Bridewell: хакеры перестали ломать компьютеры и начали взламывать самих пользователей

Киберпреступники массово переходят от классических вредоносов к атакам, где главным инструментом выступает сам человек. Исследование компании Bridewell показывает, что злоумышленники почти не пытаются пробивать защитные системы напрямую, а заставляют жертв собственноручно открывать доступ к устройствам, аккаунтам и корпоративным данным.

Отчёт Cyber Threat Intelligence Report 2026 опирается на данные мониторинга вредоносной инфраструктуры, расследования инцидентов и телеметрию заказчиков. Главный вывод неприятен для рынка информационной безопасности. Раньше атакующие искали лазейки в программном обеспечении, теперь они используют доверие пользователей как самую доступную точку входа.

В центре внимания исследователей оказались методы ClickFix, FileFix и ConsentFix. Их объединяет общая логика. Вместо заражения устройства через эксплойты человеку предлагают самому выполнить нужные действия. Типичные сценарии манипуляций выглядят так:

• жертве подсовывают готовую команду и просят вставить её в системное окно под видом устранения ошибки;
• показывают фальшивое уведомление безопасности с предложением подтвердить личность;
• убеждают одобрить подозрительный запрос авторизации в корпоративном сервисе;
• имитируют проверку человека через капчу, за которой скрывается запуск вредоносного кода.

Внешне всё выглядит как обычная работа с сервисом, поэтому многие не догадываются, что помогают преступникам своими руками.

Защитные системы оказались плохо готовы к таким операциям. Когда подозрительная активность маскируется под легитимный вход или происходит прямо внутри браузера, стандартные механизмы обнаружения работают заметно хуже. Атакующие фактически научились разворачивать доверенные процессы против владельцев устройств.

Тенденция получила практическое подтверждение. В начале мая Австралийский центр кибербезопасности ACSC опубликовал отдельное предупреждение о кампании ClickFix, через которую распространялся инфостилер Vidar Stealer. Подобные программы собирают пароли, финансовые данные, токены доступа и корпоративные учётные записи.

Отдельное место в отчёте занимают похитители информации. Несколько лет назад они считались вспомогательным инструментом, теперь превратились в фундамент многих преступных операций. Добытые сведения уходят на теневые площадки или становятся топливом для последующих атак, включая программы-вымогатели, финансовые аферы и захват корпоративной инфраструктуры.

Рынок ransomware тоже меняется. По данным Bridewell, преступные группировки уходят от длительных операций по шифрованию инфраструктуры. Намного выгоднее быстро похитить массив данных и сразу приступить к шантажу владельца информации. Схема экономит время, снижает технические риски атакующих и усиливает давление на пострадавшую компанию.

Постепенно стираются границы между обычной киберпреступностью и операциями, которые традиционно связывали с государственными структурами. Инструменты, тактики и инфраструктура двух миров пересекаются всё плотнее. Атаки становятся масштабнее, сложнее и менее предсказуемыми, а сильнее всего достаётся объектам критической инфраструктуры.

Аналитики фиксируют и рост атак через цепочки поставок. Преступников интересует уже не одна конкретная организация, а её поставщик программного обеспечения, облачный сервис или подрядчик. Один успешный взлом открывает двери сразу к десяткам сетей.

Руководитель направления анализа киберугроз Bridewell Гэвин Кнапп говорит, что преступники эксплуатируют слабые места доверенных сервисов и особенности человеческого поведения. Классических средств защиты уже мало. На первый план у бизнеса выходят несколько направлений работы:

• защита цифровой идентичности и контроль за учётными данными сотрудников;
• регулярное обучение персонала распознаванию манипуляций и социальной инженерии;
• постоянный анализ актуальных угроз и мониторинг теневых площадок;
• пересмотр подходов к работе с поставщиками и подрядчиками.