Cyberproof: наблюдается резкий рост фишинговых атак, направленный на VIP-пользователей
Изображение: recraft
В 2026 году резко выросло число фишинговых атак с необычной механикой, когда письма приходят без темы и маскируются под нейтральные сообщения. Приём позволяет злоумышленникам проскакивать защитные системы и добираться до самых ценных пользователей внутри компаний, прежде всего до руководителей и сотрудников с расширенными правами доступа.
Расследование компании Cyberproof показывает, что идёт масштабная кампания с применением техники «нулевого поля темы». Суть приёма в том, что письма уходят с пустым или размытым полем темы, из-за чего они не попадают под стандартные фильтры и вызывают у получателя дополнительное любопытство. Подобная механика одновременно бьёт по слабым местам технической защиты и по особенностям поведения пользователей.
Атаки нацелены прежде всего на управленцев и сотрудников с расширенными правами доступа. Заполучив их учётные данные, злоумышленники могут закрепиться в корпоративной среде и двигаться дальше по внутренним системам.
Один из факторов роста подобных атак завязан на особенностях работы почтовых фильтров. Многие решения оценивают письма по набору признаков, среди которых тема занимает весомое место. Когда этот элемент отсутствует, точность обнаружения падает, а модели машинного обучения получают меньше данных для анализа. По этой причине письма без темы становятся менее заметными на этапе фильтрации.
Содержимое сообщений при этом может выглядеть безобидно, а внутри прячутся вредоносные элементы. Идут в ход ссылки, вложения и QR-коды, которые перенаправляют пользователя на поддельные страницы входа или запускают загрузку вредоносного программного обеспечения. В ряде ситуаций взаимодействие переносится на мобильные устройства, где контроль со стороны корпоративных систем ощутимо слабее.
Для повышения устойчивости кампании злоумышленники постоянно меняют домены и структуру атак. Применяются сокращённые ссылки, которые прячут конечный адрес, что усложняет анализ и обход фильтров. Приём помогает сохранять эффективность даже при частичной блокировке инфраструктуры.
В ход пущено и легитимное программное обеспечение для удалённого управления. Специалисты Cyberproof выявили применение инструментов Datto RMM, замаскированных под обычные файлы. С их помощью злоумышленники закрепляются в системе, выполняют команды и получают доступ к конфиденциальной информации, маскируясь под стандартные ИТ-операции.
В кампании задействована и платформа FlowerStorm, работающая по модели «фишинг как услуга». Она автоматизирует рассылку и позволяет выстраивать многоэтапные цепочки атак, быстро подстраивая сценарии под конкретные цели. Подобная автоматизация заметно увеличивает масштаб операций и скорость их развёртывания.
