В апреле 2026 года Positive Technologies опубликовала аналитический разбор того, как современные средства защиты почты противостоят эволюции фишинга. Главный вывод аналитиков: технический стек продолжает развиваться, но атака всё чаще замыкается на человеке — на клике, скане QR-кода, вводе OTP или одобрении OAuth-запроса. Для ИБ-ответственного это означает, что у защиты каналов коммуникации два контура — технический и человеческий, — и каждый из них требует собственных инструментов, метрик и бюджета.
Ниже — разбор того, как устроена современная защита от фишинга: что реально умеют средства защиты почты, где проходит их граница и как рядом с ними работает слой security awareness, фишинг-симуляции и программы обучения сотрудников.
Материал основан на аналитике Positive Technologies от 9 апреля 2026 года и публично доступных отчётах APWG, Microsoft и Kaspersky. Все оригинальные цифры приведены со ссылками на первоисточники.
Почему в 2025–2026 фишинг перестал быть «просто письмом»
Фишинг не уходит — он перестраивается. Объём атак остаётся высоким, появляются новые каналы (QR, HTML-вложения, AiTM-прокси), рынок PhaaS растёт как зрелая индустрия, а значит одной точкой защиты атаку больше не закрыть.
Объём: почти миллион атак в квартал
По данным APWG Phishing Activity Trends Report за Q3 2025, в мире зафиксировано около 892 тысяч уникальных фишинговых атак; в Q4 2025 — около 853 тысяч. Параллельно APWG фиксирует резкий рост BEC-атак: +136% к предыдущему кварталу.
Картина PT по социнженерии согласуется с этой динамикой: по её данным, в 2025 году на социальную инженерию приходится около 47% успешных кибератак в мире, а в 80% атак с её применением каналом доставки остаётся электронная почта.
Новые виды фишинг-атак: QR, HTML, AiTM, BEC
Вместе с объёмом меняются и сами виды фишинговых атак:
- QR-фишинг (quishing). В Q3 2025 APWG зафиксировала 716 306 уникальных вредоносных QR-кодов. Приём работает потому, что QR распознаётся человеком на смартфоне — часто вне корпоративного периметра.
- HTML-вложения. Вредоносная логика упаковывается внутрь «безобидного» HTML-файла: антиспам видит только тело письма, а фишинговая форма собирается в браузере получателя после открытия вложения.
- AiTM (adversary-in-the-middle). Атакующий разворачивает прокси между пользователем и легитимным сервисом, перехватывая одновременно и пароль, и одноразовый код, и сессионный токен. Microsoft в марте 2026 года подробно описала работу комплекта Tycoon2FA и, в частности, указала, что при такой атаке доступ к аккаунту может сохраниться даже после смены пароля, если не отозваны активные токены.
PhaaS: фишинг как сервис с медианной ценой 500 $
Отдельный сюжет — экономика атак. По данным PT, медианная стоимость PhaaS-решений (phishing as a service) в 2025 году выросла более чем в три раза — со 125 $ до 500 $. Под PhaaS-платформы уже продаются панели управления, антибот-защита, модули перехвата OTP, готовые шаблоны страниц и даже «техподдержка» — см. также Kaspersky Spam and Phishing Report 2025. Для защищающейся стороны это означает, что проводить целевые атаки способны уже не только технически продвинутые группировки — порог входа в фишинговую индустрию заметно снизился.
Что современные средства защиты почты уже умеют — и где проходит их граница
Современные методы защиты от фишинговых атак на техническом уровне (SEG, sandbox, URL-rewrite, пост-доставочное реагирование, корреляция с IAM) закрывают массовый шум, типовые вредоносные вложения и отражают значительную долю быстрых атак. Но они не закрывают сценарии, в которых действие совершает сам пользователь на своём устройстве вне периметра.
Периметр и SEG: SMTP-фильтры, DMARC/DKIM/SPF, репутация
Базовый уровень защиты почты работает на периметре: SEG (secure email gateway) фильтрует входящий трафик, сверяет SPF/DKIM/DMARC, опирается на репутацию отправителя, блокирует кампании по известным IoC. Это снимает значительную часть массового спама, brute-force рассылок и поддельных доменов. Но подмену легитимного аккаунта (account takeover, ATO) или письмо с доверенного домена партнёра такие фильтры, как правило, уже не ловят: по почтовым атрибутам письмо выглядит безопасным.
