С каждым годом атаки на бизнес всё чаще начинаются не с эксплойтов, а с логина и пароля. По данным eSentire, за последние два года количество инцидентов, связанных с компрометацией учётных записей, выросло на 156%. В первом квартале 2025 года они составили почти 60% от всех подтверждённых угроз.
Это заметный сдвиг: от атак на инфраструктуру — к атакам на идентификацию. И он уже влияет на то, как компаниям стоит выстраивать безопасность.
Фишинговые инструменты и вредоносное ПО, собирающее учётные данные, становятся всё доступнее. Один из заметных примеров — Tycoon2FA: платформа, которая помогает обойти двухфакторную аутентификацию путём перехвата токенов. Её используют в схемах «человек посередине» и применяют для атак на корпоративные аккаунты. Стоимость аренды — около 200–300 долларов в месяц.
Параллельно растёт популярность таких вредоносов, как Lumma Stealer — один из самых активных в 2024 и 2025 годах. Он собирает логины и пароли, сохранённые в браузере, токены, сессии, VPN-конфиги, данные из менеджеров паролей и другие чувствительные элементы, связанные с доступом. Всё это позже продаётся на подпольных платформах.
Проблема в том, что атака не заканчивается на краже логина — наоборот, она с этого начинается. Уже через несколько часов после компрометации могут появиться попытки использовать доступ в мошеннических сценариях: например, через подмену деловой переписки. В 2025 году такие атаки (BEC) составили 41% всех инцидентов — ещё год назад их было 25,6%.
Эти угрозы часто проходят незаметно для стандартных средств защиты. Вход в сеть происходит через знакомые каналы: VPN, корпоративные приложения, веб-доступ. Но логины при этом уже находятся под контролем злоумышленников.
Дополнительный риск создают слабые зоны наблюдения: неучтённые устройства, теневые ИТ-сервисы, доступ подрядчиков. Всё это — точки, через которые могут проникнуть атакующие, минуя привычные механизмы контроля.
География инфраструктуры тоже перестала быть индикатором: хотя 78% фишинговых атак идут с хостинга в США, фактические источники атак разбросаны по всему миру и маскируются с помощью VPN и прокси.
В таких условиях классические подходы к безопасности — периметр, антивирус, контроль входа по IP — становятся недостаточными. Даже многофакторная аутентификация больше не даёт гарантии. Сегодня злоумышленники умеют обходить её в реальном времени.
Поэтому многие организации пересматривают свою архитектуру доступа: вводят устойчивую к фишингу аутентификацию (например, FIDO2), переходят к Zero Trust-модели и усиливают мониторинг — в том числе за утечками в даркнете и аномалиями в поведении пользователей.
Сценарии атак становятся быстрее, доступнее и всё чаще проходят «по правилам» — без технических сбоев, но с последствиями. И если раньше безопасность строилась вокруг защиты инфраструктуры, то сейчас внимание смещается на контроль доступа. Потому что именно он всё чаще становится отправной точкой.
