Эволюция фишинга: какие тактики используют злоумышленники в 2025 году

«Лаборатория Касперского» проанализировала развитие почтового фишинга в 2025 году. Эксперты отмечают, что атакующие не только придумывают новые методы, но и совершенствуют уже известные приемы. Специалисты подчёркивают — чтобы противостоять эволюционирующим киберугрозам, необходимо регулярно повышать уровень цифровой грамотности и использовать надёжные защитные решения.

Среди наиболее заметных приемов, которые используют злоумышленники:

Приглашения в календаре

Эта тактика появилась ещё в конце 2010-х годов, однако её вновь стали активно использовать в 2025 году — в основном для атак на сотрудников компаний. Мошенники рассылают жертвам сообщения с приглашением на встречу. В описании содержится дата и время, а также ссылка на фишинговый ресурс, имитирующий, например, страницу авторизации в сервисах Microsoft. Тело письма при этом может быть пустым. Если пользователь откроет сообщение, то фальшивая встреча по умолчанию добавится в его календарь, а если примет приглашение, то позднее получит напоминание о встрече. Таким образом человек рискует перейти на мошеннический сайт, даже если не стал открывать ссылку в исходном письме.

Голосовые сообщения и решение CAPTCHA

Злоумышленники всё чаще рассылают короткие фишинговые письма, замаскированные под уведомления о входящих голосовых сообщениях. Для их прослушивания якобы нужно перейти по указанной в тексте ссылке. Однако перед тем, как попасть на поддельный ресурс, жертва должна пройти цепочку CAPTCHA. Вероятно, используя такую тактику, атакующие пытаются затруднить автоматическое обнаружение и блокировку мошеннических страниц защитными решениями. После решения CAPTCHA человек попадает на фальшивую страницу, имитирующую форму для авторизации в почтовом сервисе.

Письма на нейтральные темы

В качестве первого этапа фишинговой атаки злоумышленники могут рассылать письма, в которых не будет пугающих и загадочных сообщений или щедрых предложений. Например, эксперты видели схему, в которой атакующие распространяли письма якобы от провайдера облачного хранилища с просьбой оценить качество обслуживания. При переходе по ссылке в тексте пользователь попадал на фишинговую страницу, замаскированную под форму для авторизации на сайте компании. Адрес фальшивой страницы внешне напоминал официальный, но домен первого уровня был другим: вместо .com использовался .online. Если жертва вводила на мошенническом ресурсе учётные данные, они перенаправлялись на настоящий сайт: злоумышленники реализовали такую схему в попытке перехватить одноразовые коды подтверждения для входа в аккаунт и таким образом пройти все этапы многофакторной аутентификации.

«Атакующие всё чаще внедряют различные методы в попытке избежать обнаружения фишинговых страниц или ссылок защитными решениями. Например, они используют PDF-документы с QR-кодами или вложения, защищённые паролем. В некоторых случаях пароль даже отправляется отдельным письмом. В таких условиях пользователям важно критически относиться к любым входящим сообщениям, обращать внимание на адрес отправителя, а также URL сайта, прежде чем ввести на нём конфиденциальные данные. Организациям необходимо регулярно проводить для сотрудников тренинги по кибербезопасности, обучать их распознавать фишинговые схемы. Кроме того, мы рекомендуем компаниям использовать надёжное защитное решение, которое автоматически будет отправлять подобные письма в спам», — комментирует Роман Деденок, эксперт «Лаборатории Касперского» по кибербезопасности.