Sandbox и URL-rewrite
Следующий слой — динамическая детонация вложений в изолированной среде и проверка ссылок в момент клика (time-of-click). Sandbox умеет ловить вредоносные документы и архивы, URL-rewrite — блокировать переходы на фишинговые страницы, когда те уже попали в фиды. Оба механизма полезны, но тоже имеют границы: короткоживущие домены, многоступенчатые переадресации и AiTM-прокси, которые «чисты» в момент проверки и становятся вредоносными только для конкретного пользователя, проходят чаще, чем хотелось бы.
OCR, QR-распознавание и контент-анализ
Современные решения добавляют OCR-анализ изображений, распознавание QR-кодов, NLP/ML-анализ текста на признаки социнженерии и контент-инспекцию HTML-вложений. Это снижает долю успешных quishing- и HTML-атак, но не снимает ключевого ограничения: QR-код, который сотрудник сфотографирует личным телефоном из дома, физически не проходит через почтовый контур компании.
Пост-доставочное реагирование и корреляция с IAM
Зрелые стеки умеют автоматически «отзывать» уже доставленные письма, если угроза подтвердилась позднее, и коррелировать события почты с сигналами IAM/SIEM — аномальными входами, подозрительными OAuth-разрешениями, сменой MFA-устройств. Это сильный, но специфический слой: он требует интеграций, регламентов реагирования и зрелого ИБ-процесса и часто не доступен малому и среднему бизнесу.
Таблица 1. Что закрывает технический контур защиты почты + зона риска
| Слой технического контура | Что закрывает | Где остаётся зона риска |
|---|---|---|
| SEG, DMARC/DKIM/SPF, репутация | Массовый спам, поддельные домены, простые рассылки | ATO (компрометация доверенного аккаунта), письма с легитимных партнёрских доменов |
| Sandbox вложений | Вредоносные DOC/XLSX/PDF/ZIP в момент доставки | Отложенная активация, офлайн-маркеры, социнженерия без вложений |
| URL-rewrite / time-of-click | Ссылки на известные фишинг-ресурсы | Короткоживущие домены, цепочки редиректов, AiTM-прокси, «чистые» при проверке |
| OCR / QR / контент-анализ | HTML-вложения, QR в теле письма, типовая лексика социнженерии | QR, сканируемый с личного телефона вне периметра |
| Пост-доставочное реагирование + корреляция с IAM | Отзыв писем, подозрительные входы и OAuth-одобрения | Действия пользователя до срабатывания корреляции (клик, ввод OTP, «пересылка коллеге») |
Почему человеку нужен отдельный слой защиты
Там, где технический контур передаёт атаку пользователю (клик, скан QR, ввод OTP, одобрение OAuth, пересылка письма коллеге), никакой шлюз не поможет. Это значит, что нужно не «обучение для галочки», а самостоятельный слой защиты со своими метриками, инструментами и отчётностью.
Что говорят про человеческий фактор сами вендоры
PT в своём разборе прямо указывает: цепочка современных атак «начинается с письма, но развивается через действия пользователя и инфраструктуру компании». Microsoft в разборе Tycoon2FA показывает, как именно перехватываются сессионные токены — и почему сброс пароля без отзыва активных токенов не закрывает инцидент. Это две независимые экспертные позиции о том, что чисто техническими средствами закрыть атаку до конца всё сложнее.
Ментальная ловушка ИБ-отдела: «все плюс-минус обучены»
У многих ИБ-ответственных в МСБ нет выстроенной программы обучения — есть ощущение, что «все базово понимают, что такое фишинг и что кликать по ссылкам в неизвестных сообщениях плохо». Проблема в том, что ощущение — это не управляемая метрика. Оно не позволяет ни показать руководству картину риска, ни выделить группы, с которыми надо работать точечно, ни измерить эффект после обучения. Именно этот разрыв закрывается, когда awareness превращается в процесс с симуляциями, скорингом и регулярной отчётностью.
Как атака физически переносится пользователем
Точки «передачи» атаки от технического стека к пользователю можно перечислить буквально:
- Клик по ссылке в «чистом» на момент проверки письме (в том числе с легитимного партнёрского домена)
- Ввод OTP на AiTM-прокси, который выглядит как стандартная форма входа
- Скан QR-кода на личном смартфоне — вне корпоративного периметра
- Одобрение OAuth-запроса вида «разрешить приложению доступ к почтовому ящику»
- Пересылка письма «коллеге» под видом срочной задачи — типовая механика BEC
Каждый из этих сценариев закрывается только измеримой программой обучения и симуляций.
