Производственные компании в России, Чехии, Малайзии и Египте столкнулись с целевой фишинговой кампанией, построенной под обычную деловую переписку с потенциальным покупателем. Атакующие не начинают с вложения и не требуют срочного платежа. Они пишут на английском языке, интересуются продукцией, уточняют цену или наличие товара, ждут ответа и только после этого отправляют ссылку на «техническое задание» или «требования к продукту».
«Лаборатория Касперского» сообщила об атаке 8 июля 2026 года на «ИННОПРОМ-2026». Кампания началась в апреле 2026 года и, по данным компании, продолжалась на момент публикации. CNews уточняет, что целью схемы стали корпоративные учетные данные сотрудников производственных предприятий.
Сценарий построен вокруг привычного для промышленности процесса: входящий запрос от потенциального заказчика, уточнение характеристик, обсуждение условий, ссылка на документы. Для отдела продаж, экспортного направления или технического специалиста такое письмо не выглядит странным. Производственные компании регулярно получают запросы на английском от подрядчиков, дилеров и покупателей из других стран.
Дальше жертва попадает на фишинговую страницу, которая копирует популярный облачный сервис для работы с PDF-документами. После нажатия на кнопку скачивания появляется форма входа. Пользователю предлагают ввести рабочую почту и пароль под предлогом защиты файла от несанкционированного доступа. На деле форма собирает корпоративные учетные данные и передает их атакующим.
Для производственного предприятия потеря учетной записи может открыть доступ к почте, внутренним документам, клиентским контактам, цепочкам поставок и переписке с реальными заказчиками.
APWG в отчете за первый квартал 2026 года фиксировала 1 003 924 фишинговые атаки, что стало крупнейшим квартальным показателем с конца 2023 года. Организация также указывала, что март 2026 года стал самым тяжелым месяцем по числу фишинговых атак с мая 2023-го.
Похожая логика прослеживается и в других атаках 2026 года. Microsoft в апреле описывала фишинговую кампанию с использованием авторизации по коду устройства: злоумышленники убеждали пользователей пройти легитимный механизм входа, получали токены доступа и обходили обычные ожидания вокруг многофакторной защиты. В кампании использовались элементы автоматизации и ИИ для масштабирования и правдоподобных сообщений.
Cloud Security Alliance приводила данные о резком росте фишинга через механизм device code: исследователи Push Security связали всплеск с коммерциализацией платформы EvilTokens, а одна кампания затронула более 340 организаций Microsoft 365 в США, Канаде, Австралии, Новой Зеландии и Германии, включая производственный сектор.
Kaspersky отдельно указывает, что атакующие все чаще используют ИИ-инструменты для подготовки текстов фишинговых писем и автоматизации отдельных этапов.
В этой атаке есть несколько маркеров. Новый контакт пишет из незнакомого домена, но сразу обсуждает коммерчески важные детали. Документ лежит не в привычном канале обмена файлами компании, а на внешней странице, похожей на облачный PDF-сервис. Скачивание внезапно требует ввести пароль от рабочей почты. Текст объясняет это «безопасностью файла», хотя нормальный сервис не должен просить корпоративный пароль на сторонней странице.
Kaspersky рекомендует повышать цифровую грамотность сотрудников, давать ИБ-специалистам свежие данные о тактиках атакующих, использовать почтовую защиту, которая отправляет подозрительные письма в спам, и применять комплексные решения для обнаружения и реагирования.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
Читайте также
DEBULL атакует Microsoft 365 без кражи паролей: фишинг ведёт пользователя на настоящий вход Microsoft и забирает токены доступа
GitHub Issue как ловушка для ИИ-агента: публичная задача может вытянуть данные из приватного репозитория