Фишеры научились рассылать письма с настоящих адресов крупных компаний
В даркнете, по данным BI.ZONE Threat Intelligence, обнаружена платформа для массового фишинга, которая подставляет в поле отправителя реальные адреса известных организаций. Это уже не сценарий, где достаточно посмотреть на домен в строке «От кого».

Видимый From перестал быть опорной точкой
Суть схемы — спуфинг. Пользователь видит знакомый корпоративный адрес, имя компании и оформление, похожее на официальное письмо. Источник указывает, что инструмент рекламируется на теневых площадках как готовый сервис для массовых атак.
Отдельная деталь: платформа может автоматически собирать изображения с официальных сайтов, чтобы копировать логотипы, фирменный стиль и визуальные элементы писем. Это снижает ценность ручной проверки «на глаз». Домен выглядит настоящим. Логотип выглядит настоящим. Формат письма может быть близок к легитимному.
Типовые приманки остаются прежними: счета, уведомления службы безопасности, документы, предложения от подрядчиков, срочные просьбы подтвердить данные. Дальше — ссылка на поддельный сайт, вложение или запрос логина, пароля и банковских реквизитов.
Проверьте правила на шлюзе. Если разрешение завязано на отображаемое имя, домен в From или «известный бренд» без дополнительных признаков, это слабое место. Запретите автоматическое доверие к письму только потому, что оно визуально похоже на сообщение крупной компании.
PhaaS ускоряет сборку атак
Отдельно зафиксировано появление платформы фишинга как услуги Forg365. По данным BleepingComputer, она использует ИИ для создания убедительных страниц и обхода MFA. Подробностей в доступном фрагменте нет, поэтому вывод ограниченный: фишинг всё активнее уходит в модель сервиса, где злоумышленнику не нужно собирать всю цепочку вручную.
Для администраторов это означает рост однотипных, но быстро меняющихся кампаний. Не рассчитывайте, что шаблон письма будет грубым. Не рассчитывайте, что MFA само по себе остановит сценарий, если пользователь вводит данные на подготовленной странице.
Отдельный сигнал — атака с использованием бренда GIS DAYS, о которой сообщил ICT-Online.ru. Деталей в доступном фрагменте также нет, но сам паттерн совпадает: доверие к известному имени используется как транспорт для фишинга.
Та же логика применима к финансовым и криптовалютным темам: там пользователь часто сам ожидает писем о доступе, кошельках, биржах и подтверждениях операций. Поэтому базовые материалы про криптовалюту для начинающих полезно читать отдельно от писем с «срочными действиями» — не переходите к обучению, покупке или хранению активов из непроверенного сообщения.
Что проверить в почтовом контуре
Первое. Не обучайте сотрудников проверять только адрес отправителя. Этот совет больше не закрывает риск. Требуйте проверки ссылки, контекста запроса и любого требования срочно скачать файл, оплатить счёт или ввести данные.
Второе. Пересмотрите сценарии антифишинговых учений. По словам эксперта «Газинформсервиса», злоумышленники всё чаще целятся не в инфраструктуру «в лоб», а в конкретного сотрудника с доступом к ценным ресурсам. Мини-учения с разбором ошибок остаются рабочим способом снизить риск.
Третье. Учитывайте сезонность легенд. В источнике приведены примеры: цветы в марте, школьные ярмарки в августе, туристические предложения в мае. Для почтовой безопасности это не маркетинг, а словарь приманок. Обновляйте предупреждения для сотрудников до начала сезонного всплеска, а не после первых инцидентов.
Четвёртое. На стороне MTA и почтового шлюза отдельно проверьте, какие письма проходят из-за доверия к бренду, отображаемому имени или домену в видимом поле From. Логика должна быть жёсткой: внешний вид письма не является доказательством происхождения. Проверяйте технические признаки доставки, ссылки, вложения и поведение получателя после клика.
Главный практический вывод: фишинг с реальным доменом в поле отправителя ломает привычную пользовательскую эвристику. Поэтому контроль надо переносить ниже — в почтовую инфраструктуру, политики обработки, обучение и разбор конкретных сценариев.