Российские промышленные предприятия подверглись сложной многоэтапной фишинговой атаке
В апреле 2026 года «Лаборатория Касперского» зафиксировала целевую фишинговую кампанию против производственных предприятий в России, Чехии, Малайзии и Египте. Атака продолжается по сей день.

Схема атаки
Потенциальной жертве приходит письмо на английском языке. Отправитель представляется заинтересованным покупателем, просит уточнить стоимость продукции или доступность для заказа. Легенда специфична для производственного сектора — запросы адаптированы под профиль предприятия.
Если получатель отвечает, во втором сообщении (или после серии уточняющих вопросов) ему высылают ссылку. По утверждению злоумышленников, по ней можно скачать файл с техническими требованиями к продукту. Ссылка ведёт на фишинговую страницу, имитирующую облачный сервис для работы с PDF-документами.
При нажатии кнопки «Скачать» отображается форма авторизации. В ней запрашивается корпоративная электронная почта и пароль — якобы для предотвращения несанкционированного доступа к файлу. На деле это перехват учётных данных. По словам эксперта «Лаборатории Касперского» Романа Деденка, атакующие используют ИИ-инструменты для генерации текстов писем и автоматизации процессов.
Практические действия
Проверьте корпоративную почтовую инфраструктуру на предмет текущих угроз:
- Настройте SPF, DKIM и DMARC на домене. Убедитесь, что политика DMARC установлена в
p=reject— без неё злоумышленники могут подменить отправителя в заголовках. - Проверьте PTR-записи для исходящих MTA. Корректный обратный DNS снижает вероятность попадания легитимных писем в спам.
- Включите агрессивную фильтрацию URL в антиспам-шлюзе. Ссылки на подменные облачные сервисы должны блокироваться на уровне MTA, до попадания в почтовый ящик.
- Запретите ввод корпоративных учётных данных на внешних страницах без верификации домена. Это можно реализовать через корпоративный прокси с категоризацией URL.
- Проведите инвентаризацию сотрудников, контактирующих с иностранными заказчиками. Именно они — первичные цели данной кампании.
Контекст и статистика
По данным Techora.ru, кибератаки на российские компании выросли на 68% в первом квартале 2026 года. Многоэтапные фишинговые кампании против промышленного сектора — часть этого тренда. Злоумышленники тщательно изучают специфику работы предприятий, адаптируют легенды под отраслевые процессы.
Отслеживайте:
- Входящие письма с незнакомых доменов на английском языке, содержащие запросы о продукции.
- Переходы сотрудников на страницы авторизации сторонних облачных сервисов — логируйте их через прокси.
- Попытки аутентификации с корпоративными учётными данными на внешних ресурсах.
# Проверка DMARC-политики на домене
dig TXT _dmarc.yourdomain.com +short
# Проверка SPF
dig TXT yourdomain.com +short | grep spf
# Проверка DKIM-ключа (selector — уточните у почтового администратора)
dig TXT selector._domainkey.yourdomain.com +shortЕсли DMARC-запись отсутствует или политика установлена в p=none — это открытая дорога для подмены отправителя. Настраивайте сегодня.