Компания Microsoft опубликовала отчет о состоянии угроз электронной почте за первый квартал 2026 года, в котором зафиксировано выявление 8,3 миллиарда попыток фишинга. Анализ показывает, что злоумышленники активно меняют тактику, отказываясь от классических методов в пользу методов, которые труднее поддаются автоматизированному контролю. Наиболее заметным трендом стало использование QR-кодов, частота которых возросла на 146 процентов, поскольку стандартные системы безопасности рабочих станций зачастую не способны адекватно проверять содержимое, скрытое за кодом, который пользователь открывает на собственном смартфоне.
Использование мобильных устройств для сканирования QR-кодов фактически выводит жертву за пределы защищенного корпоративного периметра, где установленные антивирусные инструменты не имеют контроля. Кроме этого, злоумышленники начали отказываться от использования вложенных PDF-файлов, отдавая предпочтение встраиванию кодов непосредственно в тело электронного письма, количество которых в марте 2026 года возросло на 336 процентов. Подобные манипуляции позволяют преступникам эффективно избегать фильтров, которые настроены на сканирование вредоносных вложений или подозрительных ссылок.
Помимо QR-кодов, наблюдается нестабильная динамика использования страниц с CAPTCHA, количество которых после спада в начале квартала резко возросло на 125 процентов в марте. Злоумышленники используют такие страницы как промежуточный этап для принуждения жертвы к взаимодействию, во время которого выполняются вредоносные команды или происходит загрузка вирусов. Методы доставки вредоносного кода после прохождения CAPTCHA остаются разнообразными, охватывая использование HTML-вложений, SVG-файлов, документов форматов DOC или DOCX и прямых ссылок.
Что касается организованных групп, деятельность группировки Tycoon2FA после совместной операции Microsoft и Европола претерпела сокращение на 15 процентов, однако это оказалось лишь временным эффектом. Злоумышленники начали оперативно переносить свою инфраструктуру на новые домены, в частности 41 процент доменов Tycoon2FA по состоянию на конец марта уже использовали зону .RU. Это демонстрирует способность киберпреступников быстро адаптироваться к правоохранительным мерам, что усложняет долгосрочную эффективность блокировки отдельных серверов или фишинговых наборов.
Для уменьшения вероятности успешной атаки специалисты рекомендуют настроить защиту через Exchange Online и Microsoft Defender, активируя все доступные автоматизированные параметры безопасности. Обязательным требованием является внедрение многофакторной аутентификации, которая устойчива к фишингу, в частности использование физических FIDO2-ключей или биометрических методов подтверждения личности. Также важно включить автоматическое удаление вредоносных писем с помощью функции Zero-hour auto purge и настроить защиту сетевых соединений в Microsoft Defender for Endpoint для всех рабочих устройств.
Стоит помнить об угрозах корпоративной почте, где было выявлено 10,7 миллиона целевых атак, использующих методы социальной инженерии, такие как запросы на обновление расчетных ведомостей во время налогового сезона. Сотрудники должны пройти обучение по имитации фишинга, чтобы распознавать попытки установления контакта через общие вопросы. Избегайте сканирования QR-кодов, полученных в письмах от неизвестных отправителей, и проверяйте любые запросы на конфиденциальные действия непосредственно через официальные корпоративные каналы связи с коллегами или руководством.
