Как изменился спам в 2026 году: от массовых рассылок к точечным атакам
Изображение: recraft
В 2025 году объем вредоносной почты снизился: по данным «Яндекс 360», на этапе обработки было заблокировано 14,6 миллиардов подозрительных писем, что почти вдвое меньше, чем годом ранее. Однако на смену количеству приходит разнообразие: злоумышленники все чаще используют новые сценарии атак, позволяющие обходить стандартные фильтры.
В этих условиях почтовые сервисы и облачные платформы развивают антиспам-системы, внедряют многоуровневую проверку и активно используют ИИ для анализа угроз. О том, как эволюционирует защита электронной почты и какие подходы ключевые, рассказал Игорь Вербицкий, директор по информационной безопасности Яндекс 360.
Почему фильтры перестали работать
Долгое время защита почты строилась на шаблонах и статичных правилах: система проверяла, откуда пришло письмо, совпадает ли домен отправителя с заявленным, не находится ли сервер в черных списках, и анализировала заголовки и текст на наличие типовых признаков спама. Например, массовые рассылки часто содержали одинаковые формулировки, ссылки или структуру письма, и такие паттерны можно было заранее описать и блокировать.
Подход хорошо работал, пока спам был однотипным. Но сегодня атаки стали гораздо более вариативными. Вместо массовых писем злоумышленники используют таргетированный фишинг: сообщения собирают под конкретного получателя, копируют деловую переписку, и со стороны они выглядят, как обычный рабочий диалог. По данным Positive Technologies, в 2025 году около 80% фишинговых сообщений приходило именно с целевых атак, а в 70% случаев именно через этот канал доставлялось вредоносное программное обеспечение.
Еще одна проблема в том, что такие антиспам-системы всегда опираются на уже известные сценарии. Чтобы заблокировать новый тип спама, его сначала нужно обнаружить и описать. За это время злоумышленники успевают изменить домены, структуру письма или способ доставки. В результате защита, основанная на фиксированных признаках, регулярно отстает от текущих атак и требует постоянного обновления правил.
Новая архитектура защиты почты
Сегодня компании выводят антиспам-технологии на новый уровень. Чтобы противостоять усложняющимся атакам, от разрозненных фильтров переходят к многоуровневым системам, которые объединяют данные, модели и поведенческий анализ.
Одна из ключевых технологий — повторная проверка или ReCheck. В этой модели письмо не получает окончательного статуса в момент доставки: система продолжает анализировать его и после попадания во входящие. При появлении новых сигналов — например, признаков массовых жалоб на похожие сообщения — письмо может быть пересмотрено и перемещено в спам.
Другая важная технология — модели машинного обучения. Они регулярно обновляются и учитывают новые типы писем, сценарии атак и способы обхода фильтров. По данным RTM Group, защитные решения на базе ИИ успешно справляются с выявлением фишинговых URL в 98,2% случаев, что значительно превосходит традиционные методы фильтрации, точность которых не превышает 85%.
В совокупности эти подходы формируют основу современной антиспам-защиты. При этом за каждым из них стоит набор отдельных методов и инструментов, заточенных под конкретные задачи.
ReCheck: как антиспам учитывает поведение и статистику
Повторная проверка писем становится возможной за счет дополнительных сигналов, которые система получает уже после доставки.
Первый уровень — поведенческий. Система фиксирует конкретные действия пользователя: открытия писем, ответы, удаление без чтения, жалобы на спам, восстановление писем из спама, создание фильтров. Сигналы накапливаются и формируют полное представление, как пользователь взаимодействует с этим отправителем.
В крупных почтовых сервисах ежедневно обрабатываются сотни миллионов писем, и поэтому даже небольшая доля пользовательских реакций становится статистически значимой. Например, когда письма определенного типа массово игнорируются или помечаются как спам, система снижает их приоритет, даже если формально они выглядят как обычная переписка.
Второй уровень — статистический и инфраструктурный. Здесь анализируются параметры отправки. Один из базовых сигналов — массовость: обычный пользователь не отправляет тысячи писем в день, и такие отклонения сразу выделяются. Учитывается и география: если один и тот же отправитель появляется одновременно в разных странах, это признак использования распределенной инфраструктуры.
