SEG (Secure Email Gateways) эффективны против массового спама, но имеют слепые зоны в области целевого фишинга и атак с легитимных адресов. Аутентификация доменов через DMARC важна, но она защищает только от спуфинга и не помогает при компрометации реального аккаунта.

Для построения устойчивой системы безопасности необходимо внедрение нескольких функциональных слоев:

  • Динамический анализ: использование песочниц для детонации вложений и анализа поведения ссылок в момент взаимодействия пользователя с ними (Time-of-Click защита).

  • Распознавание контента: внедрение OCR-модулей для извлечения URL из изображений и QR-кодов, а также NLP-анализа для выявления признаков социальной инженерии в тексте (актуально для борьбы с BEC).

  • Реагирование после доставки: возможность автоматического удаления писем из ящиков сотрудников (помещение в карантин) при получении обновленных TI-данных, а также оперативный отзыв сессионных токенов при подозрении на AiTM.

  • Корреляция событий: интеграция почтовой защиты с IAM-системами для выявления аномальных входов, новых правил пересылки и подозрительных OAuth-разрешений.

В ближайшей перспективе эксперты ожидают дальнейшего развития сервисной модели фишинга и более активного использования ИИ для подготовки атак. PhaaS-платформы будут интегрироваться с брокерами доступа и сервисами распространения ВПО, создавая единые бесшовные цепочки для реализации киберпреступных задач. В этих условиях защита должна перестать быть реактивной и сфокусироваться на анализе всей цепочки событий — от момента разведки до попыток эксфильтрации данных.

С полной версией исследования можно ознакомиться на нашем сайте.

Артем Белей

Cтарший аналитик группы международной аналитики PT Cyber Analytics