Фишинг-2026: когда доверие становится уязвимостью, а защита уходит в код

Фишинг перестал быть письмом с ошибками и подозрительной ссылкой. В 2026 году это масштабируемая индустрия, где генеративный ИИ помогает создавать убедительные сообщения, новые каналы коммуникации становятся площадкой для атак, QR-коды уводят пользователя за пределы корпоративной защиты, а скомпрометированный аккаунт коллеги превращается в инструмент доверенного обмана.

О том, как меняется фишинг и почему защита от него должна быть встроена в архитектуру цифровых сервисов, рассказывает Юрий Тюрин, технический директор MD Audit, SL Soft FabricaONE.AI, акционер — ГК Softline.

Фишинг долго воспринимался как проблема пользовательской невнимательности: человек не заметил странный адрес отправителя, открыл вложение, перешел по ссылке, ввел пароль на поддельной странице. Эта модель до сих пор работает, но уже не описывает весь масштаб угрозы. Современный фишинг стал гораздо сложнее: он использует доверие к платформам, привычные сценарии коммуникации, психологическое давление, автоматизацию и возможности искусственного интеллекта. В начале 2026 года специалисты по информационной безопасности фиксируют рост фишинговых атак сразу по нескольким направлениям. Злоумышленники активнее используют мессенджеры, корпоративные чаты, новые цифровые сервисы, уведомления от якобы официальных платформ, поддельные формы авторизации, QR-коды и сценарии, имитирующие реальные бизнес-процессы. Атака все реже выглядит как очевидный обман. Чаще она становится частью привычного пользовательского маршрута: подтвердить вход, принять документ, оплатить услугу, обновить доступ, пройти проверку, проголосовать, подключиться к встрече или открыть файл от коллеги.

Новые каналы: там, где еще нет иммунитета

Мошенники быстро адаптируются к появлению новых коммуникационных платформ. Как только сервис начинает активно набирать аудиторию, он становится удобным полигоном для тестирования схем. Пользователи еще не успели привыкнуть к типовым уведомлениям, не знают, как именно должны выглядеть служебные сообщения, где находится официальный центр безопасности, какие действия считаются штатными, а какие должны вызывать подозрение. Этим и пользуются атакующие. Им не всегда нужно искать сложную техническую уязвимость в платформе. Достаточно попасть туда, где поведенческие привычки аудитории еще не сформированы. В новых мессенджерах, приложениях, сервисах доставки, образовательных платформах, платежных инструментах или корпоративных порталах пользователь часто действует быстрее, чем успевает критически оценить сообщение.

Особенно опасны ситуации, когда фишинг маскируется под нормальный процесс адаптации к сервису: «подтвердите аккаунт», «обновите настройки безопасности», «пройдите повторную авторизацию», «подключите новый способ входа», «подтвердите номер телефона», «примите новые условия использования». Для человека это выглядит не как атака, а как обычная настройка цифровой среды. Фишинг уходит туда, где пользователь привык доверять не адресу отправителя, а самому каналу. Однако взлом существующих аккаунтов не перестает быть популярным видом мошенничества, ведь в мессенджере сообщение от знакомого, коллеги или участника общего чата воспринимается иначе, чем письмо от неизвестного адресата. Если аккаунт уже скомпрометирован, атака получает дополнительный слой доверия: вредоносная ссылка приходит не от абстрактного злоумышленника, а от реального контакта.

Фишинг усиливается в периоды неопределенности. Любые изменения в работе сервисов, тарифах, правилах доступа, способах оплаты, законодательных требованиях или корпоративных процессах создают благоприятный фон для злоумышленников. Чем плотнее информационный поток, тем легче встроить в него поддельное уведомление.

Психологическая механика здесь проста: пользователь получает сообщение, помеченное как срочное или обязательное к исполнению, и пытается быстро снять напряжение. Он переходит по ссылке, вводит данные, подтверждает действие или скачивает файл не потому, что не знает базовых правил безопасности, а потому что хочет быстрее закрыть задачу. Атакующие управляют вниманием через ситуативный стресс. В корпоративной среде этот эффект усиливается. Сотрудник боится пропустить важный документ, сорвать согласование, не подтвердить доступ к системе, не выполнить просьбу руководителя, задержать платеж или не подключиться к срочной встрече. Поэтому современные фишинговые кампании все чаще строятся не вокруг абстрактного «вы выиграли приз», а вокруг рабочих сценариев: договор, счет, кадровый документ, заявка, ссылка на видеоконференцию, уведомление от службы безопасности или просьба обновить пароль.

