У организаторов фишинговых атак популярна мимикрия под банки и мессенджеры

Согласно данным Координационного центра доменов .RU/.РФ, в первом полугодии 2025 года чаще всего злоумышленники подделывали домены Telegram, сервисов «Сбера», Альфа-банка, «Юлы», Steam Community и крупнейших маркетплейсов.

Как рассказали представители Координационного центра «Известиям», абсолютным лидером стал Telegram — на его подделки пришлось 3,4 тыс. фишинговых ссылок. Всего за полгода было выявлено 12 тыс. мошеннических доменов.

Главный тренд 2025 года — резкий рост фишинговых атак с использованием мессенджеров. Количество атак через Telegram увеличилось в 3,6 раза, через WhatsApp (принадлежит признанной в России экстремистской и запрещённой корпорации Meta) — в 4 раза.

Аналитик Координационного центра Евгений Панков отметил, что интерес злоумышленников напрямую зависит от популярности брендов и категорий сервисов. В частности, усиливается внимание к онлайн-играм и электронной коммерции, тогда как интерес к каршерингу и бронированию отелей за границей снижается.

Ещё одна заметная тенденция — персонализация атак. Ранее фишинговые ссылки в основном распространялись через массовые e-mail-рассылки, теперь мошенники всё чаще делают ставку на индивидуальные сообщения в мессенджерах и соцсетях.

«При создании фишинговых доменов мошенники используют стандартные приёмы: замену символов, добавление цифр или слов — например, sberbank.id56728.ru. Чтобы не потерять данные, деньги или доступ к устройству, важно сохранять бдительность», — поясняет Евгений Панков.

«Отличительная черта современных атак — активное использование защитных механизмов от обнаружения и доменов, не связанных напрямую с брендом, под который маскируется сайт. Всё большую популярность набирают так называемые "фишинговые комбайны" — нелегальные сервисы, позволяющие автоматически генерировать фальшивые страницы под разные бренды», — добавили в центре мониторинга внешних цифровых угроз Solar AURA.

В Solar AURA подтвердили, что основными мишенями фишинговых атак остаются маркетплейсы, банки и мессенджеры. Также зафиксированы случаи подделки форм входа на государственные сервисы.

Ведущий специалист по ИБ интегратора «АйТиАнгел» Максим Колесников назвал наиболее опасными фишинговыми ресурсами те, что имитируют портал Госуслуг: «Люди быстро реагируют на уведомления о штрафах, судебных задолженностях, повестках — особенно если письмо или СМС оформлено "как надо": с логотипом, фамилией и ссылкой на фальшивую страницу. Пользователь вводит логин и пароль, думая, что это официальный сайт, и передаёт данные злоумышленникам».

Он также отметил другие результативные схемы — например, СМС якобы от банка об одобренном кредите с формой обратной связи и подставным номером. Жертва звонит — и её начинают «обрабатывать» мошенники.

Есть и менее очевидные подходы. В частности, ссылки на оплату билетов, присылаемые через сервисы знакомств — деньги при этом уходят напрямую мошеннику. Были случаи подделки сайтов закупок ИБ-интеграторов, через которые заказчики переводили средства на подставные счета.

Проджект-менеджер MD Audit (ГК Softline) Кирилл Левкин считает самыми массовыми и эффективными те атаки, где используется психологическое давление. Мошенники представляются сотрудниками банка, налоговой, популярных платформ, а также покупателями или продавцами, убеждая перейти по ссылке для получения оплаты или доставки.

«Число атак на бизнес с подменой деловой переписки растёт — злоумышленники перехватывают или фальсифицируют письма от контрагентов с поддельными реквизитами, — отмечает Кирилл Левкин. — Также активно применяются целевые фишинговые атаки и вредоносные вложения от имени известных брендов».

По мнению директора по развитию интегратора «Куб Три» Дмитрия Луневского, одним из самых опасных остаётся сценарий с телефонными звонками, подкреплёнными поддельными документами или сгенерированным голосом. С помощью ИИ злоумышленники создают аудиосообщения, имитирующие голос родственника, или оформляют «официальные» письма и повестки с нужными именами и логотипами.

«Важно всегда проверять адрес сайта в браузере и не вводить конфиденциальную информацию на подозрительных ресурсах, — подчёркивает старший контент-аналитик «Лаборатории Касперского» Ольга Алтухова. — Также необходимо использовать средства защиты, которые вовремя заблокируют переход на фишинговую или мошенническую страницу».