Ежегодный отчёт Verizon Data Breach Investigations Report (DBIR) 2026 года зафиксировал сдвиг в тактике киберпреступников: атаки через мобильные каналы — SMS, голосовые звонки и обратные вызовы — стали эффективнее традиционного email-фишинга. Средний показатель переходов по ссылкам в симулированных мобильных атаках составил около 2%, тогда как в email-кампаниях — 1,4%. Разрыв в 40% выглядит скромно в абсолютных числах, но критичен в масштабе: отчёт охватывает более 31 000 реальных инцидентов и 22 000 подтверждённых утечек данных в 145 странах.
Причина уязвимости мобильного канала — психологическая. Пользователи годами обучались распознавать подозрительные письма: проверять домен отправителя, не кликать на странные ссылки, игнорировать просьбы срочно ввести пароль. Мобильный контекст другой: SMS и звонки воспринимаются как более личные и доверенные. Именно это эксплуатирует тактика, которую Verizon называет pretexting — выстраивание доверия перед атакой. Злоумышленник не рассылает тысячи одинаковых сообщений, а целенаправленно работает с конкретной жертвой: завязывает переписку, представляется коллегой или руководителем, и лишь после установления контакта просит изменить реквизиты платежа или передать доступ к системе. Социальная инженерия в целом стоит за 16% всех зафиксированных утечек.
| Канал атаки | Средний click-through rate | Доля в инцидентах |
|---|---|---|
| Email-фишинг | 1,4% | — |
| Мобильный фишинг (SMS, звонки) | ~2% | — |
| Социальная инженерия (все виды) | — | 16% всех утечек |
| Эксплуатация уязвимостей | — | 31% инцидентов |
| Украденные учётные данные | — | 13% инцидентов |
Параллельно отчёт фиксирует другой структурный сдвиг: впервые за историю DBIR эксплуатация уязвимостей в программном обеспечении (31% инцидентов) обогнала использование украденных учётных данных (13%) как основной точки входа в корпоративные системы. Verizon связывает это с применением ИИ на стороне атакующих: автоматизация сокращает время от обнаружения уязвимости до её эксплуатации с месяцев до часов. При этом лишь 26% критических уязвимостей, зафиксированных американским агентством CISA, были полностью устранены в 2025 году — против 38% годом ранее.
Мобильный фишинг (звонки, SMS) даёт click-through rate около 2% против 1,4% у email — разрыв 40%.
Отдельным риском в отчёте выделен shadow ИИ — использование сотрудниками неодобренных корпорацией ИИ-сервисов на рабочих устройствах. 67% работников прибегают к таким инструментам, нередко загружая в них исходный код, внутренние исследования и технические документы. По классификации Verizon, shadow ИИ занял третье место среди непреднамеренных угроз со стороны инсайдеров.
Для организаций выводы отчёта означают необходимость пересмотра программ обучения. Большинство корпоративных тренингов по фишингу сосредоточены на email и проводятся раз в год — формально, для «галочки». Мобильный вектор атак в таких программах практически не представлен, что создаёт слепое пятно именно там, где атакующие сейчас наиболее активны. Отдельный вопрос — политика BYOD (bring your own device): личные смартфоны сотрудников находятся вне корпоративного контроля, но нередко используются для доступа к рабочим системам. Verizon рекомендует компаниям либо ужесточить требования к таким устройствам, либо пересмотреть саму возможность подобного доступа.
