Новые схемы почтового фишинга

Третий квартал 2025 года показал рост числа вредоносных писем на 13%: за три месяца было исследовано 1,8 млрд сообщений, из которых 26 млн признаны ИБ-угрозами. Более 90% фишинговых кампаний были направлены на взлом почтовых ящиков Outlook и Gmail.

Киберугрозы постоянно развиваются, и почтовый фишинг — не исключение. Злоумышленники придумывают новые методы обхода и обмана пользователей. При этом известные и старые приемы остаются и модифицируются.

PDF: от ссылок к QR-кодам и паролям

Рассылки с PDF-вложениями продолжают активно использоваться в массовом и направленном фишинге. Если раньше в таких PDF-файлах размещали обычные ссылки, то сейчас выросла доля атак с QR-кодами — это упрощает скрытие вредоносного URL и стимулирует жертву просканировать QR-код с телефона, который может быть менее защищён, чем рабочий компьютер.

Злоумышленники также ипользуют дополнительные техники защиты от обнаружения, используя запароленные PDF. Пароль могут отправить в том же письме или отдельно — это также усложняет автоматическое сканирование и создаёт ложное ощущение безопасности у пользователя.

Фишинг через календарные уведомления

Старый метод с приглашениями в календаре снова набирает популярность. В письме может быть пустое тело, а фишинговая ссылка скрыта в описании встречи. Если пользователь откроет письмо или случайно примет событие, оно добавится в календарь и позже напомнит о себе уже нативным уведомлением.

В отличие от прежних массовых рассылок, в 2025 году этот метод используют в B2B-фишинге, нацеливаясь на корпоративных сотрудников. Ссылки ведут на фальшивые формы входа, чаще всего имитирующие Microsoft.

Проверка существующих аккаунтов через цепочки верификации

Помимо способов доставки фишингового контента, злоумышленники совершенствуют и сами фишинговые сайты. Даже минималистичные письма, под видом ссылок на прослушивание «голосовых сообщений», могут вести на сложные цепочки CAPTCHA, позволяющие с гарантией защититься от ботов защитных решений.

После того, как пользователь несколько раз докажет, что он не робот, его перенаправляют на фальшивую форму входа Google, которая проверяет, существует ли введённый адрес. Для существующих аккаунтов сайт показывает «ошибку пароля», даже если данные были введены верно, побуждая пользователя вводить комбинации из иных адресов и новых паролей снова — все они попадают к злоумышленникам.

Схемы обхода многофакторной аутентификации

Поскольку многие защищают аккаунты многофакторной аутентификацией, злоумышленники начали выстраивать атаки, в которых фишинговый сайт полностью синхронизируется с настоящим ресурсом. Одним из примеров являются рассылки, маскирующиеся под уведомления от pCloud: письма выглядят нейтрально и не вызывают тревоги: «Оцените качество проделанной работы».

При переходе по ссылке пользователь попадает на копию сайта, где действия связываются через API с реальным сервисом. Если адрес существует, то из-за связки фишингового сайта с реальным pCloud, оригинальный сервис действительно отправляет пользователю на почту нужный код, который предлагается ввести на сайте злоумышленников. После ввода кода и пароля злоумышленники получают полноценный доступ к аккаунту. Копия сайта настолько детализирована, что обман заметить сложно.

Чтобы не стать жертвой фишинговой атаки, пользователям важно соблюдать правила:

• обращать внимание на нетипичные вложения: зашифрованные PDF, документы с QR-кодами и другие нестандартные форматы;
• перед вводом учетных данных всегда проверять, соответствует ли доменное имя адресу реального сервиса.