ИИ снизил стоимость фишинга

Еще одна причина роста атак — снижение стоимости их подготовки. Генеративный ИИ и инструменты автоматизации позволяют злоумышленникам быстро создавать убедительные тексты, адаптировать сообщения под разные аудитории, менять тональность, имитировать официальный стиль переписки и запускать десятки вариантов одной кампании. Раньше качественная фишинговая рассылка требовала времени: нужно было подготовить текст, убрать явные ошибки, подобрать оформление, протестировать шаблоны. Сегодня многие из этих операций автоматизируются. Алгоритмы помогают формировать правдоподобные письма, подстраивать лексику под отрасль, создавать локализованные версии сообщений, генерировать тексты для разных должностей и даже имитировать стиль деловой коммуникации.

Это меняет экономику атаки. Фишинг становится дешевле, быстрее и вариативнее. Злоумышленники могут одновременно запускать несколько сценариев, отслеживать, какие сообщения лучше срабатывают, отключать неэффективные шаблоны и масштабировать удачные. Скорость адаптации атакующих начинает превышать возможности традиционных ручных проверок. Современная фишинговая атака все реже ограничивается одним письмом. Чаще это цепочка из нескольких касаний. Сначала пользователь получает сообщение в корпоративной почте или мессенджере. Затем переходит по ссылке или сканирует QR-код. После этого попадает на страницу, визуально похожую на официальный сервис. Далее его просят ввести логин, пароль, код подтверждения или разрешить доступ к учетной записи. Иногда атака дополняется звонком от «службы поддержки», сообщением от «администратора», приглашением в календаре или уведомлением в корпоративном чате. Задача злоумышленника — создать ощущение нормального процесса. Пользователь должен думать, что он не совершает опасное действие, а просто завершает привычную операцию.

Отдельный тренд — QR-фишинг. QR-код удобно маскировать под служебное уведомление, билет, платежную форму, инструкцию, документ или страницу для подтверждения доступа. При этом пользователь часто сканирует его личным смартфоном, уже вне корпоративного периметра защиты. В результате часть почтовых фильтров и средств контроля оказывается обойдена: атака начинается в корпоративной почте, а продолжается на личном устройстве.

Еще один важный сценарий — фишинг, нацеленный на обход многофакторной аутентификации. Двухфакторная защита остается необходимой, но она уже не является универсальной гарантией. Современные фишинговые инструменты могут подталкивать пользователя к передаче одноразового кода, подтверждению входа или авторизации через поддельный интерфейс. В более сложных случаях атакующие пытаются перехватывать сессии и обходить защиту не через пароль, а через уже подтвержденный доступ. Поэтому для критичных сервисов бизнесу стоит рассматривать более устойчивые методы аутентификации: passkeys, FIDO2/WebAuthn, аппаратные ключи, риск-ориентированную проверку входа, контроль сессий и мониторинг поведения после авторизации. Просто «включить 2FA» уже недостаточно — важно понимать, какие сценарии атак эта защита покрывает, а какие нет.

Почему обучение пользователей больше не решает проблему полностью

Обучение сотрудников остается важным элементом защиты, но оно не может быть единственным барьером. Современный фишинг слишком быстро меняется, слишком хорошо имитирует легитимные процессы и слишком активно использует рабочий контекст. Пользователь не должен оставаться единственным фильтром на пути угрозы. Даже внимательный сотрудник может ошибиться, если сообщение пришло в момент высокой нагрузки, выглядит как часть реального процесса и содержит знакомые названия, имена или элементы интерфейса. Поэтому защита должна быть распределена между человеком, корпоративной инфраструктурой и самой цифровой платформой. Это особенно важно для массовых сервисов. Если платформа перекладывает всю ответственность на пользователя, она фактически признает, что безопасность находится вне ее архитектуры. Но в условиях массового фишинга такой подход перестает работать. Нужны механизмы, которые снижают вероятность ошибки еще до того, как пользователь принимает решение.

В ответ на трансформацию угроз цифровые платформы вынуждены пересматривать архитектуру безопасности. Их ключевая задача — снижать вероятность успешной атаки за счет системных мер, которые работают без постоянного участия человека. Речь идет об автоматическом распознавании подозрительных ссылок, ограничении массовых рассылок, проверке репутации доменов, маркировке рискованных сообщений, контекстных предупреждениях при переходе на внешние ресурсы, анализе поведения пользователей, выявлении аномальных сессий и блокировке подозрительных действий. Если вход происходит из необычного региона, с нового устройства, после серии неудачных попыток или сопровождается резким изменением поведения, система должна не просто фиксировать событие, а запускать дополнительную проверку. Если пользователь пытается перейти по ссылке, ведущей на недавно созданный или подозрительный домен, интерфейс должен явно предупреждать о риске. Если аккаунт начинает массово рассылать однотипные сообщения, платформа должна ограничивать активность до выяснения обстоятельств.

