Эволюция фишинга: почему современные атаки обходят почтовые фильтры и как защитить домен
Phishing-атаки переходят на AI-генерацию контента, легитимные облачные сервисы и скомпрометированные корпоративные учётки. По данным Axios, распознавание таких писем штатными средствами почтовых клиентов стремительно деградирует.
Что изменилось в технике
Современная фишинговая рассылка опирается на четыре основных канала доставки: скомпрометированные бизнес-аккаунты, легитимные облачные платформы для хостинга форм, украденный визуальный брендинг и AI-сгенерированный текст. Сообщение приходит с валидной DKIM/SPF-подписью, потому что отправлено с реального ящика в том же домене — проверки протоколов фиксируют его как «своё». Наличие зелёной галочки DMARC не гарантирует легитимность содержимого. Самые эффективные письма имитируют руководителя, коллегу, подрядчика или знакомый бренд — социальная инженерия бьёт по доверию, а не по грамматическим ошибкам в заголовке.
Что настроить и проверить сейчас
Проверьте политику DMARC на основном домене и на служебных поддоменах mail., noreply., support., billing.. Любое значение `p=none` при активных rua-отчётах означает, что атакующий может слать от вашего имени без риска отказа в доставке. Переведите запись на `p=quarantine` с `pct=100`, затем — на `p=reject`. Включите `sp=reject` для поддоменов и `ruf` для судебных образцов.
Запретите автоматическую пересылку во внешние домены через транспортные правила Exchange/Postfix. Скомпрометированный ящик с активным форвардом на сторонний сервис — готовый канал эксфильтрации корпоративной переписки.
Зафиксируйте MFA на всех административных учётках. Аппаратный ключ или биометрия надёжнее TOTP из мобильного приложения, уязвимого при компрометации устройства.
Уберите у пользователей права локального администратора и ограничьте макросы в Office через GPO/MDM. Это рубит основной вектор доставки полезной нагрузки после клика по ссылке.
Что отслеживать
Контролируйте PTR-записи всех MX, маршрутизирующих входящую почту. Резкий рост писем с envelope-from, не совпадающим с header From при проходящем DMARC, — индикатор атаки на impersonation. Сверяйте header From с envelope-from через Sieve-фильтр или postfix header_checks и логируйте расхождения в SIEM.
Поддерживайте патч-менеджмент в актуальном состоянии. Устаревший браузер и непропатченный Outlook — входная точка для drive-by эксплойта после клика по фишинговой ссылке. Критические CVE должны закрываться сразу после релиза.
Применяйте принцип минимальных привилегий: пользователь получает только те права, которые необходимы для рабочих задач. Расширенные права на биллинг, CRM или ERP через почтовый ящик — вектор компрометации бизнес-систем при фишинге на учётку.
Проверьте состояние домена прямо сейчас: `dig TXT +short _dmarc.example.com`, `dig TXT +short example.com`, `dig TXT +short default._domainkey.example.com`, `nslookup -type=ptr mail.example.com`. Четыре запроса — полная картина SPF/DKIM/DMARC/PTR за десять секунд.