Сиэтл — Фишинг-атаки, когда киберпреступники подделывают доверенное лицо — банк, государственный орган или службу доставки — остаются основной угрозой для большинства американцев. Эти электронные письма и сообщения, предназначенные для обмана и получения конфиденциальной информации, таких как номер социального страхования, пароли или данные кредитных карт, виноваты в большинстве киберпреступлений, согласно отчету FBI за 2026 год.
Объем атак через электронную почту и сообщения ошеломляет. В первом квартале 2026 года Microsoft Threat Intelligence обнаружила около 8,3 миллиарда фишинговых угроз через электронную почту.
Фишинг через сообщения (называемый ‘смешингом’) стал основным способом атаки, составляя 30 процентов всех наблюдаемых кибермошенничеств в прошлом году, согласно отчету Cyber Readiness Report.
Фишинговые атаки перестали ограничиваться электронной почтой и сообщениями. Преступники используют мессенджеры, социальные сети, вредоносную рекламу, поддельные QR-коды и копии сайтов для целей атаки.
‘Тактики, которые раньше работали в 2010-х годах, сегодня не те же’, — сказал Марк Бейр, генеральный менеджер по делам потребителей в Malwarebytes, компании по цифровой безопасности. ‘Они намного, намного, намного более продвинутые’.
Фишинг стал настолько прибыльным, что Бейр сообщил Checkbook, что злоумышленники ‘выделяют деньги, чтобы обмануть людей, как маркетинговые компании делают при привлечении клиентов’.
Слово ‘фишинг’ официально было введено около 1995 года для описания преступников, использующих цифровой ‘предмет’ для ‘привлечения’ жертв к раскрытию конфиденциальной информации.
Мы прошли долгий путь с тех пор, как были ‘письма из Нигерии’, которые обещали богатство, если помочь перевести миллионы долларов из Африки. Эти письма обычно содержали опечатки и грамматические ошибки.
Большинство фишинговых атак все еще зависят от социальной инженерии — использования страха, срочности, любопытства и эмоциональных призывов для манипуляции людьми и компрометации их безопасности. Они включают поддельные тексты и письма, утверждающие, что есть проблема с доставкой, предупреждение о том, что вы должны оплатить парковку или что есть проблема с вашей налоговой декларацией. Они разработаны для того, чтобы заставить вас ответить мгновенно, не думая.
Самые последние атаки превратились в очень сложные кампании, трудно обнаруживаемые. Вот два примера новых угроз: поддельные приглашения и испорченные формы CAPTCHA.
Мошенники знают, что большинство людей откроют электронное приглашение на вечеринку или другое социальное мероприятие. Поэтому они отправляют вредоносные приглашения, выглядящие как от известной онлайн-платформы приглашений, например, Evite, Paperless Post или Punchbowl.
‘Хотя страх и срочность — распространенные темы во многих мошеннических схемах, это не обязательное требование’, — сказала Эва Веласкес, CEO некоммерческого центра по борьбе с кражей идентичности. — ‘С фишингом по Evite злоумышленники используют ваше желание соединиться и быть социальным, чтобы заставить вас нажать на ссылку, которую вы не ожидаете’.
Если вы нажмете на ссылку, произойдут неприятные вещи: либо на устройство будет загружена вредоносная программа, позволяющая преступникам украсть вашу личную информацию, либо вы будете перенаправлены на сайт мошенника, который попросит ввести ваш электронный адрес и пароль, что даст мошенникам прямой доступ к вашему электронному ящику, что может иметь серьезные последствия.
Вы, возможно, не считаете свой электронный ящик чувствительным, но ‘это ключи к королевству’, предупредила Веласкес, потому что если преступники смогут компрометировать ваш электронный ящик, они смогут использовать его для сброса паролей на другие аккаунты. Поэтому никогда не вводите свой пароль от электронной почты по любой причине, кроме входа в свой электронный ящик.
Проверьте отправителя электронного письма.
Приглажение всегда будет приходить от официального корпоративного URL. Если адрес электронной почты — личный, например, от Gmail, Yahoo или Hotmail, то это поддельный.
Многие сайты требуют, чтобы вы доказали, что вы человек, а не робот, прежде чем войти. Одним из распространенных методов является проверка CAPTCHA.
Обычно вы видите сетку изображений и просите выбрать объекты (например, светофоры, машины или велосипеды), или вам будет предложено ввести серию искаженных букв или чисел, отображаемых на экране.
Поскольку мы часто сталкиваемся с проверками CAPTCHA, мы можем автоматически реагировать на них, чтобы доказать, что мы не роботы, и перейти к следующему экрану. Как предупреждает Malwarebytes, ужасная хитрость этой атаки в том, что она смешивает что-то привычное с инструкциями, которые не таковы.
Существует много вариаций мошеннической схемы CAPTCHA, но наиболее распространенная начинается с вредоносной команды, которая автоматически копируется в вашу буферную область, а также инструкциями запустить ее в окне диалога Windows Run (Win + R). Изображение ниже от Malwarebytes показывает настоящую CAPTCHA слева и поддельную ниже.
поделиться в твиттере: Фишинг-атаки в США 14 случаев в день ИИ усложняет защиту