Оценить уровень фишинг-риска в своей компании при помощи онлайн-калькулятора
Как выглядит контур защиты от социнженерии: security awareness, симуляции, метрики
Это четыре связанных элемента: security awareness (осведомлённость и базовые навыки), фишинг-симуляции (имитационные рассылки и их разбор), микрообучение по событиям и регулярная отчётность. В совокупности они превращают поведение сотрудников в измеримую метрику.
Что такое security awareness-программа
Security awareness — это не разовый тренинг, а непрерывная программа обучения кибербезопасности сотрудников: она формирует навык распознавать социнженерию и правильно реагировать на подозрительные письма и сообщения. В отличие от «базового курса», такая программа строится вокруг реальных сценариев атак и обязательно включает обратную связь — через тесты, симуляции и персональные напоминания. На рынке такие решения собираются в отдельную категорию — security awareness платформа.
Роль фишинг-симуляций
Симуляция фишинговых атак — это способ увидеть поведение сотрудников в условиях, максимально близких к реальной атаке. В современных программах имитационные рассылки запускаются не только по email, но и по смежным каналам — мессенджерам, SMS. С каждой волны собираются метрики: кто получил, кто открыл, кто перешёл по ссылке, кто ввёл данные, кто сообщил в ИБ. Это и есть первая наблюдаемая картина — вместо «ощущений».
Микрообучение по событиям
После симуляции или инцидента корректирующий модуль должен назначаться автоматически и быть коротким, его прохождение должно занимать 3–7 минут. Длинные курсы в таком режиме не работают: они откладываются и не выполняются. Принцип «событие → короткий модуль → короткий тест» удерживает внимание и фиксирует навык там, где он только что провалился.
Связка с IAM-событиями и отчётностью
Сильный awareness-процесс не живёт в изоляции. Он связывается с событиями IAM (подозрительные входы, одобрения OAuth, изменения MFA-устройств) и ложится в отчёт руководителю в понятных ему терминах: уровень риска организации, топ-5 групп риска, динамика после обучения, доля сотрудников с подтверждёнными действиями по симуляциям.
Таблица 2. Метрики security awareness и элементы программы
| Метрика | Что показывает | Каким элементом закрывается |
|---|---|---|
| Доля кликнувших по фишинговой ссылке в симуляции | Базовая восприимчивость к социнженерии | Имитационные рассылки по email и мессенджерам |
| Доля сотрудников, введших данные в поддельную форму | Глубина риска: не просто клик, а компрометация | Имитационные рассылки + скоринг по действию |
| Доля сообщивших в ИБ о подозрительном письме | Зрелость правильного рефлекса | Симуляции + встроенные инструменты «сообщить» |
| Прогресс по курсам и тестам | Управляемость программы обучения | LMS с дедлайнами, тестами и сертификатами |
| Скоринг риска по сотруднику и отделу | Точка приложения управленческих решений | Аналитика и дашборды awareness-платформы |
| Динамика метрик после обучения | Эффективность программы во времени | Повторные волны симуляций + регулярные отчёты |
Стартовать первую фишинг-симуляцию → запросить демо Avareange
Как Avareange помогает снизить риск социнженерии в компаниях
Avareange — это security awareness-платформа: обучение кибербезопасности сотрудников, фишинг-симуляции по нескольким каналам, аналитика и отчёты. Она работает рядом с техническими средствами защиты почты, а не вместо них.
Что Avareange реально делает
- Имитация фишинга по нескольким каналам. Рассылки по корпоративной почте, а также моделирование атак через мессенджеры (в том числе Telegram, Max), SMS. Настраиваются собственный домен и почтовый аккаунт, шаблоны писем и вложений (DOCX, XLSX, PPTX, PDF, ZIP), расписание по часовым поясам, групповые назначения.
- LMS и обучающие материалы. Централизованное хранение и назначение курсов, поддержка SCORM 1.2 и SCORM 2004, дедлайны и пороги прохождения, тесты и сертификаты, назначение по триггерам.
- Аналитика, отчёты и скоринг. Прогресс пользователей, метрики кампаний (отправлено, прочитано, перешли по ссылке, ввели данные), балльный скоринг организации и сотрудника, экспорт в XLSX/CSV/PDF, выгрузка логов в Syslog, регулярная автоматическая отчётность.
