По оценке компании, за январь-апрель 2026 года количество таких инцидентов увеличилось на 38% по сравнению с аналогичным периодом 2025 года, а доля ссылок на страницы, размещенные на доверенных веб-платформах, среди всех фишинговых рассылок выросла с 11% до 17%.
Роста связан с тем, что злоумышленники научились использовать репутацию легитимной инфраструктуры против самих пользователей и защитных систем. Ссылки на популярные платформы для развертывания веб-приложений не всегда выглядят подозрительно для сотрудника, а часть автоматических фильтров воспринимает такие домены как менее рискованные по сравнению с недавно зарегистрированными сайтами в экзотических доменных зонах. В результате фишинговая страница может выглядеть аккуратно, быстро загружаться, корректно отображаться на мобильных устройствах и копировать интерфейс корпоративного сервиса почти без визуальных ошибок. Пользователь видит знакомый логотип, форму входа через Microsoft, Google или корпоративный SSO и не всегда успевает проверить адресную строку.
Ситуацию усугубляет генеративный ИИ, встроенный в инструменты веб-разработки. Платформы, которые создавались для ускорения работы разработчиков и дизайнеров, позволяют за несколько запросов получить готовую страницу с логотипами, фирменными цветами, адаптивной версткой и базовой логикой формы. По данным исследователей, злоумышленники уже применяли такие инструменты для имитации страниц крупных брендов, включая сервисы входа, карьерные порталы и страницы с запросом платежных данных. Для атакующего это снижает зависимость от готовых фишинговых наборов и упрощает ротацию инфраструктуры.
По оценке «Информзащиты», в 2026 году наиболее часто такие атаки затрагивали финансовые организации, на которые пришлось 26% зафиксированных случаев, ритейл и e-commerce с долей 19%, ИТ- и телеком-компании с 17%, HR-сервисы, рекрутинг и образовательные проекты с 13%, промышленность и логистику с 11%, медицинские организации с 8% и государственный сектор с 6%. По векторам атак лидировали поддельные страницы корпоративной авторизации и SSO, на них пришлось 41% эпизодов. Еще 22% составили фишинговые страницы под видом документов, счетов и заявок на согласование. На фальшивые карьерные и рекрутинговые порталы пришлось 16%, на имитацию платежных и подписочных сервисов – 12%, на страницы для перехвата кодов MFA и одноразовых паролей – 7%, а оставшиеся 2% пришлись на смешанные сценарии с переадресацией через несколько промежуточных страниц.
«Раньше пользователя часто спасали плохая верстка, странный язык письма, поломанная форма или подозрительный домен. Сейчас атака может быть визуально чистой, технически стабильной и размещенной на платформе, которую сама компания не считает опасной по умолчанию. В 2026 году мы ожидаем роста таких сценариев прежде всего в атаках на учетные данные сотрудников, потому что для преступников это самый короткий путь к почте, облачным хранилищам, CRM и внутренним сервисам», — комментирует Павел Коваленко, директор центра противодействия мошенничеству.
Снизить риск можно только за счет пересмотра подхода к доверию. Компаниям необходимо анализировать не только домен в ссылке, но и поведение конечной страницы, наличие форм ввода логина, пароля, кодов MFA и платежных данных, цепочки редиректов и возраст конкретного поддомена. В почтовой защите стоит отдельно контролировать ссылки на популярные веб-хостинги и платформы быстрого развертывания приложений, не блокируя их вслепую, но повышая уровень проверки. Технически важны строгие политики MFA с устойчивыми к фишингу методами, мониторинг подозрительных входов, ограничение сессий, запрет повторного использования паролей и быстрый процесс блокировки скомпрометированных учетных записей. Отдельный контур защиты должен включать оперативную подачу жалоб на вредоносные страницы в службы хостинг-платформ, поскольку скорость удаления таких страниц напрямую влияет на масштаб ущерба.