Не менее важны встроенные обучающие элементы: подсказки при переходе на внешние ссылки, понятные предупреждения, быстрые механизмы отправки жалоб, уведомления о подозрительных действиях и простая процедура восстановления доступа. Хороший интерфейс безопасности не должен быть сложным. Его задача — помочь человеку остановиться в момент риска, а не заставить его изучать длинные инструкции после инцидента.

Что должен делать бизнес

Для компаний защита от фишинга должна быть не набором разрозненных мер, а частью общей системы управления цифровыми рисками. В первую очередь необходимо защищать корпоративную почту и доменную репутацию: настраивать SPF, DKIM и DMARC, использовать антифишинговые шлюзы, проверку вложений, песочницы и фильтрацию ссылок.

Второй уровень — защита учетных записей. Для сотрудников, особенно для администраторов, руководителей, финансовых подразделений, HR и сотрудников с доступом к критичным системам, необходимо использовать многофакторную аутентификацию, а для наиболее важных сценариев — устойчивые к фишингу методы входа. Права доступа должны регулярно пересматриваться, а привилегированные учетные записи — контролироваться особенно строго.

Третий уровень — мониторинг и реагирование. Компании нужны инструменты, которые позволяют быстро выявлять подозрительные входы, аномальную активность, массовые рассылки с внутренних аккаунтов, нетипичное скачивание данных, изменение правил пересылки почты и другие признаки компрометации. Важно не только обнаружить инцидент, но и заранее понимать, кто и как действует: кто блокирует учетную запись, кто проверяет устройство, кто уведомляет пользователя, кто анализирует масштаб возможной утечки.

Четвертый уровень — регулярная проверка готовности. Фишинг-симуляции, тренировки сотрудников, тестирование процедур реагирования и анализ реальных инцидентов помогают понять, где защита работает, а где остается формальной. При этом цель таких проверок — не наказать сотрудника за ошибку, а увидеть слабые места в процессах, интерфейсах и коммуникациях.

Отдельное внимание стоит уделять подрядчикам и партнерам. Фишинговая атака на внешнюю организацию может стать точкой входа в инфраструктуру заказчика. Поэтому доступы подрядчиков должны быть ограничены, контролируемы и регулярно пересматриваемы. Компрометация одного почтового ящика у партнера может запустить цепочку доверенных сообщений уже внутри корпоративного периметра.

Что важно помнить пользователю

Несмотря на развитие технических средств защиты, базовые правила цифровой гигиены остаются актуальными. Не стоит переходить по ссылкам из неожиданных сообщений, даже если они выглядят убедительно. Важно проверять отправителя, домен, адрес страницы и контекст запроса. Логины, пароли, коды подтверждения и платежные данные нужно вводить только в официальных приложениях и на проверенных сайтах. Визуальное сходство страницы с оригиналом не гарантирует безопасность. Поддельные формы авторизации сегодня могут выглядеть почти неотличимо от настоящих. Особенно осторожно стоит относиться к сообщениям с признаками срочности: «доступ будет заблокирован», «подтвердите немедленно», «осталось несколько минут», «требуется срочное действие». Срочность — один из главных инструментов давления. Также важно не использовать одинаковые пароли на разных ресурсах. Утечка одного пароля не должна открывать доступ ко всем аккаунтам. Для хранения уникальных паролей лучше использовать менеджеры паролей, а для критичных сервисов — многофакторную аутентификацию и более надежные методы подтверждения входа.

Эти меры не дают абсолютной защиты, но повышают стоимость атаки для злоумышленника. Если учетная запись требует дополнительного подтверждения, пароль уникален, подозрительный вход отслеживается, а пользователь понимает базовые признаки манипуляции, массовая автоматизированная атака становится менее рентабельной.

Фишинг как проверка зрелости цифровой среды

Фишинг в 2026 году перестал быть исключительно проблемой невнимательности. Это структурный вызов, который затрагивает архитектуру коммуникационных платформ, корпоративные процессы, пользовательские привычки и культуру проектирования цифровых сервисов. Атакующие используют доверие как инфраструктурный ресурс. Они встраиваются в привычные каналы, копируют интерфейсы, имитируют деловые процессы, эксплуатируют срочность и неопределенность. Поэтому защита должна быть такой же системной: от безопасной архитектуры продукта и антиабьюз-механик до мониторинга корпоративных учетных записей и регулярного обучения сотрудников.

Выигрывают не те платформы и компании, которые просто лучше объясняют пользователю, куда не нажимать. Выигрывают те, кто проектирует цифровую среду так, чтобы опасное действие было сложнее совершить, легче заметить и быстрее остановить. Фишинг стал индустриальным, масштабируемым и технологичным. Значит, и защита от него должна быть не внешней надстройкой, а частью кода, интерфейса, процессов и культуры безопасности. Именно там сегодня проходит граница между формальной цифровой гигиеной и реальной устойчивостью бизнеса.