Эволюция фишинга: какие тактики используют злоумышленники в 2025 году

Лаборатория Касперского проанализировала развитие почтового фишинга в 2025 году. Эксперты отмечают, что атакующие не только придумывают новые методы, но и совершенствуют уже известные приёмы. Специалисты подчёркивают:   чтобы противостоять эволюционирующим киберугрозам, необходимо регулярно повышать уровень цифровой грамотности и использовать надёжные защитные решения.

Среди наиболее заметных приёмов, которые используют злоумышленники:

Приглашения в календаре 

Эта тактика появилась ещё в конце 2010-х годов, однако её вновь стали активно использовать в 2025 году — в основном для атак  на сотрудников компаний. Мошенники рассылают жертвам сообщения с приглашением на встречу. В описании содержится дата    и время, а также ссылка на фишинговый ресурс, имитирующий, например, страницу авторизации в сервисах Microsoft. 

Тело письма при этом может быть пустым. Если пользователь откроет сообщение, то фальшивая встреча по умолчанию добавится в его календарь, а если примет приглашение, то позднее получит напоминание о встрече. Таким образом человек рискует перейти на мошеннический сайт, даже если не стал открывать ссылку в исходном письме. 

Голосовые сообщения и решение CAPTCHA 

Злоумышленники всё чаще рассылают короткие фишинговые письма, замаскированные под уведомления о входящих голосовых сообщениях. Для их прослушивания якобы нужно перейти по указанной в тексте ссылке. Однако перед тем как попасть на поддельный ресурс, жертва должна пройти цепочку CAPTCHA. 

Вероятно, используя такую тактику, атакующие пытаются затруднить автоматическое обнаружение и блокировку мошеннических страниц защитными решениями. После решения CAPTCHA человек попадает на фальшивую страницу, имитирующую форму для авторизации в почтовом сервисе.

Письма на нейтральные темы 

В качестве первого этапа фишинговой атаки злоумышленники могут рассылать письма, в которых не будет пугающих и загадочных сообщений или щедрых предложений. Например, эксперты видели схему, в которой атакующие распространяли письма якобы от провайдера облачного хранилища с просьбой оценить качество обслуживания. 

При переходе по ссылке в тексте пользователь попадал на фишинговую страницу, замаскированную под форму для авторизации на сайте компании. Адрес фальшивой страницы внешне напоминал официальный, но домен первого уровня был другим: вместо .com использовался .online. 

Если жертва вводила на мошенническом ресурсе учётные данные, они перенаправлялись на настоящий сайт: злоумышленники реализовали такую схему в попытке перехватить одноразовые коды подтверждения для входа в аккаунт и таким образом пройти все этапы многофакторной аутентификации.

«Атакующие всё чаще внедряют различные методы в попытке избежать обнаружения фишинговых страниц или ссылок защитными решениями. Например, они используют PDF-документы с QR-кодами или вложения, защищённые паролем. В некоторых случаях пароль даже отправляется отдельным письмом. 

В таких условиях пользователям важно критически относиться к любым входящим сообщениям, обращать внимание на адрес отправителя, а также URL сайта, прежде чем ввести на нём конфиденциальные данные. 

Организациям необходимо регулярно проводить для сотрудников тренинги по кибербезопасности, обучать их распознавать фишинговые схемы, например с помощью платформы Kaspersky Automated Security Awareness Platform. 

Кроме того, мы рекомендуем компаниям использовать надёжное защитное решение, которое автоматически будет отправлять подобные письма в спам, такое как Kaspersky Secure для почтовых серверов», — комментирует Роман Деденок, эксперт Лаборатории Касперского по кибербезопасности.