СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
25.12.2025
#ИБ

Праздничный фишинг: DocuSign и кредитный спам угрожают данным

В праздничный период злоумышленники традиционно усиливают активность, рассчитывая на повышенное давление на почтовые ящики и финансовые переживания пользователей. Недавнее исследование компании X-Labs выявило две ключевые тенденции: целевые фишинг-кампании под видом DocuSign, направленные на кражу корпоративных учетных данных, и массовые спам-рассылки с предложениями «праздничных» кредитов, целью которых является сбор личной и банковской информации.

По данным X-Labs, злоумышленники комбинируют приёмы социальной инженерии и технические уловки, чтобы заставить жертв действовать под давлением срочности и тем самым раскрыть конфиденциальные данные.

Фишинг под видом DocuSign: как это работает

Кампания, имитирующая уведомления от DocuSign, рассчитана на ввод в заблуждение сотрудников организаций и получение их бизнес-логинов от электронной почты. Полученные учетные данные затем используются для компрометации деловой переписки (BEC — Business Email Compromise) и других мошеннических операций.

Основные признаки таких фишинг-сообщений:

  • письма отправлены с доменов, несовместимых с официальной инфраструктурой DocuSign — часто используются поддельные или нестандартные домены верхнего уровня;
  • IP-адреса отправителей не связаны с признанной инфраструктурой DocuSign;
  • вредоносные ссылки маскируются под «удобные» ссылки для просмотра документов, но перенаправляют на скомпрометированные сайты;
  • в тексте подчеркивается срочность, чтобы заставить пользователя действовать быстро и не проверять законность запроса.

Праздничный кредитный спам: обещания низких ставок и быстрых займов

Одновременно с фишингом растёт поток писем со «выгодными» предложениями кредитов, которые эксплуатируют беспокойство и потребность в дополнительном финансировании в праздники. Такие сообщения чаще всего имеют следующие характеристики:

  • обещания очень низких процентных ставок и «быстрой» финансовой помощи;
  • вводящие в заблуждение адреса отправителей — домен для ответа не соответствует фактическому отправителю;
  • подозрительные ссылки ведут на страницы для ввода личных и банковских данных;
  • формы на поддельных сайтах имитируют легитимные анкеты кредиторов, после чего жертвы подвергаются вторичным перенаправлениям и дополнительному сбору информации.

Важно помнить: законные кредиторы, как правило, не присылают незапрошенные предложения о кредите по электронной почте. Чрезмерно привлекательные условия и натиск срочности — частые признаки мошенничества.

«Красные флажки», на которые стоит обращать внимание

  • Несоответствие адреса отправителя содержанию письма. Домен для ответа не совпадает с брендом в теме письма.
  • Необычное форматирование и неожиданные перенаправления. Письмо содержит общие фразы, ошибки форматирования, ссылки на сторонние ресурсы.
  • Требование срочно предоставить учетные данные или оплатить что-либо.
  • Страницы с формами, имитирующими легальные сервисы. Домен похож на настоящий, но имеет мелкие искажения.

Рекомендации для пользователей и организаций

  • не переходите по ссылкам в сомнительных письмах; при необходимости откройте сервис напрямую через официальный сайт;
  • проверяйте домен отправителя и IP-адрес при подозрениях — не доверяйте только визуальному сходству;
  • используйте многофакторную аутентификацию (MFA) для корпоративной почты и критичных сервисов;
  • при получении незапрошенного предложения о кредите — звоните в организацию по официальному телефону, указанному на сайте, а не по контактам из письма;
  • обучайте сотрудников признакам фишинга и проводите регулярные тесты безопасности;
  • если вы заподозрили компрометацию — немедленно сообщите в IT-службу или службу безопасности и поменяйте пароли.

Вывод

Праздничный сезон создаёт благоприятную почву для мошенников: повышенная нагрузка на почтовые ящики и финансовый стресс повышают вероятность ошибочных действий пользователей. Своевременная бдительность, проверка подлинности сообщений и соблюдение базовых правил цифровой гигиены снижают риски компрометации и финансовых потерь. Исследование X-Labs подтверждает: ключ к защите — сочетание технических мер (MFA, мониторинг доменов, SPF/DKIM/DMARC) и грамотного поведения пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: