С мая по июнь 2025 года злоумышленники массово применяют TOAD-атаки (Telephone-Oriented Attack Delivery). Фишинговые PDF с логотипами Microsoft, DocuSign, NortonLifeLock, PayPal и Geek Squad вынуждают жертв звонить на подконтрольные мошенникам VoIP-номера. По данным Omid Mirzaei из Cisco Talos, вложения содержат QR-коды, ведущие на фальшивые страницы входа, или ссылки-ловушки в аннотациях.
При звонке преступники имитируют службу поддержки, используя сценарии с удержанием линии и поддельными Caller ID. VoIP-номера часто действуют до 4 дней, усложняя отслеживание. Группа Luna Moth, о которой предупреждал ФБР в мае 2025-го, таким путём внедряет трояны, выдавая себя за IT-специалистов.
Отдельно эксплуатируется функция Microsoft 365 Direct Send: с её помощью атакующие рассылают письма без взлома учётных записей. С мая 2025 года пострадало 70 организаций. «Прямая отправка — привлекательный вектор для фишинга из-за простоты», — отмечает исследователь Varonis Том Барнеа. Например, 17 июня рассылали «уведомления о голосовой почте» с QR-кодами для кражи учётных данных.
Параллельно Netcraft выявил риски ИИ: 33% ответов LLM о страницах входа для 50 брендов ошибочны. 30% доменов не зарегистрированы — злоумышленники могут их захватить. Киберпреступники также отравляют GitHub, публикуя вредоносные API. Проект Moonshot-Volume-Bot перенаправлял транзакции Solana на кошельки атакующих через фальшивые репозитории.
Добавляет угроз SEO-отравление: через сервис Hacklink злоумышленники внедряют вредоносный код на скомпрометированных , манипулируя поисковой выдачей. Эндрю Себборн подтверждает: достаточно доступа к панели Hacklink, чтобы связать ключевые слова с фишинговыми ссылками. Это подрывает доверие к брендам и расширяет поверхность атак — от кражи данных до финансового мошенничества.
Изображение носит иллюстративный характер
При звонке преступники имитируют службу поддержки, используя сценарии с удержанием линии и поддельными Caller ID. VoIP-номера часто действуют до 4 дней, усложняя отслеживание. Группа Luna Moth, о которой предупреждал ФБР в мае 2025-го, таким путём внедряет трояны, выдавая себя за IT-специалистов.
Отдельно эксплуатируется функция Microsoft 365 Direct Send: с её помощью атакующие рассылают письма без взлома учётных записей. С мая 2025 года пострадало 70 организаций. «Прямая отправка — привлекательный вектор для фишинга из-за простоты», — отмечает исследователь Varonis Том Барнеа. Например, 17 июня рассылали «уведомления о голосовой почте» с QR-кодами для кражи учётных данных.
Параллельно Netcraft выявил риски ИИ: 33% ответов LLM о страницах входа для 50 брендов ошибочны. 30% доменов не зарегистрированы — злоумышленники могут их захватить. Киберпреступники также отравляют GitHub, публикуя вредоносные API. Проект Moonshot-Volume-Bot перенаправлял транзакции Solana на кошельки атакующих через фальшивые репозитории.
Добавляет угроз SEO-отравление: через сервис Hacklink злоумышленники внедряют вредоносный код на скомпрометированных , манипулируя поисковой выдачей. Эндрю Себборн подтверждает: достаточно доступа к панели Hacklink, чтобы связать ключевые слова с фишинговыми ссылками. Это подрывает доверие к брендам и расширяет поверхность атак — от кражи данных до финансового мошенничества.
