В 2025 году фишинговые атаки продолжают оставаться одной из самых серьезных угроз для организаций по всему миру. Примечательно, что современные киберпреступники все чаще отдают предпочтение методам, основанным на краже учетных данных, а не на эксплуатации программных уязвимостей. Согласно данным Verizon DBIR, именно фишинг и похищенные учетные данные сегодня являются основной причиной утечек данных.
Ландшафт угроз кардинально изменился. Злоумышленникам больше не нужно взламывать конечные точки или сети — достаточно просто войти в учетные записи жертв, чтобы достичь тех же целей. Ситуацию усугубляет тот факт, что современные организации используют сотни интернет-приложений для своих сотрудников. Особенно тревожным является распространение фишинговых наборов, способных обходить многофакторную аутентификацию, включая SMS, одноразовые пароли и push-уведомления.
Традиционные методы обнаружения фишинга сосредоточены преимущественно на электронной почте и сетевом уровне, используя шлюзы безопасности электронной почты (SEG) и прокси-серверы (SWG). Однако злоумышленники научились эффективно обходить эти меры защиты. Они постоянно меняют индикаторы компрометации — IP-адреса, домены и URL-адреса. Внедряют защиту от ботов с помощью CAPTCHA и Cloudflare Turnstile. Модифицируют визуальные элементы и структуру DOM для обхода сигнатур обнаружения. Запускают многоканальные и перекрестные атаки, а также обходят электронную почту, используя мессенджеры, социальные сети, вредоносную рекламу и доверенные приложения.
Показательным примером стала недавняя атака, когда злоумышленники, выдававшие себя за компанию Onfido, распространяли фишинговые ссылки через рекламу Google. Это наглядно демонстрирует, что решения, ориентированные исключительно на электронную почту, имеют серьезные ограничения в выявлении вредоносных страниц.
Браузерный подход к обнаружению фишинга имеет три ключевых преимущества. Во-первых, он позволяет анализировать страницы, а не просто ссылки. Современные фишинговые страницы представляют собой динамические веб-приложения с JavaScript, что делает статические проверки неэффективными. Черные списки быстро теряют актуальность, поскольку атакующие постоянно меняют индикаторы. Браузер же может наблюдать за полностью отрендеренной веб-страницей.
Во-вторых, браузер позволяет обнаруживать тактики, техники и процедуры (TTP), а не только индикаторы компрометации. Он предоставляет доступ к полному расшифрованному HTTP-трафику, отслеживанию взаимодействия пользователя, проверке на всех уровнях исполнения и полному доступу к API браузера. Это обеспечивает высокоточное обнаружение, основанное на поведении страницы и взаимодействии пользователя.
В-третьих, браузер позволяет перехватывать угрозы в реальном времени, а не постфактум. Традиционные решения обычно обнаруживают фишинг с задержкой. Стандартный процесс включает маркировку, расследование, создание индикаторов компрометации, их распространение и внедрение, что может занимать дни или недели. Браузер же обеспечивает наблюдение и перехват в реальном времени, до того как произойдет компрометация.
Решение Push Security реализует именно такой подход. Их расширение для браузера проверяет веб-страницы в реальном времени и обнаруживает повторное использование паролей, клонированные страницы входа на основе отпечатков легитимных сайтов и фишинговые наборы инструментов, работающие на веб-страницах. При обнаружении угрозы расширение блокирует взаимодействие пользователя с фишинговыми сайтами.
Эта эволюция напоминает развитие безопасности конечных точек. В начале 2010-х годов защитники использовали сетевые методы обнаружения атак на конечные точки, но затем появились решения EDR (Endpoint Detection and Response), обеспечивающие обнаружение в реальном времени на уровне операционной системы. Аналогичная эволюция необходима и для борьбы с фишингом — переход от внешнего обнаружения к внутреннему, непосредственно в браузере.
