Массовые рассылки с типовыми «письмами от службы безопасности» постепенно уходят в прошлое. Их место занимают персонализированные, технологичные и многоканальные атаки.

В этой статье разобрали тенденции и то, как с современным фишингом борется команда BrandSecurity.
Таргетированный фишинг
Акцент смещается с охвата на точность. Персонализированный подход сочетается с ИИ-инструментами: злоумышленники собирают данные о жертве, а нейросети помогают сгенерировать убедительное письмо или сообщение с учетом этих данных.
Набирает популярность схема Fake Boss с дипфейками руководителей. Мошенники имитируют голос или видео с руководителем и обращаются к сотруднику с просьбой о срочном переводе средств или предоставлении доступа.
В попытках обойти системы обнаружения злоумышленники создают индивидуальные фишинговые ссылки для каждой жертвы.
Переход в мессенджеры
Мошенники «ловят на крючок» там, где пользователи проводят больше времени. Появляется огромное количество фишинговых ботов под видом услуг: «помощь с заказом», «проверка подписки», «голосование в конкурсе».
Угон аккаунтов в мессенджерах — самый доходный сегмент. Взломанный аккаунт дает доступ к перепискам, каналам, платежным инструментам и доверию всех контактов владельца.
Фишинг с географической привязкой
Атаки настраиваются под пользователей из определенной страны.
Пример: бренд представлен в СНГ, фишинг таргетирован на аудиторию из конкретной страны. С российского IP на сайте нет ничего подозрительного, и только для целевых пользователей покажется фишинг.
Низкий порог входа из-за ИИ
Фишинговый сайт можно сгенерировать за минуту, начинающим мошенникам больше не нужно разбираться в деталях. В коде фишинговых страниц все чаще находятся ИИ-артефакты — комментарии от нейросети, открытые ключи доступа для ботов и не только.
Почта остается ключевым вектором, но схемы усложняются
Классикой остается эмоциональный триггер с яркой кнопкой. Письмо давит на страх или упущенную выгоду: «Срочно! Ваш аккаунт будет заблокирован», «Успейте получить скидку!».
Теперь такие письма создаются с помощью ИИ — тексты становятся «естественными» и максимально похожими на то, что рассылают реальные компании. Это повышает вероятность того, что получатель попадется на уловку.
Фишинг как инфраструктура
Мошенничество превращается в экосистему с рекламой, вспомогательными каналами и сервисами.
На фишинговые сайты запускаются рекламные кампании через VK, Яндекс и другие платформы.
Сам обман становится многошаговым сценарием со связкой мессенджеров, ботов и поддельных сайтов. Все это создает иллюзию легального сервиса.
Популярная схема: фиктивный счет
Яркий пример персонализированного подхода и высококачественной имитации.
Как работает схема:
1) мошенники создают домен под «брендом поставщика»;
2) обсуждают условия закупки, ведут деловую переписку;
3) выставляют счет;
4) деньги уходят мошенникам.
Как BrandSecurity выявляет фишинг от имени бренда
«Фишинг усложняется, но и мы не стоим на месте. Мы анализируем каждую новую схему и адаптируем систему, чтобы угрозы блокировались на ранних этапах», — Роман Шамонов, технический директор компании BrandSecurity.
DRP-платформа BrandSecurity Rocket автоматически выявляет фишинг, утечки данных и другие цифровые угрозы. Решение позволяет обнаружить угрозу до того, как атака на бренд станет массовой.
Выявление фишинга без прямого упоминания бренда. Система обнаруживает угрозу даже тогда, когда в названии сайта нет товарного знака.
В этом помогает комплексный анализ:
— генерация предполагаемых фишинговых доменов на основе ранее обнаруженных инцидентов;
— поиск по собственной базе из 300+ млн доменных записей, которая постоянно пополняется;
— мониторинг регистрации новых доменных имен более чем в 1500 доменных зонах;
— мониторинг SSL-сертификатов в режиме реального времени;
— сканирование доменов через внешние исследовательские источники (Urlscan, Censys и аналогичные сервисы) с выявлением связанных ресурсов.
Такой подход позволяет обнаруживать домены еще до запуска фишинговой кампании независимо от канала распространения: таргетированной рекламы, рассылок или мессенджеров.
Поиск инфраструктуры распространения атак. DRP-решение отслеживает всю экосистему:
— мониторинг рекламных размещений в VK, Яндекс и других платформах;
— выявление пригласительных и реферальных ссылок с многоступенчатыми редиректами;
— отслеживание изменений контента на обнаруженных доменах с настраиваемыми триггерами и автоматическими уведомлениями;
— глобальный мониторинг Telegram с использованием внутренних алгоритмов поиска, выявляющих ботов, каналы и группы с модифицированными написаниями брендов;
— анализ deep и dark web-ресурсов;
— мониторинг репозиториев и других источников утечек или подготовки мошеннических кампаний.
Алгоритмы находят объекты, которые невозможно обнаружить вручную — например, намеренно искаженные названия брендов или скрытые цепочки распространения.