Фишинг стал главной угрозой для корпоративной почты в 2025 году

По данным BI.ZONE Mail Security, в 2025‑м злоумышленники в 3 раза чаще, чем годом ранее, отправляли фишинговые письма. Наиболее распространенные векторы атак — скомпрометированные учетные записи и методы социальной инженерии

12 марта 2026 г.

Общее количество нежелательных писем увеличилось на 46% по сравнению с 2024 годом. Рост числа фишинговых атак составил 38%, вредоносного ПО (ВПО) — 15,6%, спуфинга — 7%.

«Фишинг и снижение ВПО по отраслям (II полугодие 2025)

Главный вывод 2025 года — снижение доверия к отправителю. Все чаще атакуют с легитимных серверов и через легитимные учетные записи. Поэтому для блокировки уже недостаточно проверить заголовки (SPF/DKIM), а также репутацию домена отправителя и его IP‑адреса. Чтобы обеспечить защиту, необходимо анализировать содержание письма.

Ключевое требование к системам безопасности — уметь выявлять нетехнические признаки атак: манипуляции, срочные призывы к действию и аномалии в тексте, даже если письмо выглядит легитимно.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности

Фишинг стал основной точкой входа для атак на компании из большинства отраслей. По данным BI.ZONE Mail Security, в 2025 году злоумышленники активизировались в промышленности, ритейле, сфере услуг, логистике и здравоохранении.

В промышленности фокус сместился с вредоносного ПО на социальную инженерию: в II половине 2025‑го количество писем с ВПО сократилось почти в 12 раз по сравнению с I половиной года, тогда как объем фишинговых атак вырос почти вдвое. В ритейле число фишинговых писем за тот же период увеличилось почти втрое, при этом объем вредоносного ПО остался на прежнем уровне.

«Рост фишинга, ВПО и спуфинга в корпоративной почте (2024–2025 гг.)»

На фоне снижения активности вредоносного ПО количество фишинга кратно возросло:

В сфере профессиональных услуг — более чем в 8 раз.
В транспорте и логистике — более чем в 3 раза.
В здравоохранении — более чем в 2 раза.
Количество фишинга в этих отраслях увеличивается из‑за интенсивного внешнего документооборота. Злоумышленники используют фейковые счета, накладные и медицинские документы как приманку для компрометации корпоративной почты и учетных данных.

Атаки с ВПО удерживают позиции в финансовом секторе

В II половине 2025 года активность вредоносного ПО в сфере финансов увеличилась на 37%, а по итогам года количество атак превысило показатели 2024‑го более чем в 2 раза.

Увеличилось и количество фишинга в финсекторе: в 3,5 раза по сравнению с I полугодием и почти в 8 раз по сравнению с 2024 годом. Динамика связана с высокой ценностью финансовых данных, ростом онлайн‑транзакций и использованием фишинга как этапа доставки ВПО.

Скомпрометированные учетные записи используются для обхода фильтрации

В строительной отрасли зафиксировано резкое снижение доли писем, отклоненных на уровне базовой фильтрации: с 38% в II половине 2024 года до 4,5% в II половине 2025‑го. В долгосрочной динамике этот показатель снизился с 80–90% в 2022–2023 годах до 9% в II половине 2025‑го.

«Снижение доли писем, блокируемых базовой фильтрацией»

Одна из причин в том, что злоумышленники используют скомпрометированные учетные записи в Microsoft 365 и Google Workspace. Рассылки с доверенных доменов и облачных платформ маскируются под легитимный трафик и проходят базовые почтовые фильтры за счет репутации сервисов, однако выявляются и блокируются на последующих этапах анализа.

BI.ZONE Mail Security — сервис для интеллектуальной защиты пользователей корпоративной почты. Решение сочетает AI‑/ML‑технологии для защиты от сложных атак, гибкое управление трафиком, мультитенантность и расширенные способы интеграции с другими системами, а также получает актуальную информацию от киберразведки.