Мы боремся с фишингом неправильно: почему современные атаки стали неуловимыми

Представьте ситуацию: вы пытаетесь защитить свою организацию от фишинговых атак, но каждая новая попытка мошенников выглядит абсолютно уникальной и неизвестной системам безопасности. В 2025 году киберпреступники настолько усовершенствовали методы маскировки, что каждая атака воспринимается как принципиально новая угроза — так называемый «нулевой день». Почему так происходит и какие меры можно предпринять?

Масштаб проблемы фишинга

• Ежедневно рассылается 3,4 миллиарда фишинговых писем, что составляет почти 1,2% всей мировой электронной корреспонденции.
• 79% компаний признают, что именно фишинг стал основной причиной утечек данных в 2024 году.
• 64% организаций столкнулись с BEC-атаками (компрометация деловой электронной почты), когда злоумышленник выдаёт себя за руководителя или партнёра компании.

Эти показатели растут, потому что злоумышленники переключились с поиска технических уязвимостей программного обеспечения на эксплуатацию человеческого фактора: они похищают сессии авторизации, обходят многофакторную аутентификацию (MFA) и подменяют процессы OAuth-авторизации. Убедить человека совершить ошибку стало проще, чем взломать защищённый сервер.

Недостатки традиционной модели обнаружения

В классической схеме защита строится на блокировке известных индикаторов компрометации (IoC): после обнаружения вредоносного домена его вносят в список блокировки. Однако для этого домен уже должен быть использован против вас или других компаний. По сути, это попытка закрыть дверь после того, как злоумышленник уже проник внутрь.

Процесс выглядит так: атака → пользователь переходит по ссылке → случай расследуется → индикатор публикуется → обновляются базы угроз → системы защиты загружают обновления. На весь этот цикл уходит от нескольких часов до недель.

Почему каждая фишинговая страница кажется «новой»

• Одноразовые домены. Злоумышленники приобретают тысячи доменных имён и заранее планируют их быструю смену. Сегодня используется домен «example-security-login[.]com», а завтра уже «secure-login-example[.]net».
• Динамические URL-адреса. Один и тот же шаблон генерирует уникальную ссылку для каждого пользователя: система проверки безопасности видит безвредную страницу, а реальный пользователь — фишинговую приманку.
• Быстрая смена IP-адресов. Облачные сервисы позволяют быстро подключить к серверу новый адрес. Если старый адрес заблокирован, злоумышленники просто переключаются на новый.
• Использование взломанных легитимных сайтов. Скомпрометированный сайт на WordPress с хорошей репутацией обходит стандартные проверки безопасности (SPF, DKIM, DMARC) и выглядит легитимно.

В результате низкоуровневые индикаторы (домен, IP-адрес, URL) меняются быстрее, чем обновляются защитные системы, такие как шлюзы защиты электронной почты (SEG) или веб-шлюзы (SWG).

Разнообразие каналов атак

Мы привыкли проверять на фишинг электронную почту, но злоумышленники давно освоили другие каналы: мессенджеры, социальные сети, рекламу и SMS-сообщения. Они часто комбинируют различные каналы для проведения атаки:

1. В Telegram приходит «безопасный» PDF-документ
2. Внутри документа содержится ссылка на Google Drive
3. Google Drive перенаправляет на скомпрометированный веб-сайт
4. Сайт загружает поддельную страницу входа в систему

Ни одна система фильтрации не способна отследить всю эту цепочку целиком.

Почему системы проверки не справляются

Современная фишинговая страница представляет собой не просто статичный HTML-код, а полноценное интерактивное веб-приложение, которое выполняется непосредственно в браузере пользователя с помощью JavaScript. Система автоматической проверки (песочница) пытается открыть ссылку для анализа, но вместо вредоносной страницы получает безобидное перенаправление. Если добавить к этому системы защиты от автоматического доступа, такие как CAPTCHA или Cloudflare Turnstile, автоматическая проверка становится практически невозможной.

Даже если системе удаётся пройти проверку на автоматизацию, она видит только исходный код страницы. Между тем вредоносный скрипт может динамически создавать фишинговую форму входа или шифровать код, делая его невидимым для систем анализа.

