Фишинг в почте смещается к ссылкам — почему это важно
Снимок почтовых угроз Microsoft за Q1 2026 рассказывает знакомую историю, но с более «операционным» акцентом: объём фишинга остаётся огромным, однако меняется механика доставки. Злоумышленники всё чаще делают ставку на ссылки, размещённые страницы кражи учётных данных, приманки с QR-кодами и цепочки с «воротами» вроде CAPTCHA, которые ведут пользователя по контролируемому сценарию до момента ввода пароля.
Для защитников ключевой момент не в том, что фишинга всё ещё много. Важно, где концентрируется риск.
По данным Microsoft Threat Intelligence, с января по март 2026 года компания выявила около 8,3 млрд почтовых фишинговых угроз. Ежемесячный объём слегка снижался в течение квартала — примерно с 2,9 млрд в январе до 2,6 млрд в марте, — но общая активность оставалась колоссальной.
Это видимость Microsoft, а не полный «перепись» всех мировых email-атак. Тем не менее, такая телеметрия полезна тем, что показывает сдвиги, важные для обороны: ссылки вместо полезной нагрузки (payloads), быстрая итерация на уровне приманок и измеримое, но частичное нарушение работы крупной платформы phishing-as-a-service Tycoon2FA.
1. Центр тяжести смещается к фишингу по ссылкам#
Самое важное число в данных Microsoft за Q1 — распределение по способу доставки. Microsoft сообщает, что угрозы со ссылками составили 78% всех почтовых угроз.
Атаки с payload всё ещё имели значение, особенно в январе, когда вредоносные вложения составляли 19% атак. Microsoft связывает январскую долю частично с крупными кампаниями с HTML и ZIP. Но в феврале и марте доля payload снизилась до 13% атак в каждом месяце.
Это не означает, что вложения исчезли. Это означает, что защитникам стоит перестать рассматривать «детонацию вложений» как центр стратегии безопасности электронной почты.
Правдоподобное чтение тренда: атакующие всё чаще предпочитают инфраструктуру кражи учётных данных, размещённую на хостинге и доступную по ссылке. Такой подход даёт им преимущества:
- можно быстро обновлять фишинговые страницы, не меняя исходное письмо;
- можно ротировать домены, редиректор(ы) и хостинг-провайдеров;
- можно добавлять этапы «гейтинга», такие как CAPTCHA-страницы или проверки устройства;
- можно тонко настраивать страницы под конкретные бренды, тенанты или регионы;
- можно меньше зависеть от вложений, которые могут быть вырезаны, отправлены в песочницу или заблокированы.
С точки зрения защитника это смещает внимание в web- и identity-слои. Фильтрация почты по‑прежнему важна, но это лишь один контрольный пункт в более длинной цепочке атаки. Если пользователь кликает ссылку, проходит редиректы, попадает на убедительную страницу входа и вводит учётные данные, решающие сигналы могут появиться в телеметрии браузера, DNS‑логах, событиях идентификации, решениях conditional access или в аномальном поведении сессии.
Иными словами: почтовый ящик — место, где многие атаки начинаются, но всё чаще это уже не место, где происходит вся «битва».
2. QR‑коды и CAPTCHA меняют слой приманок#
Microsoft выделяет две быстро развивающиеся техники в Q1: фишинг с QR‑кодами и фишинг с CAPTCHA‑гейтингом.
Фишинг через QR‑коды к концу квартала стал самым быстрорастущим вектором атак, увеличившись более чем вдвое за период. Этот рост важен, потому что QR‑приманки меняют пользовательский сценарий: вместо клика по видимому URL в корпоративном почтовом клиенте пользователь сканирует изображение.
Это усложняет защиту сразу по нескольким причинам. Во‑первых, URL может быть спрятан внутри изображения и не всегда одинаково хорошо извлекается почтовыми средствами. Во‑вторых, переход часто происходит уже с мобильного устройства, где могут быть другие политики, другой браузер и меньше корпоративной телеметрии. В‑третьих, пользователь визуально воспринимает QR‑код как «инструкцию», а не как ссылку, и может хуже оценивать риск.
CAPTCHA‑гейтинг решает другую задачу атакующих: он помогает отсеивать автоматические сканеры, песочницы и часть средств анализа ссылок. Пользователь при этом видит знакомый элемент проверки и может воспринимать его как признак легитимности. В результате защите сложнее полагаться только на одноразовую проверку URL в момент доставки письма: страница, редирект или финальный фишинговый контент могут проявиться позже и только при выполнении определённых условий.
3. Что это меняет для защиты: фокус на web и identity, а не только на почту#
Из наблюдений Microsoft следует практический вывод: даже при сильной защите входящей почты «узкое место» всё чаще смещается туда, где пользователь открывает ссылку и где в итоге происходят попытки входа.
Практический takeaway для команды безопасности: проверьте, видите ли вы всю цепочку «письмо → клик → редиректы → страница входа → попытка аутентификации». Если видимость обрывается на доставке письма, защита будет пропускать значимую часть современных phishing‑кампаний.
На что имеет смысл переносить приоритеты контроля в дополнение к почтовым фильтрам:
- Сигналы web‑уровня: фиксировать переходы по ссылкам, цепочки редиректов и поведение в браузере, где пользователь может оказаться на странице, имитирующей вход.
- DNS и доменная инфраструктура: отслеживать новые, недавно изменённые и подозрительные домены, а также редиректоры, через которые ведут фишинговые цепочки.
- Identity‑события: коррелировать клики из почты с последующими попытками входа, MFA‑событиями, сменой устройства, географии или ASN.
- Conditional access и риск‑политики: усиливать проверки для входов после подозрительных переходов, с новых устройств, из нетипичных локаций или через анонимизирующую инфраструктуру.
- Контроль QR‑фишинга: обучать пользователей не сканировать QR‑коды из неожиданных писем и, где возможно, анализировать QR‑изображения в почтовом шлюзе.
- Повторная проверка URL: не ограничиваться анализом ссылки в момент доставки; полезны механизмы time‑of‑click, потому что финальная страница может измениться после прохождения письма через фильтры.
Минимальный рабочий набор действий: включить или проверить защиту ссылок в момент клика, собрать телеметрию DNS/web‑переходов, связать её с identity‑логами и настроить детекты на сценарии, где пользователь получил подозрительное письмо, перешёл по ссылке, а затем попытался войти с нового устройства или из необычной сети.
Фишинг по‑прежнему стартует из email, но всё заметнее «реализуется» за пределами почты — в web‑переходах и в событиях идентификации. Поэтому практическая цель защиты — не только заблокировать письмо, но и быстро увидеть, кто кликнул, куда его привело и что произошло с учётной записью после этого.