Около 8,3 милиарда заплахи от фишинг по имейл са регистрирани през първото тримесечие на 2026 г. Фишингът чрез QR кодове се очертава като най-бързо растящият метод на атака, сочат анализи на екипите по киберсигурност.
Месечните обеми на фишинг леко намаляха – от 2,9 милиарда през януари до 2,6 милиарда през март, въпреки че атакуващите промениха тактиката си. Заплахите, базирани на линкове, съставляват 78% от имейл-атаките през тримесечието. Зловредните полезни товари (payloads) представляваха 19% през януари, преди да спаднат до 13% както през февруари, така и през март, отчита Microsoft.
Кражбата на идентификационни данни остана основната цел на зловредните полезни товари през цялото тримесечие. Комбинацията от доставка чрез линкове и тенденциите при полезните товари показва, че атакуващите все повече предпочитат хоствана инфраструктура за кражба на идентификационни данни пред локално изпълнявани полезни товари.
Измамите с компрометиране на бизнес-имейли също останаха широко разпространени, като бяха регистрирани около 10,7 милиона атаки през тримесечието. Голяма част от тази активност беше движена от общи съобщения за контакт, а не от директни искания за плащане.
Въздействието на Tycoon2FA
Забележителна промяна последва действията срещу Tycoon2FA – платформа за фишинг като услуга, която Microsoft проследява като Storm-1747. Обемът на имейлите, свързани с услугата, спадна с 15% през останалата част от март след операция за прекъсване на дейността на платформата.
Tycoon2FA е една от най-масово използваните платформи за фишинг от 2023 г. Тя използва техники „човек по средата“, предназначени да заобикалят някои защити за многофакторно удостоверяване. Услугата отдава под наем инфраструктура и комплекти за фишинг, които имитират страници за вход и често използват фалшиви CAPTCHA екрани като примамка.
Инфраструктурата на платформата се променяше многократно през тримесечието. През януари и февруари домейните се насочиха към по-нови общи домейни от най-високо ниво, включително .digital, .business, .contractors, .ceo и .company. След операцията през март регистрациите на .ru отново се увеличиха, като повече от 41% от домейните на Tycoon2FA използваха това разширение от последната седмица на март.
Ръст на QR кодовете
Фишингът чрез QR кодове се разрасна рязко през тримесечието, увеличавайки се от 7,6 милиона атаки през януари до 18,7 милиона през март. Това увеличение от 146% изведе метода до най-високия му месечен обем поне за последната година.
Атакуващите все по-често използваха QR кодове, за да скрият злонамерени линкове в изображения, вградени в телата на имейли или прикачени файлове, насочвайки жертвите към фишинг-сайтове, които могат да бъдат отворени на неуправлявани мобилни устройства. PDF файловете останаха основният маршрут за доставка, увеличавайки се от 65% от атаките с QR код през януари до 70% през март.
DOC и DOCX файловете също се увеличиха в абсолютни стойности, въпреки че делът им в доставката чрез QR код спадна от 31% на 24%. По-малък, но забележителен къснотримесечен обрат беше ръст от 336% на QR кодовете, вградени директно в телата на имейлите през март, достигайки 5% от общия обем на фишинга чрез QR код.
Промени при CAPTCHA
Фишингът с CAPTCHA също се промени бързо. След спад през януари и февруари, тази категория се удвои през март до 11,9 милиона атаки – най-високото месечно ниво, което Microsoft е наблюдавала през предходната година.
Изглежда, че атакуващите агресивно сменяха методите за доставка, за да тестват кои формати е най-вероятно да избегнат имейл защитите.
HTML прикачени файлове започнаха годината като най-често използвания метод, SVG файловете за кратко оглавиха класацията през февруари, а PDF файловете скочиха през март, след като се увеличиха повече от 4 пъти спрямо годишния минимум през януари. DOC и DOCX файловете също нараснаха рязко през март, представлявайки 15% от полезните товари.
Една кампания между края на февруари и края на март изпрати над 1,2 милиона съобщения до потребители в повече от 53 000 организации в 23 държави. Имейлите използваха теми като актуализации на пенсии, блокирани кредити, плащания и гласови съобщения и носеха SVG прикачени файлове, именувани според всяка примамка.
При отваряне SVG файлът стартираше браузърна сесия, която извличаше съдържание от един от три хостнейма и първо показваше проверка за сигурност. Жертвите, които завършеха CAPTCHA, след това виждаха фалшива страница за вход, предназначена да открадне идентификационните им данни.
