Ландшафт email-угроз Q1 2026: ключевые данные Microsoft

Введение

Анализ Microsoft по email-угрозам за Q1 2026 показывает, насколько быстро меняются тактики фишинга. Для IT- и security-администраторов отчет дает полезное представление о том, на чем злоумышленники сосредотачивают усилия и какие меры защиты следует приоритизировать в средах Microsoft 365 и Defender.

Что нового в Q1 2026

Microsoft Threat Intelligence обнаружила примерно 8,3 млрд фишинговых угроз по email в период с января по март 2026 года. Хотя общий ежемесячный объем немного снизился, несколько техник атак стали более сложными и эффективными.

Основные тенденции

• Фишинг с QR-кодами резко вырос — с 7,6 млн атак в январе до 18,7 млн в марте, что составляет рост на 146%.
• Фишинг на основе ссылок доминировал, составив 78% email-угроз в течение квартала.
• Вредоносные payloads составляли 19% атак в январе, а затем снизились до 13% в феврале и марте, что указывает на растущее предпочтение злоумышленников к размещенным фишинговым страницам вместо доставки через файлы.
• Business email compromise (BEC) оставался серьезной проблемой: в Q1 было зафиксировано 10,7 млн атак.
• Фишинг с CAPTCHA-проверкой продолжал развиваться, поскольку злоумышленники использовали поддельные шаги верификации, чтобы замедлить автоматизированный анализ и повысить доверие пользователей.

Влияние disruption Tycoon2FA

Microsoft также отметила эффект мартовского disruption платформы phishing-as-a-service Tycoon2FA в 2026 году. После скоординированных действий совместно с Europol и партнерами объем email-активности, связанной с Tycoon2FA, снизился на 15% до конца марта, а доступ к активным фишинговым страницам был значительно ограничен.

Хотя платформа адаптировалась, сменив hosting-провайдеров и шаблоны регистрации доменов, Microsoft отмечает, что восстановление выглядит частичным, а не полным возвратом к прежним возможностям.

Почему это важно для администраторов

Эти тенденции подтверждают, что фишинг по-прежнему в основном нацелен на кражу учетных данных, даже если способы доставки меняются. Фишинг с QR-кодами вызывает особую тревогу, поскольку может перенаправлять пользователей на неуправляемые мобильные устройства, обходя часть традиционных механизмов защиты, ориентированных на desktop.

Для администраторов Microsoft 365 и Defender этот отчет также служит напоминанием: операции по disruption важны, но они не устраняют угрозу полностью. Злоумышленники устойчивы и часто быстро меняют инфраструктуру после блокировок.

Рекомендуемые следующие шаги

• Проверьте меры защиты от фишинга с QR-кодами в email, вложениях и встроенных изображениях.
• Усильте защиту от AiTM-фишинга с помощью phishing-resistant MFA, где это возможно.
• Отслеживайте паттерны BEC, особенно примитивную impersonation-активность и общие сообщения массовой рассылки.
• Используйте средства обнаружения и hunting-инструменты Microsoft Defender для расследования фишинга на основе ссылок и подозрительной активности с payloads.
• Обучайте пользователей осторожно относиться к QR-кодам, экранам CAPTCHA и неожиданным запросам аутентификации.

Итог

Данные Microsoft за Q1 2026 показывают, что злоумышленники продолжают смещаться в сторону масштабируемого, основанного на ссылках фишинга для кражи учетных данных, одновременно экспериментируя с QR-кодами, обходом через CAPTCHA и более новыми методами, такими как device code phishing. Командам безопасности следует воспринимать эти выводы как сигнал усилить обнаружение, укрепить защиту identity и обновить программы повышения осведомленности пользователей.