Для фиксации таких повторяющихся сценариев применяют технические механизмы вроде шинглов — различные элементы письма (тема, адрес отправителя, IP, ссылки, вложения). Для каждого рассчитывается хеш-сумма — короткая цифровая последовательность, которая однозначно соответствует содержимому письма и выступает в роли отпечатка. Небольшие изменения в тексте, ссылке или структуре приводят к преобразованию такого отпечатка, но при этом схожие элементы остаются одинаковыми, и их можно сопоставить по набору признаков.
Система сравнивает эти отпечатки между письмами, быстро находит совпадения и отслеживает распространение похожих сообщений — даже в тех случаях, когда злоумышленники слегка меняют текст или оформление.
ИИ распознает сложные сценарии
Непрерывная проверка и дообучение задают общую логику современной антиспам-защиты, но ее эффективность во многом определяется качеством самого анализа письма. На этом уровне ИИ работает уже с конкретными типами данных — текстом, изображениями и вложениями — и помогает выявлять сложные сценарии, в которых угроза скрыта не в одном признаке, а в их сочетании.
Текст: анализ контекста
В основе анализа текстовой части письма лежат модели DSSM (Deep Structured Semantic Mode) и BERT (Bidirectional Encoder Representations from Transformers). DSSM оценивает смысловую близость текстов и сравнивает письма между собой. Например, система видит, что сообщения «подтвердите аккаунт по ссылке» и «ваш профиль требует верификации, перейдите по ссылке» выражают одну и ту же просьбу — перейти по ссылке — и относит их к одному сценарию, даже при разных формулировках.
BERT, в свою очередь, анализирует контекст внутри предложения и помогает точнее интерпретировать содержание конкретного сообщения — например, выделять подозрительные конструкции вроде «срочно откройте вложение и подпишите», даже если письмо оформлено как обычная рабочая переписка.
Изображения: распознавание скрытого смысла
Чтобы обходить текстовые фильтры, злоумышленники переносят ключевую информацию в изображения — например, вставляют текст письма в картинку или имитируют интерфейс банка. В таких случаях используется OCR (Optical Character Recognition — оптическое распознавание символов): технология извлекает текст из изображения и передает его в те же модели, которые анализируют обычные письма. К распознанному тексту применяются правила и статистические проверки, что позволяет выявлять подозрительные формулировки и повторяющиеся сценарии.
Параллельно работают модели компьютерного зрения (Computer Vision), которые анализируют само изображение — логотипы, интерфейсы — и сравнивают их с эталонными визуальными образами брендов. Например, если письмо содержит картинку, имитирующую страницу входа в банк, система сопоставляет логотип и элементы интерфейса с оригиналом. Несоответствия или совпадения с известными фишинговыми шаблонами сигнализируют, что нужно пометить такое письмо как подозрительное.
Вложения: проверка на уровне кода и поведения
Отдельный слой анализа связан с вложениями — через них часто распространяется вредоносный код. Здесь используются модели машинного обучения, которые оценивают файл как совокупность признаков: его структуру, метаданные и поведение при открытии.
Например, документ может выглядеть как счет или договор, но содержать аномальные элементы или пытаться выполнить подозрительные действия — запускать скрипты, обращаться к внешним ресурсам или изменять систему. Модель фиксирует такие отклонения и помечает файл как рискованный, даже если ранее подобных угроз не встречалось.
Антиспам как совместная ответственность
По оценкам участников рынка, в ближайшие годы сценарии почтовых атак будут усложняться: 96% компаний ожидают сохранения или усиления проблем с email-безопасностью в 2026-м, а 87% участников глобального опроса назвали ИИ-уязвимости самым быстрорастущим киберриском. Среди следующих этапов выделяют GenAI-фишинг — персонализированные письма, сгенерированные нейросетями и имитирующие реальную переписку, — и agentic AI-сценарии, в которых атаки автоматически адаптируются под реакцию пользователя и меняют поведение в ходе кампании.
Несмотря на развитие систем безопасности, роль пользователя не снижается: даже при совершенствовании технологий значительная часть атак по-прежнему опирается на человеческий фактор. При этом именно корпоративная почта чаще всего становится точкой входа для атак и источником потенциальных потерь, поэтому компаниям важно выстроить базовые правила работы с ней: регулярно обучать сотрудников, объяснять, как распознавать и отмечать подозрительные письма, и не допускать базовых ошибок — переходов по сомнительным ссылкам и открытия вложений из непроверенных источников.
