Раньше фишинг было легче распознать: кривая вёрстка, странный язык, ссылка на сайт вроде asdfg-klmn.ru. Теперь всё иначе.
Эксперты компании «Информзащита» заметили тревожный тренд: злоумышленники всё чаще используют легитимные веб-платформы — те же сервисы, на которых нормальные разработчики делают реальные проекты.
Цифры: за январь-апрель 2026 года количество таких атак выросло на 38% по сравнению с 2025 годом. Доля ссылок на «честные» платформы среди всех фишинговых рассылок подскочила с 11% до 17%.
Объясняю, почему это опасно и как не попасться.
Как работают новые фишинговые атаки
Раньше схема была простой: вам приходит письмо, там ссылка на левый домен в экзотической зоне (.top, .xyz). Глаз цепляется, антифильтр срабатывает.
Теперь ссылка ведёт на нормальную платформу — типа инструментов для веб-разработки, хостинга или конструктора сайтов. Антивирусы такие домены не блокируют (они же не вредные). И сотрудник не напрягается.
Дальше — красиво. Страница:
- аккуратно свёрстана
- быстро грузится
- нормально выглядит на телефоне
- копирует дизайн корпоративного сервиса почти без ошибок
Вы видите знакомый логотип, форму входа через Google или Microsoft — и вводите логин с паролем. Не глядя на адресную строку.
ИИ помогает хакерам (спасибо и на этом)
Генеративный ИИ встроили в инструменты веб-разработки. Это ускоряет работу нормальных программистов. И — как вы уже догадались — помогает создавать фишинг.
Теперь хакер может за несколько запросов к нейросети получить:
- страницу с логотипами бренда
- фирменными цветами
- адаптивной вёрсткой
- рабочей формой ввода
Имитируют что угодно: страницы входа, карьерные порталы, платежные формы. Всё выглядит как настоящее.
Кого атакуют чаще всего (распределение по сферам)
Исследователи посчитали отрасли, которые пострадали больше всего:
| Сфера | Доля атак |
|---|---|
| Финансовые организации | 26% |
| Ритейл и e-commerce | 19% |
| IT и телеком | 17% |
| HR, рекрутинг, образование | 13% |
| Промышленность и логистика | 11% |
| Медицина | 8% |
| Госсектор | 6% |
Что именно подделывают (виды фишинговых страниц)
| Тип страницы | Доля |
|---|---|
| Корпоративный вход / SSO | 41% |
| Документы, счета, заявки | 22% |
| Карьерные порталы (под видом найма) | 16% |
| Платежи и подписки | 12% |
| Перехват кодов MFA и одноразовых паролей | 7% |
| Смешанные сценарии с переадресацией | 2% |
Что говорят эксперты
«Раньше пользователя спасали плохая вёрстка, странный язык письма или подозрительный домен. Сейчас атака может быть визуально чистой, технически стабильной и размещённой на платформе, которую компания не считает опасной», — объясняет Павел Коваленко из «Информзащиты».
Прогноз на 2026 год: такие атаки будут только расти. Главная цель — учётные данные сотрудников. Потому что через них можно зайти в почту, облачные хранилища, CRM и внутренние сервисы.
Как защититься — простыми словами
Компаниям (тем, кто отвечает за безопасность)
- Не доверяйте только домену. Смотрите на поведение страницы: есть ли форма ввода логина, пароля, кода MFA, платёжных данных.
- Проверяйте редиректы — куда ведёт цепочка переходов.
- Обращайте внимание на возраст поддомена. Недавно созданный — повод насторожиться.
- В почтовой защите — не блокируйте популярные хостинги вслепую, но повышайте уровень проверки ссылок на них.
- Внедряйте строгую MFA (многофакторную аутентификацию), устойчивую к фишингу. То есть мало просто кода из СМС.
- Мониторьте подозрительные входы, быстро блокируйте скомпрометированные учётные записи.
- Жалуйтесь на вредоносные страницы в службы поддержки хостинг-платформ. Чем быстрее удалят — тем меньше жертв.
Обычным сотрудникам (то есть всем нам)
- Всегда смотрите на адресную строку. Даже если страница выглядит как родная.
- Не вводите пароль, если сомневаетесь. Лучше открыть нужный сервис вручную, через закладку или поиск.
- Включите двухфакторную аутентификацию везде, где можно.
- Если вам кажется, что письмо странное — перешлите его в ИБ-отдел или IT-специалисту.
Если коротко
Хакеры перестали использовать левые домены — их быстро блокируют. Теперь они прячут фишинг на нормальных, доверенных платформах, куда антивирусы не лезут. Добавляют ИИ для идеальной вёрстки — и страница выглядит как настоящая.
Спасает только одно: перестать доверять глазам и начать проверять адрес. И компаниям — пересмотреть политику безопасности, потому что старая модель «заблокируем все подозрительные домены» больше не работает.
RuWeb — недорогой хостинг для сайтов! Автоматическая установка CMS. Без скрытых платежей.