В условиях, когда киберпреступники постоянно совершенствуют свои методы, браузер становится последней и наиболее эффективной линией защиты против современных фишинговых атак. Именно здесь происходит непосредственное взаимодействие пользователя с потенциально опасным контентом, и именно здесь можно наиболее эффективно предотвратить компрометацию учетных данных.
Ландшафт угроз кардинально изменился. Злоумышленникам больше не нужно взламывать конечные точки или сети — достаточно просто войти в учетные записи жертв, чтобы достичь тех же целей. Ситуацию усугубляет тот факт, что современные организации используют сотни интернет-приложений для своих сотрудников. Особенно тревожным является распространение фишинговых наборов, способных обходить многофакторную аутентификацию, включая SMS, одноразовые пароли и push-уведомления.
Традиционные методы обнаружения фишинга сосредоточены преимущественно на электронной почте и сетевом уровне, используя шлюзы безопасности электронной почты (SEG) и прокси-серверы (SWG). Однако злоумышленники научились эффективно обходить эти меры защиты. Они постоянно меняют индикаторы компрометации — IP-адреса, домены и URL-адреса. Внедряют защиту от ботов с помощью CAPTCHA и Cloudflare Turnstile. Модифицируют визуальные элементы и структуру DOM для обхода сигнатур обнаружения. Запускают многоканальные и перекрестные атаки, а также обходят электронную почту, используя мессенджеры, социальные сети, вредоносную рекламу и доверенные приложения.
Показательным примером стала недавняя атака, когда злоумышленники, выдававшие себя за компанию Onfido, распространяли фишинговые ссылки через рекламу Google. Это наглядно демонстрирует, что решения, ориентированные исключительно на электронную почту, имеют серьезные ограничения в выявлении вредоносных страниц.
Браузерный подход к обнаружению фишинга имеет три ключевых преимущества. Во-первых, он позволяет анализировать страницы, а не просто ссылки. Современные фишинговые страницы представляют собой динамические веб-приложения с JavaScript, что делает статические проверки неэффективными. Черные списки быстро теряют актуальность, поскольку атакующие постоянно меняют индикаторы. Браузер же может наблюдать за полностью отрендеренной веб-страницей.
Во-вторых, браузер позволяет обнаруживать тактики, техники и процедуры (TTP), а не только индикаторы компрометации. Он предоставляет доступ к полному расшифрованному HTTP-трафику, отслеживанию взаимодействия пользователя, проверке на всех уровнях исполнения и полному доступу к API браузера. Это обеспечивает высокоточное обнаружение, основанное на поведении страницы и взаимодействии пользователя.
В-третьих, браузер позволяет перехватывать угрозы в реальном времени, а не постфактум. Традиционные решения обычно обнаруживают фишинг с задержкой. Стандартный процесс включает маркировку, расследование, создание индикаторов компрометации, их распространение и внедрение, что может занимать дни или недели. Браузер же обеспечивает наблюдение и перехват в реальном времени, до того как произойдет компрометация.
Решение Push Security реализует именно такой подход. Их расширение для браузера проверяет веб-страницы в реальном времени и обнаруживает повторное использование паролей, клонированные страницы входа на основе отпечатков легитимных сайтов и фишинговые наборы инструментов, работающие на веб-страницах. При обнаружении угрозы расширение блокирует взаимодействие пользователя с фишинговыми сайтами.
Эта эволюция напоминает развитие безопасности конечных точек. В начале 2010-х годов защитники использовали сетевые методы обнаружения атак на конечные точки, но затем появились решения EDR (Endpoint Detection and Response), обеспечивающие обнаружение в реальном времени на уровне операционной системы. Аналогичная эволюция необходима и для борьбы с фишингом — переход от внешнего обнаружения к внутреннему, непосредственно в браузере.
В условиях, когда киберпреступники постоянно совершенствуют свои методы, браузер становится последней и наиболее эффективной линией защиты против современных фишинговых атак. Именно здесь происходит непосредственное взаимодействие пользователя с потенциально опасным контентом, и именно здесь можно наиболее эффективно предотвратить компрометацию учетных данных.