В 2025 году фишинг-атаки перешли на «внебрендовые» домены и динамические переадресации
За первые девять месяцев 2025 года число фишинговых сайтов выросло в 1,5 раза по сравнению с аналогичным периодом 2024 года. Злоумышленники отказались от доменов, имитирующих бренды, и перешли к использованию «фишинговых комбайнов» для массовой генерации страниц, динамических цепочек переадресаций и адаптивных сценариев на основе поведения жертв.
По данным центра мониторинга внешних цифровых угроз Solar Aura группы компаний «Солар», за первые девять месяцев 2025 года было зафиксировано в 1,5 раза больше фишинговых сайтов, чем за аналогичный период 2024 года. При этом ключевым изменением в тактике злоумышленников стало отсутствие прямого сходства между доменом и копируемым брендом — ранее распространённые домены вроде sberbank-online.ru или gosuslugi-verify.com почти полностью вытеснены.
Вместо этого злоумышленники используют «внебрендовые» домены — случайные, бессмысленные или маскирующиеся под несуществующие сервисы (например, update-verify[.]xyz, secure-login[.]top). Это связано с ростом распространения фишинговых ссылок через мессенджеры и электронную почту, где адресная строка не отображается, а пользователь видит только текстовое сообщение или кнопку. Отсутствие необходимости имитировать бренд снижает риск обнаружения системами фильтрации, основанными на анализе доменных имён.
Для масштабирования атак применяются «фишинговые комбайны» — автоматизированные сервисы, позволяющие за несколько секунд генерировать сотни фейковых веб-страниц под разные бренды: от банков и маркетплейсов до порталов госуслуг и инвестиционных платформ. Эти платформы используют шаблоны, скопированные с реальных сайтов, и интегрируют формы ввода данных, которые отправляются на серверы злоумышленников. Такой подход позволяет одному оператору запускать тысячи атак одновременно, с минимальными затратами на разработку и поддержку.
Чтобы обойти блокировки и продлить срок жизни фишинговых ресурсов, злоумышленники используют динамические цепочки переадресаций. Пользователь, переходящий по фишинговой ссылке, сначала попадает на один домен, затем автоматически перенаправляется на второй, третий и далее — до 5–7 промежуточных узлов — прежде чем попасть на финальную страницу сбора данных. Каждый узел в цепочке имеет короткий срок жизни — при обнаружении и блокировке он мгновенно заменяется новым, а цепочка перестраивается в реальном времени. Это делает классические методы блокировки по URL неэффективными.
Дополнительно применяется адаптивный фишинг: на основе анализа поведения пользователя — времени клика, устройства, геолокации, ответов на предварительные вопросы — сценарий общения корректируется в реальном времени. Например, если пользователь указал, что он работает в банке, мошенник меняет формулировку сообщения на более «внутреннюю» — с упоминанием внутренних систем, протоколов или терминов, характерных для финансового сектора. Это повышает доверие жертвы и снижает вероятность её подозрений.
Наиболее часто имитируются сайты:
— крупных маркетплейсов (Ozon, Wildberries);
— инвестиционных платформ и криптобирж;
— порталов государственных услуг (Госуслуги, ФНС, ПФР);
— сервисов сбора персональных данных, используемых в последующих телефонных аферах.
Рекомендации по защите не сводятся к «не переходите по ссылкам» — они требуют системного подхода:
— Проверка адреса сайта должна проводиться через официальные источники — например, поиск в поисковой системе с последующим переходом по ссылке из первого результата, а не по клику в сообщении;
— Использование антивирусных и защитных решений, включающих фильтрацию веб-трафика и блокировку подозрительных доменов на уровне DNS или прокси;
— Отказ от ввода персональных данных, включая пароли и СМС-коды, на сайтах, не связанных с официальными каналами связи;
— Обучение персонала распознаванию социальной инженерии — особенно в условиях, когда атака маскируется под внутреннюю коммуникацию.
Эволюция фишинга от «визуального подделывания» к «поведенческой манипуляции» и «автоматизированной масштабируемости» делает его одной из самых устойчивых и эффективных форм киберугроз. Успех атаки теперь зависит не от качества подделки, а от скорости, адаптивности и отсутствия контроля со стороны пользователя. В этих условиях защита становится не технической задачей, а вопросом культуры безопасности.
Для масштабирования атак применяются «фишинговые комбайны» — автоматизированные сервисы, позволяющие за несколько секунд генерировать сотни фейковых веб-страниц под разные бренды: от банков и маркетплейсов до порталов госуслуг и инвестиционных платформ. Эти платформы используют шаблоны, скопированные с реальных сайтов, и интегрируют формы ввода данных, которые отправляются на серверы злоумышленников. Такой подход позволяет одному оператору запускать тысячи атак одновременно, с минимальными затратами на разработку и поддержку.
Чтобы обойти блокировки и продлить срок жизни фишинговых ресурсов, злоумышленники используют динамические цепочки переадресаций. Пользователь, переходящий по фишинговой ссылке, сначала попадает на один домен, затем автоматически перенаправляется на второй, третий и далее — до 5–7 промежуточных узлов — прежде чем попасть на финальную страницу сбора данных. Каждый узел в цепочке имеет короткий срок жизни — при обнаружении и блокировке он мгновенно заменяется новым, а цепочка перестраивается в реальном времени. Это делает классические методы блокировки по URL неэффективными.
Дополнительно применяется адаптивный фишинг: на основе анализа поведения пользователя — времени клика, устройства, геолокации, ответов на предварительные вопросы — сценарий общения корректируется в реальном времени. Например, если пользователь указал, что он работает в банке, мошенник меняет формулировку сообщения на более «внутреннюю» — с упоминанием внутренних систем, протоколов или терминов, характерных для финансового сектора. Это повышает доверие жертвы и снижает вероятность её подозрений.
Наиболее часто имитируются сайты:
— крупных маркетплейсов (Ozon, Wildberries);
— инвестиционных платформ и криптобирж;
— порталов государственных услуг (Госуслуги, ФНС, ПФР);
— сервисов сбора персональных данных, используемых в последующих телефонных аферах.
Рекомендации по защите не сводятся к «не переходите по ссылкам» — они требуют системного подхода:
— Проверка адреса сайта должна проводиться через официальные источники — например, поиск в поисковой системе с последующим переходом по ссылке из первого результата, а не по клику в сообщении;
— Использование антивирусных и защитных решений, включающих фильтрацию веб-трафика и блокировку подозрительных доменов на уровне DNS или прокси;
— Отказ от ввода персональных данных, включая пароли и СМС-коды, на сайтах, не связанных с официальными каналами связи;
— Обучение персонала распознаванию социальной инженерии — особенно в условиях, когда атака маскируется под внутреннюю коммуникацию.
Эволюция фишинга от «визуального подделывания» к «поведенческой манипуляции» и «автоматизированной масштабируемости» делает его одной из самых устойчивых и эффективных форм киберугроз. Успех атаки теперь зависит не от качества подделки, а от скорости, адаптивности и отсутствия контроля со стороны пользователя. В этих условиях защита становится не технической задачей, а вопросом культуры безопасности.
© 16.10.2025
Закажите обратный звонок
Оставьте свой телефон, мы свяжемся с вами в ближайшее время
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Контакты:
info@smartinfra.ru
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
© 2025