- Автоматизация обучения и геймификация. Автоматическое назначение корректирующих микротренингов по событию (например, «кликнул и не прошёл тест → назначить короткий модуль»), ачивки, уведомления по email и in-app.
- Интеллектуальные инструменты (AI). Плагин для почтовых клиентов и браузерное расширение, антискам-бот с оценкой риска письма от 0 до 10 и краткими рекомендациями, интеграция с российскими LLM (включая GigaChat MAX от Сбера), опция локальной обработки данных — для организаций с требованиями к месту хранения.
- Интеграции. LDAP / Active Directory, SSO (SAML 2.0, OpenID Connect), SMTP, SIEM (Syslog), REST API для HRIS/ERP, webhooks по событиям.
- Варианты развёртывания. SaaS в Яндекс.Cloud и on-premise — в зависимости от требований по хранению данных.
Для кого подходит
Для МСБ 50–300 сотрудников, где ещё нет централизованного контура обучения и нужно быстро получить первую управляемую картину поведения.
В более крупных компаниях Avareange встраивается как awareness-слой рядом с уже имеющимися SEG и IAM — без попытки заменить технические средства защиты почты.
Avareange также применяется в госорганизациях, поскольку соответствует регуляторным требованиям (ФЗ-152, ФЗ-149, ФЗ-187, Приказ ФСТЭК №21, ГОСТ Р ИСО/МЭК 27002-2021, ГОСТ Р 50922-2006).
Продукт входит в Единый реестр российского ПО.
Что сделать ИБ-ответственному, чтобы снизить риск фишинга: короткий план действий
Начните с инвентаризации технического и человеческого слоев, затем соберите первую управляемую картину поведения, и только потом принимайте решение о регулярности и бюджете.
- Перечислите технические контуры, которые уже есть: SEG/антиспам, MFA, IAM/SSO, sandbox, URL-rewrite. Это базовая карта того, что вы уже закрываете.
- Сформулируйте явно, каких сценариев эти контуры по архитектуре не закрывают: AiTM, QR-фишинг на личном устройстве, ATO изнутри, BEC-пересылки «коллеге».
- Посчитайте ориентировочный фишинг-риск по своим вводным — например, через калькулятор, чтобы получить первую оценку в числах, а не в ощущениях.
- Запустите первую фишинг-симуляцию на ограниченной группе сотрудников. Без наказаний — задача на этом шаге собрать картинку, а не «поймать виноватых».
- Назначьте цикл микрообучения и тестов по выявленным группам риска. Короткие модули по событию работают лучше длинных ежегодных курсов.
- Введите 2–3 метрики для отчётности руководству: доля кликнувших, доля введших данные, доля сообщивших в ИБ. Этого достаточно для первого разговора с бизнесом.
- Закрепите регулярность — квартал или полугодие, с обязательной повторной волной и сравнением динамики.
Читать дальше: как запустить фишинг-рассылку в компании → сценарий, метрики и отчёты
Итог
Защита от фишинга в 2026 году — это не выбор между технологиями и людьми, а два параллельных контура, каждый со своей архитектурой и своими метриками. Технический стек (SEG, sandbox, URL-rewrite, IAM, AI-анализ) становится точнее, но фишинг одновременно перестраивается в многоканальную индустрию, где значительная часть цепочки проходит через действия пользователя.
ИБ-ответственному важно строить оба контура и измерять каждый: технический — через SEG/IAM/sandbox, человеческий — через security awareness, регулярные симуляции и управляемую отчётность. Avareange в этой картине — именно про второй контур, и в этом его честная роль.
Стартовать первую фишинг-симуляцию → запросить демо Avareange
Источники
- Positive Technologies. «Гонка технологий: как современные средства защиты почты противостоят эволюции фишинговых атак», 9 апреля 2026 — ptsecurity.com.
- APWG. Phishing Activity Trends Report, Q3 2025 — docs.apwg.org.
- APWG. Phishing Activity Trends Report, Q4 2025 — docs.apwg.org.
- Microsoft Threat Intelligence. «Inside Tycoon2FA: how a leading AiTM phishing kit operated at scale», март 2026 — microsoft.com.
- Kaspersky Securelist. «Spam and Phishing Report 2025» — securelist.com.
Об авторах
Команда Avareange: экспертная команда по security awareness, фишинг-симуляциям и обучению сотрудников в компаниях 50–300 человек и в корпоративном сегменте. В продуктовой линейке — awareness-платформа и мобильное приложение «Киберзащитник».
