По данным BI.ZONE Mail Security, в 2025-м злоумышленники в 3 раза чаще, чем годом ранее, отправляли фишинговые письма. Наиболее распространенные векторы атак — скомпрометированные учетные записи и методы социальной инженерии.
Общее количество нежелательных писем увеличилось на 46% по сравнению с 2024 годом. Рост числа фишинговых атак составил 38%, вредоносного ПО (ВПО) — 15,6%, спуфинга — 7%.
Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE:
«Главный вывод 2025 года — снижение доверия к отправителю. Все чаще атакуют с легитимных серверов и через легитимные учетные записи. Поэтому для блокировки уже недостаточно проверить заголовки (SPF/DKIM), а также репутацию домена отправителя и его IP-адреса. Чтобы обеспечить защиту, необходимо анализировать содержание письма.
Ключевое требование к системам безопасности — уметь выявлять нетехнические признаки атак: манипуляции, срочные призывы к действию и аномалии в тексте, даже если письмо выглядит легитимно».
Фишинг стал основной точкой входа для атак на компании из большинства отраслей. По данным BI.ZONE Mail Security, в 2025 году злоумышленники активизировались в промышленности, ритейле, сфере услуг, логистике и здравоохранении.
В промышленности фокус сместился с вредоносного ПО на социальную инженерию: в II половине 2025-го количество писем с ВПО сократилось почти в 12 раз по сравнению с I половиной года, тогда как объем фишинговых атак вырос почти вдвое. В ритейле число фишинговых писем за тот же период увеличилось почти втрое, при этом объем вредоносного ПО остался на прежнем уровне.
На фоне снижения активности вредоносного ПО количество фишинга кратно возросло:
· В сфере профессиональных услуг — более чем в 8 раз.
· В транспорте и логистике — более чем в 3 раза.
· В здравоохранении — более чем в 2 раза.
Количество фишинга в этих отраслях увеличивается из-за интенсивного внешнего документооборота. Злоумышленники используют фейковые счета, накладные и медицинские документы как приманку для компрометации корпоративной почты и учетных данных.
Атаки с ВПО удерживают позиции в финансовом секторе
В II половине 2025 года активность вредоносного ПО в сфере финансов увеличилась на 37%, а по итогам года количество атак превысило показатели 2024-го более чем в 2 раза.
Увеличилось и количество фишинга в финсекторе: в 3,5 раза по сравнению с I полугодием и почти в 8 раз по сравнению с 2024 годом. Динамика связана с высокой ценностью финансовых данных, ростом онлайн-транзакций и использованием фишинга как этапа доставки ВПО.
Скомпрометированные учетные записи используются для обхода фильтрации
В строительной отрасли зафиксировано резкое снижение доли писем, отклоненных на уровне базовой фильтрации: с 38% в II половине 2024 года до 4,5% в II половине 2025-го. В долгосрочной динамике этот показатель снизился с 80–90% в 2022–2023 годах до 9% в II половине 2025-го.
Одна из причин в том, что злоумышленники используют скомпрометированные учетные записи в Microsoft 365 и Google Workspace. Рассылки с доверенных доменов и облачных платформ маскируются под легитимный трафик и проходят базовые почтовые фильтры за счет репутации сервисов, однако выявляются и блокируются на последующих этапах анализа.
Фото: freepik
