Специалисты «Информзащиты» зафиксировали увеличение числа фишинговых атак, где злоумышленники применяют официальные платформы для веб-разработки и хостинга с целью создания фальшивых страниц входа, платежных форм и сайтов для поиска работы. По данным компании, в период с января по апрель 2026 года количество подобных инцидентов возросло на 38% относительно того же отрезка 2025 года, а удельный вес ссылок на ресурсы, размещенные на проверенных веб-площадках, среди всех фишинговых сообщений поднялся с 11% до 17%. Эту информацию CNews предоставили представители «Информзащиты».
Подобный рост объясняется тем, что киберпреступники освоили применение репутации легитимной инфраструктуры против самих пользователей и защитных механизмов. Ссылки на известные сервисы для развертывания веб-приложений не всегда вызывают подозрения у сотрудников, а многие автоматические системы фильтрации расценивают такие домены как менее опасные по сравнению с недавно созданными сайтами в редких доменных зонах. Как следствие, фишинговая страница может выглядеть опрятно, быстро загружаться, правильно отображаться на мобильных устройствах и воспроизводить интерфейс корпоративного сервиса практически без заметных дефектов. Пользователь видит привычный логотип, форму входа через Microsoft, Google или корпоративный SSO и не всегда успевает проверить адресную строку.
Положение усложняет генеративный искусственный интеллект, интегрированный в инструменты веб-разработки. Платформы, изначально предназначенные для ускорения работы программистов и дизайнеров, позволяют за несколько запросов создать готовую страницу с логотипами, фирменными цветами, адаптивным дизайном и базовой логикой формы. Как отмечают исследователи, злоумышленники уже использовали такие инструменты для подделки страниц крупных брендов, включая сервисы входа, порталы для соискателей и сайты с запросом платежной информации. Для атакующего это уменьшает зависимость от готовых фишинговых наборов и облегчает смену инфраструктуры.
По оценкам «Информзащиты», в 2026 году такие атаки чаще всего затрагивали финансовые учреждения — на них пришлось 26% зафиксированных случаев, розничную торговлю и электронную коммерцию с долей 19%, ИТ- и телекоммуникационные компании с 17%, HR-сервисы, рекрутинг и образовательные проекты с 13%, промышленность и логистику с 11%, медицинские организации с 8% и государственный сектор с 6%. Среди векторов атак лидировали поддельные страницы корпоративной аутентификации и SSO — на них пришлось 41% эпизодов. Еще 22% составили фишинговые страницы, замаскированные под документы, счета и заявки на утверждение. На фальшивые карьерные и рекрутинговые порталы пришлось 16%, на имитацию платежных и подписочных сервисов — 12%, на страницы для перехвата кодов MFA и одноразовых паролей — 7%, а оставшиеся 2% пришлись на смешанные сценарии с перенаправлением через несколько промежуточных страниц.
«В прошлом пользователя нередко выручали некачественная верстка, неестественный стиль текста, неработающая форма или вызывающий подозрения домен. Сегодня же атака может выглядеть безупречно визуально, быть технически надежной и располагаться на платформе, которую сама организация по умолчанию не считает опасной. В 2026 году мы прогнозируем увеличение числа подобных сценариев, в первую очередь при атаках на учетные записи сотрудников, так как для злоумышленников это самый быстрый путь к электронной почте, облачным хранилищам, CRM и внутренним системам», – отметил Павел Коваленко, руководитель центра по борьбе с мошенничеством.
Уменьшить угрозу возможно лишь путем изменения подхода к доверию. Компаниям следует оценивать не только домен в ссылке, но и поведение конечной страницы, присутствие полей для ввода логина, пароля, кодов MFA и платежных реквизитов, последовательность редиректов, а также возраст конкретного поддомена. В системе почтовой защиты нужно отдельно отслеживать ссылки на популярные веб-хостинги и платформы для быстрого развертывания приложений, не блокируя их полностью, но усиливая уровень проверки. С технической точки зрения важны строгие политики MFA с устойчивыми к фишингу методами, отслеживание подозрительных входов, ограничение сессий, запрет на повторное использование паролей и оперативный процесс блокировки скомпрометированных аккаунтов. Отдельный защитный контур должен предусматривать быструю подачу жалоб на вредоносные страницы в службы хостинг-платформ, так как скорость удаления таких страниц напрямую определяет масштаб возможного ущерба.
