Журнал "Information Security/ Информационная безопасность" #1, 2026

Среднее время существо- вания фишингового сайта составляет от нескольких часов до двух суток, а мно- гие ресурсы закрываются или меняются менее чем за 12 часов после запуска. Поддельные сайты, фей- ковые аккаунты, псевдо- акции, мошеннические при- ложения – все это начало напрямую влиять на дове- рие потребителей, а следом и на финансовые показате- ли. Первый сдвиг: онлайн как основ- ной канал Массовая цифровиза- ция, развитие интернет-банкин- га, маркетплейсов, онлайн-сер- висов и государственных плат- форм резко увеличили долю операций, которые происходят вне физической инфраструкту- ры компании. Клиенты пере- стали приходить в офис – они теперь взаимодействуют через сайт, мобильное приложение, мессенджер и соцсеть. И оказалось, что злоумыш- леннику стало необязательно проникать внутрь периметра. Достаточно создать ресурс, визуально похожий на оригинал, запустить рекламу или рассылку – и пользователь сам передаст деньги и данные. Фишинг в Рос- сии очень быстро стал массовым и довольно агрессивным. При- чем он развивался не только в виде поддельных сайтов, но и через мессенджеры, социаль- ные сети, псевдослужбы под- держки и фиктивные акции. Масштаб проблемы хорошо виден по статистике последних лет. По данным отраслевых исследований 1 , количество фишинговых атак в России в 2024 г. выросло примерно на 33% по сравнению с предыду- щим годом и на 72% относи- тельно 2022 г. При этом резко увеличилось и число мошенни- ческих ресурсов: только за 2024 г. было обнаружено более 350 тыс. фишинговых сайтов, тогда как годом ранее их было около 210 тыс. Особенность таких кампаний – их крайне короткий жизненный цикл. Среднее время существования фишингового сайта составляет от нескольких часов до двух суток, а многие ресурсы закры- ваются или меняются менее чем за 12 часов после запуска. Отдельным каналом атак в России стали мессенджеры, прежде всего Whatsapp и Telegram. Здесь мошеннические схемы распространяются через дипфейки, ботов и псевдослуж- бы поддержки. В отличие от классических фишинговых сай- тов такие атаки часто не тре- буют даже отдельного домена – достаточно аккаунта или чат- бота, который имитирует ком- муникацию с брендом. Для многих компаний обра- щения клиентов стали первым сигналом о том, что угроза существует, причем существует вне их инфраструктуры. Этап 2: злоупотребление брендами Когда онлайн превратился в основной источник выручки, стало очевидно, что атака направлена уже не только на пользователя, но и на сам бренд как актив. Поддельные сайты, фейковые аккаунты, псевдо- акции, мошеннические прило- жения – все это начало напря- мую влиять на доверие потре- бителей, а следом и на финан- совые показатели. Российская специфика доба- вила к этому высокую скорость появления новых схем. Мошен- нические ресурсы могли жить считанные часы, после чего появлялись их клоны. Исполь- зовались автоматические гене- раторы доменных имен, массо- вые рассылки и таргетирован- ная реклама. Реактивная модель, основанная только на жалобах пользователей и руч- ной обработке кейсов, переста- ла работать. Постепенно ком- пании начали выстраивать более системную работу с внешним цифровым простран- ством. Речь шла уже не о еди- ничных блокировках, а о посто- янном мониторинге того, что происходит вокруг бренда. Этап 3: появление DRP Масштаб внешнего цифрово- го риска подтверждается и ста- тистикой утечек. По оценкам исследований 2 , в публичном доступе сегодня находятся десятки миллиардов скомпро- метированных учетных записей, полученных в результате раз- личных утечек и атак. Дополнительную сложность создает скорость распростра- нения мошеннического контен- та. По данным различных иссле- довательских центров, новые фишинговые домены могут появляться тысячами в сутки, а значительная часть атак строится на массовой регистра- ции доменных клонов, отличаю- щихся от оригинального адреса 30 • СПЕЦПРОЕКТ Эволюция систем защиты вне инфраструктуры нформационная безопасность в российских компаниях еще десяток лет назад строилась достаточно тривиально: есть сеть, серверы, учетные записи сотрудников и есть периметр, который нужно держать под контролем. Основная логика сводилась к тому, чтобы не пустить злоумышленника внутрь и не допустить критических нарушений уже внутри инфра- структуры. Если в логах было тихо, считалось, что и с без- опасностью в целом все в порядке. Но со временем информа- ционная безопасность вышла за пределы этой модели. И Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ Фото: Антон Косицын 1 https://ptsecurity.com/research/analytics/kakimi-budut-fishingovye-ataki-v-blizhaishem-buduschem/ 2 https://www.rbc.ru/life/news/68d26aaf9a794747a147fe5c