Растущие фишинговые атаки: как злоумышленники обманывают с помощью поддельных уведомлений о письмах

По данным Help Net Security, специалисты по кибербезопасности фиксируют рост числа фишинговых атак, в которых пользователей пытаются обмануть с помощью поддельных уведомлений о пропущенных письмах.

Электронные письма, приходящие на почту, имитируют уведомления от внутренней системы домена, утверждая, что важные сообщения были заблокированы в рамках обновления «Secure Message system». Пользователей просят нажать на кнопку «Move To Inbox», чтобы «освободить» письма. После перехода по ссылке они попадают на фишинговую страницу, которая выглядит как легитимный веб-интерфейс почты.

Другой вариант письма утверждает, что письма были помещены в «спам-кварантен», и предлагает авторизироваться по ссылке, чтобы проверить «обновлённую папку спама» или добавить отправителя в чёрный список.

Palo Alto Networks и Malwarebytes зафиксировали, что атакующие используют хорошо продуманные техники для обмана. Так, на поддельной странице входа в почту уже предзаполнено поле с адресом получателя. После ввода пароля данные передаются на вредоносный сервер через HTTP POST-запрос. Затем пользователю демонстрируется сообщение об ошибке — «The login is invalid» — на две секунды, после чего поле пароля очищается. Эта схема рассчитана на то, чтобы заставить пользователя повторить ввод.

Третья попытка авторизации может завершиться переходом либо на реальный домен, либо на страницу Google Search. В некоторых случаях на фишинговых страницах используется JavaScript-файл, собирающий данные о жертве и отправляющий их через Telegram Bot API на сервер злоумышленника.

Malwarebytes также отметила, что в атаках используется WebSocket — технология, позволяющая атакующим мгновенно получать введённые данные. Это даёт возможность собирать дополнительную информацию, включая двуфакторные коды, что повышает эффективность атаки.

Пользователей рекомендуют не нажимать на ссылки в нежелательных письмах, особенно если они содержат призывы к немедленным действиям. Перед вводом логина и пароля важно проверить адрес сайта. В случае сомнений — обращаться в службу ИТ-поддержки через проверенные каналы.

Интересно: Как обеспечить защиту от фишинга, если пользователи всё чаще сталкиваются с убедительными подделками, включающими собственные почтовые адреса и стандартные элементы интерфейса?

i

Создано специально для ASECTOR

Концептуальное изображение

Рост фишинга: когда подделка становится почти идеальной

Внутри системы, где доверие — главная мишень

Современные фишинговые атаки перестали быть грубыми подделками. Они стали почти идеальными. Вместо случайных угроз и неправдоподобных историй, злоумышленники теперь используют точные детали: логины, интерфейсы, даже временные рамки, когда пользователь ожидает уведомление. Это не случайность. Это результат долгой эволюции методов, где ключевой момент — воспроизведение доверия.

Ключевой момент: Современные атаки не только копируют интерфейсы — они копируют ожидания пользователей.

Почему это работает? Потому что пользователь, получив уведомление о заблокированном письме, уже находится в состоянии ожидания. Он знает, что почта — это часть его рабочего процесса. И если уведомление выглядит как часть системы, он не задумывается. Он нажимает. Он вводит данные. И только после — если вообще — понимает, что попал в ловушку.

Система против системы

Особенность современных атак — использование технологий, которые сами по себе безопасны. WebSocket, HTTP POST, JavaScript — это те же инструменты, которые используются в легитимных системах. Злоумышленники не создают новые угрозы, они перехватывают существующие паттерны поведения и технологии.

Так, например, при вводе пароля пользователь видит сообщение об ошибке, а затем поле очищается. Это не случайный сбой — это методический шаг, чтобы заставить пользователя повторить ввод. Такие техники снижают вероятность отказа атаки и увеличивают шансы на успешное получение данных.

То же касается и использования Telegram Bot API. Это не только способ передачи данных — это маскировка. Данные передаются через сервис, который пользователь сам использует в повседневной жизни. Это снижает уровень подозрительности.

Что происходит с бизнесом

Для российского бизнеса рост фишинга — это не техническая проблема. Это проблема доверия внутри системы. Если сотрудники начинают сомневаться в каждом уведомлении, это может снизить эффективность коммуникации и повлиять на оперативность. В то же время, если они не сомневаются, риски утечки данных растут.

Особенно это чувствуется в компаниях, где ИТ-поддержка не в состоянии отвечать оперативно. В таких случаях фишинг становится не чистой угрозой, а инструментом для внутреннего хаоса.

Влияние ИИ и масштабирование атак

С ростом возможностей генеративного ИИ, фишинговые атаки становятся ещё более убедительными. Как отмечают эксперты, злоумышленники используют ИИ для создания текстов, которые невозможно отличить от написанных человеком [!]. Это делает фишинговые письма не только технически сложными, но и психологически точными.

Также растёт масштаб атак: киберпреступники используют модель «контроль доступа как услуга» (Access-as-a-Service), где доступ к системам предоставляется как продукт [!]. Это снижает порог входа для новых злоумышленников и увеличивает общее число атак. По данным аналитиков, спрос на такие услуги вырос на 20% в первом полугодии 2025 года.

Фишинг становится не только методом получения данных — он становится основой для более сложных атак, таких как шифрование данных или выдача требований о выкупе. Особенно уязвимы те организации, где сотрудники не используют двухфакторную аутентификацию или применяют одни и те же данные для нескольких систем [!].

Что делать: защита в условиях эволюции угроз

Для минимизации рисков ключевым становится аудит текущих методов аутентификации. Устаревшие пароли и SMS-коды остаются уязвимыми, а их использование не снижает уровень доверия со стороны сотрудников [!]. Вместо этого рекомендуется внедрять многофакторную аутентификацию, а также использовать аппаратные ключи вместо паролей, особенно для критически важных систем.

Кроме того, важна регулярная подготовка сотрудников. Согласно исследованиям, даже опытные пользователи могут не распознать текст, сгенерированный ИИ, что делает их уязвимыми к обману [!]. Обучение должно включать не только технические аспекты, но и психологические — как распознавать поддельные уведомления, как реагировать на подозрительные действия и кому обращаться в случае сомнений.

Заключение

Современные фишинговые атаки — это не только улучшенные старые методы. Это эволюция угроз, где техническая точность сочетается с психологическим воздействием. Для бизнеса это означает, что защита должна быть не только технической, но и поведенческой. Только комплексный подход, включающий обучение, аудит и внедрение современных технологий, может снизить риски и сохранить доверие внутри корпоративной среды.