Потратили миллиарды на защиту, но забыли про пароли. Microsoft: 97% успешных взломов обходятся без высокотехнологичных инструментов

leer en español

Microsoft Digital Defense Report 2025 ИИ фишинг облачная безопасность дезинформация
Потратили миллиарды на защиту, но забыли про пароли. Microsoft: 97% успешных взломов обходятся без высокотехнологичных инструментов
Microsoft Digital Defense Report 2025 ИИ фишинг облачная безопасность дезинформация

Microsoft объясняет, как фишинг стал невидимым.

image

Microsoft представила отчёт Digital Defense Report 2025, в котором зафиксирован резкий рост атак на цифровую идентичность, злоупотребление ИИ в киберпреступлениях и усиление активности правительственных группировок. По данным Microsoft Threat Intelligence, в первой половине 2025 года число атак на учётные записи выросло на 32%, и более 97% таких инцидентов связаны с подбором паролей или массовыми попытками входа. При этом многофакторная аутентификация остаётся самым эффективным средством защиты — она снижает вероятность компрометации более чем на 99%.

Отдельный раздел отчёта посвящён злоупотреблению ИИ. Авторы отмечают, что генеративные модели стали не просто инструментом, а полноценным элементом атак. С их помощью злоумышленники создают поддельные сайты и профили, копируют голоса и лица людей для мошенничества и социальной инженерии. Только за год Microsoft заблокировала фиктивные операции на сумму 4 млрд долларов и пресекла 49 тыс. попыток регистрации поддельных партнёрских аккаунтов. В час в инфраструктуре компании блокируется до 1,6 млн автоматических попыток создания фейковых учётных записей.

В отчёте подчёркивается, что растущая волна атак связана с комбинированным использованием технологий искусственного интеллекта и методов социальной инженерии. Преступники используют генерацию фишинговых сообщений, автоматизацию взлома и подмену доменов. Среди новых угроз Microsoft выделяет «фишинг по коду устройства» (Device code phishing), активно применяемый как криминальными группами, так и операторами, связанными с Ираном и Китаем — 93% таких случаев были зафиксированы во второй половине 2025 года.

Атаки Device code phishing основаны на эксплуатации механизма аутентификации через код устройства. Злоумышленники под видом системных администраторов, организаторов мероприятий или других доверенных контактов убеждают пользователя ввести код на поддельном сайте авторизации. После этого нападающий получает токены доступа и обновления, что позволяет заходить в корпоративные сервисы без пароля и сохранять присутствие до тех пор, пока токен действителен.

Microsoft отмечает, что такие атаки нередко стартуют через сторонние мессенджеры и обходят привычные антиспам-фильтры. В некоторых случаях пользователям предлагали ввести код прямо в приглашении Microsoft Teams, что делает обман особенно правдоподобным. Поскольку авторизация в этих схемах проходит с использованием легитимных токенов, стандартные антифишинговые механизмы часто не способны обнаружить подмену, что делает этот метод одной из самых опасных эволюций фишинга.

Серьёзным риском стали «нечеловеческие» идентичности — службы и приложения, имеющие доступ к облачным ресурсам. Нападения на них позволяют злоумышленникам перемещаться по внутренней инфраструктуре и повышать привилегии, оставаясь незамеченными. Microsoft отмечает рост атак, сочетающих фишинг по коду устройства, кражу токенов и обман с разрешениями OAuth — эти методы обходят многофакторную аутентификацию и сохраняют доступ даже после смены пароля.

В разделе об ИИ и национальных угрозах Microsoft предупреждает о появлении «AI adoption» злоумышленников — структур, использующих генеративные технологии как основное оружие информационного влияния. Зафиксированы случаи «ИИ-двойников» телеведущих, отравления обучающих наборов данных и клонирования голосов для создания достоверных пропагандистских видео. Компания подчёркивает, что такие кампании становятся дешевле, масштабнее и труднее для атрибуции, а значит, требуют пересмотра существующих моделей анализа дезинформации.

Отдельно в отчёте рассматривается облачная безопасность: в Azure зафиксирован рост числа атак на 26%, при этом количество деструктивных кампаний выросло на 87%, а краж данных и учётных ключей — на 23% и 58% соответственно. Хакеры всё чаще используют встроенные средства вроде Run Command для удалённого выполнения кода, что усложняет обнаружение вторжений.

Microsoft делает вывод, что границы между криминальными и государственными операциями стираются, а киберпреступность превращается в масштабную экономику услуг. В 2024–2025 годах исследователи выявили 368 брокеров доступа, продающих учётные данные и удалённые подключения к корпоративным сетям — их жертвами стали организации в 131 стране. Компания рекомендует бизнесу рассматривать безопасность как элемент непрерывности работы, развивать совместные системы обмена сигналами об угрозах и начинать планирование защиты от рисков, связанных с квантовыми вычислениями.