Эволюция фишинга: какие тактики используют злоумышленники в 2025 году

"Лаборатория Касперского" проанализировала развитие почтового фишинга в 2025 году. Эксперты отмечают, что атакующие не только придумывают новые методы, но и совершенствуют уже известные приемы.

Специалисты подчеркивают — чтобы противостоять эволюционирующим киберугрозам, необходимо регулярно повышать уровень цифровой грамотности и использовать надежные защитные решения. 

Среди наиболее заметных приемов, которые используют злоумышленники:

Приглашения в календаре. Эта тактика появилась еще в конце 2010-х годов, однако её вновь стали активно использовать в 2025 году — в основном для атак на сотрудников компаний. Мошенники рассылают жертвам сообщения с приглашением на встречу.

В описании содержится дата и время, а также ссылка на фишинговый ресурс, имитирующий, например, страницу авторизации в сервисах Microsoft. Тело письма при этом может быть пустым.

Если пользователь откроет сообщение, то фальшивая встреча по умолчанию добавится в его календарь, а если примет приглашение, то позднее получит напоминание о встрече. Таким образом человек рискует перейти на мошеннический сайт, даже если не стал открывать ссылку в исходном письме.  

Голосовые сообщения и решение CAPTCHA. Злоумышленники все чаще рассылают короткие фишинговые письма, замаскированные под уведомления о входящих голосовых сообщениях. Для их прослушивания якобы нужно перейти по указанной в тексте ссылке. Однако перед тем, как попасть на поддельный ресурс, жертва должна пройти цепочку CAPTCHA.

Вероятно, используя такую тактику, атакующие пытаются затруднить автоматическое обнаружение и блокировку мошеннических страниц защитными решениями. После решения CAPTCHA человек попадает на фальшивую страницу, имитирующую форму для авторизации в почтовом сервисе. 

Письма на нейтральные темы. В качестве первого этапа фишинговой атаки злоумышленники могут рассылать письма, в которых не будет пугающих и загадочных сообщений или щедрых предложений. Например, эксперты видели схему, в которой атакующие распространяли письма якобы от провайдера облачного хранилища с просьбой оценить качество обслуживания. При переходе по ссылке в тексте пользователь попадал на фишинговую страницу, замаскированную под форму для авторизации на сайте компании.

Адрес фальшивой страницы внешне напоминал официальный, но домен первого уровня был другим: вместо .com использовался .online. Если жертва вводила на мошенническом ресурсе учетные данные, они перенаправлялись на настоящий сайт: злоумышленники реализовали такую схему в попытке перехватить одноразовые коды подтверждения для входа в аккаунт и таким образом пройти все этапы многофакторной аутентификации.

"Атакующие все чаще внедряют различные методы в попытке избежать обнаружения фишинговых страниц или ссылок защитными решениями. Например, они используют PDF-документы с QR-кодами или вложения, защищенные паролем. В некоторых случаях пароль даже отправляется отдельным письмом. В таких условиях пользователям важно критически относиться к любым входящим сообщениям, обращать внимание на адрес отправителя, а также URL сайта, прежде чем ввести на нём конфиденциальные данные.

Организациям необходимо регулярно проводить для сотрудников тренинги по кибербезопасности, обучать их распознавать фишинговые схемы, например с помощью платформы Kaspersky Automated Security Awareness Platform. Кроме того, мы рекомендуем компаниям использовать надежное защитное решение, которое автоматически будет отправлять подобные письма в спам, такое какKaspersky Secure для почтовых серверов", — комментирует Роман Деденок, эксперт "Лаборатории Касперского" по кибербезопасности.