Эксперты Softline предупреждают: даркнет автоматизировал почтовые атаки

Аналитики Softline проанализировали угрозы в даркнете и выяснили, что теневой сегмент интернета перешёл от кустарных схем к модели подписочных услуг, где каждый этап атаки упакован в готовый коммерческий продукт. Порог входа снизился до стоимости месячной подписки, а искусственный интеллект взял на себя аналитику и генерацию контента.

Как изменилась инфраструктура почтового мошенничества и что это означает для корпоративной безопасности, в деталях разбирают проджект-менеджер Кирилл Лёвкин, ГК Softline (MD Audit, SL Soft FabricaONE.Al).

Даркнет стал маркетплейсом

Еще пять лет назад организация фишинговой атаки требовала технических компетенций: нужно было самостоятельно писать письма, настраивать серверы, обходить спам-фильтры. Сегодня всё это продаётся как готовый сервис.

В 2026 году даркнет работает по принципу маркетплейса. Помимо фишинговых платформ, там доступны наборы для спам-рассылок, панели управления ботнетами, готовые пакеты вредоносного ПО, сервисы аренды прокси и инфраструктуры, а также доступы к уже скомпрометированным корпоративным аккаунтам и сетям. Коммерческая логика сегмента проста: злоумышленник платит за результат, поставщик гарантирует работоспособность инструмента.

Особенно заметен рост комплексных платформ. В одном интерфейсе теперь объединены генерация писем, управление доменами, настройка обхода антиспама и детальная аналитика эффективности атак. Появились модули проверки реальной доставляемости писем и эмуляции поведения живых пользователей — чтобы письма выглядели как обычная деловая переписка не только для людей, но и для алгоритмов.

Ценообразование зависит от функциональности. Базовые наборы стоят десятки долларов в месяц. Полноценные платформы с аналитикой, масштабированием и поддержкой — сотни и тысячи. Это вполне сопоставимо с легальными SaaS-инструментами для email-маркетинга — только продают их на площадках, где не спрашивают имя.

Искусственный интеллект опустил порог входа

Главное изменение последних двух лет — нейросети устранили человеческий фактор как ограничение.

Раньше фишинговое письмо выдавали речевые ошибки, неловкие конструкции, калькированные с иностранного языка фразы. Мошеннику нужно было либо хорошо владеть языком жертвы, либо мириться с низким качеством контента. Теперь модели самостоятельно генерируют убедительные тексты, адаптируют стиль под конкретную аудиторию и точно воспроизводят фирменный тон реальных организаций. Письмо от «службы безопасности банка» или «HR-отдела компании» стало практически неотличимо от подлинного.

Искусственный интеллект взял на себя и операционную часть: алгоритмы сегментируют базы получателей, вычисляют оптимальное время отправки, проводят A/B-тестирование формулировок для повышения конверсии. На более продвинутом уровне системы создают дипфейки — поддельные аудио- и видеоматериалы, — ведут автоматизированную переписку с жертвой и корректируют тактику в режиме реального времени.

На практике это выглядит так: сотрудник получает письмо, якобы от финансового директора, с просьбой срочно подтвердить реквизиты для перевода. Стиль точно совпадает с привычной перепиской, письмо пришло в рабочее время, тема актуальная. Отличить его от настоящего без специальной верификации невозможно.Почему это опаснее, чем кажется

Автоматизация устранила ключевое противоречие, которое раньше ограничивало мошенников.

Массовые рассылки всегда были дешевыми, но низкокачественными: десятки тысяч одинаковых писем в расчёте на то, что кто-то из-за невнимательности или низкого уровня киберграмотности всё же кликнет по ссылке. Точечные атаки, напротив, требовали долгой ручной подготовки — сбора данных о жертве, написания индивидуального текста, изучения внутренних процессов компании. Из-за этих ресурсных ограничений два подхода не пересекались.

Сейчас алгоритмы обрабатывают тысячи адресов, одновременно подстраивая содержание под каждого получателя. Оператор получает массовый охват с точностью целевой атаки. Конверсия растет, а отличить такое письмо от легитимного без технической проверки источника практически невозможно.

При этом важно понимать: речь идёт не о неконтролируемом взрывном росте ущерба. Защитные механизмы компаний и провайдеров безопасности развиваются параллельно с инструментами атакующих. Но давление нарастает, а цена ошибки становится выше.

Как меняется подход к защите

Традиционные почтовые фильтры и разовые инструктажи по информационной безопасности уже не справляются. Противостояние сместилось из области технических уязвимостей в область проверки контекста и поведенческих аномалий.

Что это означает на практике? Организациям нужно перестроить три уровня защиты.

Технический уровень. Внедрение протоколов аутентификации почты — DMARC, DKIM, SPF — позволяет проверять подлинность отправителя. Это не панацея, но существенно сужает пространство для спуфинга. Системы обнаружения аномалий в трафике помогают выявлять нетипичное поведение еще до того, как письмо прочитано.

Процессный уровень. Верификация критичных запросов должна стать частью рабочих регламентов. Если кто-то просит срочно перевести деньги, изменить реквизиты или предоставить доступ к системе — проверка через альтернативный канал связи (звонок, мессенджер) должна быть обязательной, а не опциональной. В практике MD Audit мы видим, что именно этот простой шаг предотвращает большинство успешных атак на финансовые операции.

Культурный уровень. Сотрудники должны реагировать не на технические признаки угрозы, а на контекстные аномалии: внезапную срочность, смену привычного канала коммуникации, отклонение от стандартных процедур согласования. Это навык, который формируется не разовым инструктажем, а регулярной практикой — в том числе через контролируемые учебные симуляции фишинговых атак.

Что важно понять бизнесу

Фишинг превратился в индустрию со своей экономикой, специализацией и конкуренцией. Ответ на индустриальный вызов требует системного подхода — разовые меры не работают против конвейерной подготовки атак.

Защита сместилась из технической плоскости в управленческую. Компании, которые встроят верификацию коммуникаций в операционную культуру — на уровне привычки, а не инструкции, — сохранят контроль над рисками. Для остальных фишинг будет становиться всё более регулярной статьёй убытков.