Фишинг в почте смещается к ссылкам — почему это важно

Microsoft фиксирует 8,3 млрд фишинговых угроз в Q1 2026: 78% через ссылки. Риск смещается из почты в web и identity-слои.

2026-05-12 GIGATAP Team #security
#Email Security#phishing#PhaaS

Фишинг в почте смещается к ссылкам — почему это важно

Снимок почтовых угроз Microsoft за Q1 2026 рассказывает знакомую историю, но с более «операционным» акцентом: объём фишинга остаётся огромным, однако меняется механика доставки. Злоумышленники всё чаще делают ставку на ссылки, размещённые страницы кражи учётных данных, приманки с QR-кодами и цепочки с «воротами» вроде CAPTCHA, которые ведут пользователя по контролируемому сценарию до момента ввода пароля.

Для защитников ключевой момент не в том, что фишинга всё ещё много. Важно, где концентрируется риск.

По данным Microsoft Threat Intelligence, с января по март 2026 года компания выявила около 8,3 млрд почтовых фишинговых угроз. Ежемесячный объём слегка снижался в течение квартала — примерно с 2,9 млрд в январе до 2,6 млрд в марте, — но общая активность оставалась колоссальной.

Это видимость Microsoft, а не полный «перепись» всех мировых email-атак. Тем не менее, такая телеметрия полезна тем, что показывает сдвиги, важные для обороны: ссылки вместо полезной нагрузки (payloads), быстрая итерация на уровне приманок и измеримое, но частичное нарушение работы крупной платформы phishing-as-a-service Tycoon2FA.

1. Центр тяжести смещается к фишингу по ссылкам#

Самое важное число в данных Microsoft за Q1 — распределение по способу доставки. Microsoft сообщает, что угрозы со ссылками составили 78% всех почтовых угроз.

Атаки с payload всё ещё имели значение, особенно в январе, когда вредоносные вложения составляли 19% атак. Microsoft связывает январскую долю частично с крупными кампаниями с HTML и ZIP. Но в феврале и марте доля payload снизилась до 13% атак в каждом месяце.

Это не означает, что вложения исчезли. Это означает, что защитникам стоит перестать рассматривать «детонацию вложений» как центр стратегии безопасности электронной почты.

Правдоподобное чтение тренда: атакующие всё чаще предпочитают инфраструктуру кражи учётных данных, размещённую на хостинге и доступную по ссылке. Такой подход даёт им преимущества:

  • можно быстро обновлять фишинговые страницы, не меняя исходное письмо;
  • можно ротировать домены, редиректор(ы) и хостинг-провайдеров;
  • можно добавлять этапы «гейтинга», такие как CAPTCHA-страницы или проверки устройства;
  • можно тонко настраивать страницы под конкретные бренды, тенанты или регионы;
  • можно меньше зависеть от вложений, которые могут быть вырезаны, отправлены в песочницу или заблокированы.

С точки зрения защитника это смещает внимание в web- и identity-слои. Фильтрация почты по‑прежнему важна, но это лишь один контрольный пункт в более длинной цепочке атаки. Если пользователь кликает ссылку, проходит редиректы, попадает на убедительную страницу входа и вводит учётные данные, решающие сигналы могут появиться в телеметрии браузера, DNS‑логах, событиях идентификации, решениях conditional access или в аномальном поведении сессии.

Иными словами: почтовый ящик — место, где многие атаки начинаются, но всё чаще это уже не место, где происходит вся «битва».

2. QR‑коды и CAPTCHA меняют слой приманок#

Microsoft выделяет две быстро развивающиеся техники в Q1: фишинг с QR‑кодами и фишинг с CAPTCHA‑гейтингом.

Фишинг через QR‑коды к концу квартала стал самым быстрорастущим вектором атак, увеличившись более чем вдвое за период. Этот рост важен, потому что QR‑приманки меняют пользовательский сценарий: вместо клика по видимому URL в корпоративном почтовом клиенте пользователь сканирует изображение.

Это усложняет защиту сразу по нескольким причинам. Во‑первых, URL может быть спрятан внутри изображения и не всегда одинаково хорошо извлекается почтовыми средствами. Во‑вторых, переход часто происходит уже с мобильного устройства, где могут быть другие политики, другой браузер и меньше корпоративной телеметрии. В‑третьих, пользователь визуально воспринимает QR‑код как «инструкцию», а не как ссылку, и может хуже оценивать риск.

CAPTCHA‑гейтинг решает другую задачу атакующих: он помогает отсеивать автоматические сканеры, песочницы и часть средств анализа ссылок. Пользователь при этом видит знакомый элемент проверки и может воспринимать его как признак легитимности. В результате защите сложнее полагаться только на одноразовую проверку URL в момент доставки письма: страница, редирект или финальный фишинговый контент могут проявиться позже и только при выполнении определённых условий.

3. Что это меняет для защиты: фокус на web и identity, а не только на почту#

Из наблюдений Microsoft следует практический вывод: даже при сильной защите входящей почты «узкое место» всё чаще смещается туда, где пользователь открывает ссылку и где в итоге происходят попытки входа.

Практический takeaway для команды безопасности: проверьте, видите ли вы всю цепочку «письмо → клик → редиректы → страница входа → попытка аутентификации». Если видимость обрывается на доставке письма, защита будет пропускать значимую часть современных phishing‑кампаний.

На что имеет смысл переносить приоритеты контроля в дополнение к почтовым фильтрам:

  • Сигналы web‑уровня: фиксировать переходы по ссылкам, цепочки редиректов и поведение в браузере, где пользователь может оказаться на странице, имитирующей вход.
  • DNS и доменная инфраструктура: отслеживать новые, недавно изменённые и подозрительные домены, а также редиректоры, через которые ведут фишинговые цепочки.
  • Identity‑события: коррелировать клики из почты с последующими попытками входа, MFA‑событиями, сменой устройства, географии или ASN.
  • Conditional access и риск‑политики: усиливать проверки для входов после подозрительных переходов, с новых устройств, из нетипичных локаций или через анонимизирующую инфраструктуру.
  • Контроль QR‑фишинга: обучать пользователей не сканировать QR‑коды из неожиданных писем и, где возможно, анализировать QR‑изображения в почтовом шлюзе.
  • Повторная проверка URL: не ограничиваться анализом ссылки в момент доставки; полезны механизмы time‑of‑click, потому что финальная страница может измениться после прохождения письма через фильтры.

Минимальный рабочий набор действий: включить или проверить защиту ссылок в момент клика, собрать телеметрию DNS/web‑переходов, связать её с identity‑логами и настроить детекты на сценарии, где пользователь получил подозрительное письмо, перешёл по ссылке, а затем попытался войти с нового устройства или из необычной сети.

Фишинг по‑прежнему стартует из email, но всё заметнее «реализуется» за пределами почты — в web‑переходах и в событиях идентификации. Поэтому практическая цель защиты — не только заблокировать письмо, но и быстро увидеть, кто кликнул, куда его привело и что произошло с учётной записью после этого.