Чтобы попасть в корпоративную сеть, злоумышленникам все реже нужно искать уязвимость в сервере или запускать сложную атаку. Гораздо выгоднее украсть чужую учетку. ВотчетеeSentire TRU говорится, что в 2025 году именно цифровая идентичность стала главной целью атак, а киберпреступность все больше напоминает индустрию с готовыми сервисами и понятной экономикой, пишет Securitylab. Ключевой двигатель этого превращения — подписочные платформыPhishing-as-a-Service, которые дают под ключ инфраструктуру и инструменты для фишинга. По данным отчета, за $200–300 в месяц начинающий злоумышленник может получить сервис, который обходит многофакторную аутентификацию, перехватывает сессионные токены в реальном времени и передает захваченные аккаунты тем, кто быстро монетизирует доступ. Масштаб сдвига хорошо видно по статистике eSentire TRU. Компрометация аккаунтов заняла половину всех наблюдений команды и выросла на 389% по сравнению с 2024 годом. Авторы отчета формулируют это максимально прямолинейно: зачем взламывать, если можно войти. При этом злоупотребления инструментамиудаленного администрированиятоже набирают обороты, в другом фрагменте отчета рост злоупотребление RMM (Remote monitoring and management) оценивается в 143% год к году. Отдельно исследователи отмечают, что все чаще заражение начинается с письма. Доля инцидентов, где первоначальный доступ был получен через почту, выросла с 36,9% в 2024 году до 54,8% в 2025 году, а 63% всех случаев захвата учетных записей связали именно с PhaaS-операциями. Эти схемы нередко используют подход Adversary-in-the-Middle, когда жертву ведут на прокси-страницу входа и в момент авторизации крадут не только пароль, но и токены сессии. Скорость атаки стала еще одной неприятной нормой. В разборе 100 инцидентов с платформой Tycoon2FA злоумышленники начинали эксплуатацию в среднем через 14 минут после кражи учетных данных. На практике это означает, что между «кто-то ввел пароль» и «кто-то уже меняет правила пересылки в почте» может пройти меньше времени, чем длится короткий созвон. Параллельно растет и доля атак, где пользователя буквально заставляют запустить вредоносный код собственными руками. Один из самых заметных примеров —ClickFix, он же FakeCaptcha. В отчете говорится, что в 2025 году ClickFix вырос с 7,8% до 30,7% всех случаев доставки вредоноса, что почти соответствует 300% росту год к году, а за год исследователи зафиксировали более 65 различных цепочек вторжения с этой техникой. Сценарий обычно строится вокруг фейковых капч и ошибок браузера, после чего жертву убеждают нажать «Fix It», скопировать команду и выполнить ее через Win+R или PowerShell. Еще один тренд из отчета звучит почти как сюжет для мошеннического колл-центра, но с очень понятной технической развязкой. Email bombing в связке с поддержкой под видом IT вырос в 14 раз год к году и стал самым быстрорастущим типом угроз. Сначала жертве забивают почту спамом, затем пишут или звонят в Teams, представляясь техподдержкой, и под предлогом помощи добиваются удаленного доступа. В отдельных случаях цепочка заканчивалась развертыванием вымогателяBlack Basta, а успешность вишинга в отчете оценивают как очень высокую: 72% случаев доходят до фактического доступа. Вывод авторов отчета довольно жесткий: современные атаки двигаются быстрее, чем традиционная защита, а компании, которые полагаются на проверки логов на следующий день и рабочие часы для реагирования, оказываются в заведомо слабой позиции. На этом фоне фокус смещается к постоянному мониторингу идентичностей и быстрой реакции на аномалии, потому что в мире «просто вошли» решают уже не столько стены периметра, сколько скорость обнаружения и блокировки чужой сессии.
В 2025 году среднее время между кражей пароля и началом взлома составило рекордные 14 минут
Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Условиях использования