Скрытых угроз в корпоративной почте стало больше

Специалисты BI.ZONE Mail Security подвели итоги первой половины 2025 г. В корпоративной почте зафиксирован значительный рост объема писем, отправленных в карантин. При этом доля писем, извлеченных оттуда пользователями, снижается. Эксперты отмечают: фильтры действуют точнее, а сотрудники компаний становятся осторожнее в работе с подозрительной корреспонденцией.

По данным BI.ZONE Mail Security, разрыв между попавшими в карантин и доставленными письмами продолжает увеличиваться. За первую половину 2025 года количество изолированных писем в корпоративной почте выросло в два раза по сравнению с первым полугодием 2024 года. При этом количество писем, которые пользователи извлекли из карантина, почти не изменилось. Это значит, что практически все указанные письма действительно представляют угрозу.

Особенно заметна динамика в финансовом секторе: фильтры заблокировали в 3,8 раза больше писем, а количество писем, извлеченных из карантина, снизилось в 2,3 раза. Почтовые фильтры стали точнее отделять потенциально вредоносную корреспонденцию, которую пользователи чаще оставляют без внимания: это снижает риски взаимодействия с угрозами.

В других отраслях наблюдаются схожие, хотя и менее резкие тенденции:

• Логистика: отправлено в карантин на 144% больше, осталось в нем — 99,99% писем.
• Строительство: отправлено на 144% больше, осталось — 99,59%.
• Промышленность: отправлено на 86% больше, осталось — 98,55%.

При этом специалисты BI.ZONE Mail Security отмечают, что снизилась эффективность первичных фильтров: доля писем, которые были заблокированы еще на этапе установки соединения, уменьшилась на 8% по сравнению с прошлым годом. Злоумышленники применяют все более изощренные методы: используют реальные, но скомпрометированные адреса, корректные заголовки и чистый HTML-код. Такие письма успешно проходят проверки SPF, DKIM и DMARC, поскольку выглядят полностью легитимными с точки зрения базовых механизмов аутентификации. В результате угрозы выявляются только на более поздних этапах анализа, что делает критически важными технологии поведенческого анализа и построения цифровых профилей сотрудников.

Параллельно с этим эксперты фиксируют рост доли писем с вредоносными вложениями. Их количество увеличилось на 25,8% по сравнению с первым полугодием 2024 года. Особенно заметный рост — в промышленности, где доля вредоносных вложений выросла с 0,35% до 1,08% (прирост на 208,6%). Нелегитимные ссылки часто содержат подозрительные домены или ведут не на указанный сайт, поэтому выявить их значительно проще, чем вредоносные файлы. Поэтому злоумышленники отказываются от прямых ссылок и подмены адресов отправителей, переходя к использованию зараженных файлов, маскирующихся под легитимные документы: счетов, договоров, технических спецификаций.

Также, по данным BI.ZONE Mail Security, количество фишинговых писем за первую половину 2025 года сократилось на 67% относительно аналогичного периода 2024 года. В транспортной и логистической отрасли доля массовых фишинговых рассылок снизилась на 78%, поскольку злоумышленники переходят к более скрытным и эффективным сценариям — вредоносным вложениям и BEC-атакам. Средства почтовой защиты должны учитывать это и не терять бдительности при проверке "обычных" сообщений.

Дмитрий Царев, руководитель управления облачных решений кибербезопасности, BI.ZONE: "Массовые фишинговые рассылки уступают место точечным атакам с использованием взломанных реальных ящиков и корректных доменов. Вложения и ссылки, содержащиеся в таких письмах, обходят простые сигнатурные фильтры, за счет чего атаки проходят первичные уровни фильтрации. В этой модели угроз возрастает значимость поведенческого анализа, сегментации трафика и обучения сотрудников для своевременного выявления инцидентов. При выборе системы защиты почты важно учитывать эти изменения, чтобы решения оставались актуальными с учетом эволюции методов атак".