В 2025 году фишинг всё больше напоминает индустрию с собственными продуктами, обновлениями и «клиентской поддержкой». Новая волна фишинговых наборов — BlackForce, GhostFrame, InboxPrime AI и гибрид Salty-Tycoon — показывает, насколько масштабной и технологичной стала кража учетных данных.
По данным The Hacker News, эти инструменты уже используются для атак по всему миру и позволяют злоумышленникам действовать быстро, массово и почти незаметно. Речь идёт не об отдельных кампаниях, а о фишинге как сервисе — когда готовый набор можно взять и запустить без глубоких технических знаний.
Одним из самых опасных примеров стал комплект BlackForce. Исследователи Zscaler ThreatLabz зафиксировали его активное развитие и использование против известных брендов — от UPS и DHL до Disney и Netflix. Особенность BlackForce в том, что он реализует атаки типа «человек в браузере». Это позволяет перехватывать одноразовые пароли прямо в момент ввода и обходить многофакторную аутентификацию. Формально MFA включена, но на практике она перестает защищать.
Другой тревожный пример — GhostFrame. Исследователи Barracuda обнаружили, что в основе этого набора лежит на первый взгляд безобидный HTML-файл. Вся вредоносная логика спрятана внутри iframe, что позволяет скрывать фишинговую активность от средств анализа. Пользователя перенаправляют на поддельные страницы входа Google или Microsoft 365, а сам набор использует методы защиты от отладки и исследования, усложняя работу аналитиков.
Искусственный интеллект всё активнее проникает и в эту сферу. Набор InboxPrime AI, по данным Abnormal Security, автоматизирует почтовые атаки таким образом, что письма выглядят и ведут себя как написанные человеком. Алгоритмы подстраиваются под стиль переписки, время отправки и формулировки, одновременно обходя почтовые фильтры. В результате фишинговые письма всё чаще выглядят как часть обычного рабочего диалога.
Отдельного внимания заслуживает гибридный набор Salty-Tycoon, который изучили исследователи ANY.RUN. Его архитектура усложняет установление авторства и связи между кампаниями. Это ещё один шаг в сторону анонимности и усложнения расследований, когда отследить источник атаки становится крайне сложно.
На фоне этих событий исследователи Varonis также сообщили о новом наборе Spiderman, который использовался для атак на клиентов крупных европейских банков и финансовых организаций. Это подтверждает общий тренд: фишинговые инструменты становятся универсальными, легко адаптируемыми под разные отрасли и регионы.
Главный вывод здесь не в том, что «появился очередной опасный фишинг». Проблема глубже. Современные фишинговые наборы проектируются так, чтобы обходить технические меры защиты, имитировать легитимные процессы и масштабироваться без усилий. Это означает, что ставка только на фильтры, MFA и сигнатуры больше не работает.
В условиях, когда атаки выглядят правдоподобно, а инструменты становятся всё доступнее, ключевым элементом защиты остаётся изменение подхода — от реакции на инциденты к системной работе с рисками, процессами и поведением пользователей. Потому что фишинг нового поколения атакует не технологии. Он атакует доверие.