Пять шагов к эффективной защите

1. Сместите фокус на браузер. Именно там, где пользователь вводит свои учётные данные, и происходит атака. Мониторинг с помощью расширения для браузера позволяет видеть реальную страницу, а не её копию в системе проверки.
2. Переходите от отслеживания индикаторов к анализу тактик. Фиксируйте характерные признаки атак: наличие формы входа + несоответствие домена + попытка повторного использования пароля. Такие особенности злоумышленникам сложнее изменить, чем адрес сайта.
3. Внедряйте проверку в реальном времени. Система должна блокировать ввод учётных данных немедленно, а не через час после обновления базы угроз.
4. Анализируйте сессии, а не только ссылки. Современные атаки часто направлены на перехват сессионных токенов, а не паролей. Отслеживайте подозрительный экспорт файлов cookie или автоматическую авторизацию через API.
5. Автоматизируйте обратную связь. Любая блокировка должна сразу отправлять уведомление в центр операционной безопасности (SOC), чтобы аналитики не тратили время на ручную проверку.

Браузер как новый центр защиты

Когда-то мы обнаруживали вредоносные программы с помощью сигнатур антивируса, затем появились системы EDR (обнаружение и реагирование на конечных точках): агент устанавливался внутри операционной системы и отслеживал процессы в реальном времени. Сегодня браузер фактически стал основной рабочей средой: в нем хранятся документы, почта, CRM-системы, облачные сервисы.

Установив «EDR для браузера», вы получаете возможность:

— видеть реальную структуру страницы и сетевые запросы;

— блокировать отправку формы, если домен оказывается поддельным;

— информировать пользователя о причинах блокировки, а не просто отображать предупреждение.

Ключевая идея заключается в том, что защита должна находиться там, где возникает угроза.

Сокращение разрыва в скорости реагирования

Пока злоумышленники тратят секунды на регистрацию нового домена, большинство компаний ждут обновления систем защиты часами. Этот разрыв создаёт иллюзию бесконечных «нулевых дней». На самом деле проблема не в технологиях, а в использовании устаревших методов защиты.

При более комплексном подходе ситуация меняется:

— атака блокируется до ввода пароля;

— индикаторы компрометации генерируются автоматически и передаются партнёрам;

— пользователь мгновенно получает уведомление о попытке перехвата сессии и сбрасывает токен.

Заключение

Фишинг давно перестал быть просто «электронным письмом с подозрительной ссылкой» — это хорошо организованный бизнес-процесс, который сегодня работает быстрее и гибче, чем большинство корпоративных систем безопасности. Пока наши системы защиты пытаются обновить базы с индикаторами компрометации, злоумышленники уже регистрируют новые домены и запускают сложные веб-приложения, которые меняются в реальном времени и распознают попытки автоматического анализа. Отсюда возникает ощущение постоянного «нулевого дня»: мы реагируем, когда атака уже состоялась.

Перенеся точку мониторинга внутрь браузера, мы фактически перемещаем анализ угроз из «места преступления» непосредственно туда, где формируется атака. На уровне активного содержимого страницы видны подменённые формы входа, попытки кражи токенов многофакторной аутентификации и подозрительные скрипты, отслеживающие сессию пользователя. Важно не просто фиксировать эти действия, но и останавливать их мгновенно — до того, как пользователь нажмёт кнопку «Войти». Такой подход приближает защиту к концепции EDR: не пытаться обнаружить уже произошедшую атаку, а блокировать её по характерным признакам.

Разумеется, одних технологий недостаточно. Необходима и реорганизация процессов безопасности: центр операционной безопасности должен получать оповещения в реальном времени, а не в виде еженедельных отчётов; пользователи должны понимать причины блокировки, а не просто видеть предупреждение; команды аналитиков должны обмениваться информацией о тактиках и методах атак, а не только о конкретных доменах и IP-адресах. Чем быстрее мы научимся действовать как единая система, тем меньше шансов у злоумышленников успешно проводить атаки.

В конечном счёте современный фишинг — это соревнование в скорости. Либо ваша система защиты успевает отреагировать до того, как злоумышленник получит доступ к учётным данным, либо корпоративные аккаунты продолжают компрометироваться, а каждая атака кажется уникальной и неизвестной. Изменив подход и переместив защиту непосредственно к пользовательскому интерфейсу, мы возвращаем инициативу себе — и превращаем «нулевой день» из постоянной угрозы в действительно редкое исключение, к которому организация готова.