600 млн кибератак за полгода, под ударом — финансы: названы основные схемы хакерских взломов
Финансовый сектор бьют по серверам, ритейл — по клиентам, ИТ — по базам
600 миллионов атак за полгода, прицельные удары по уязвимостям и разная логика взлома в каждой отрасли — отчёт за первую половину 2025 года показывает, что на рынке киберугроз хаос только на поверхности.
У каждой отрасли — свои уязвимости
Компания «Вебмониторэкс» опубликовала данные о веб-атаках на бизнес в России за первое полугодие 2025-го. Картина тревожная: более 600 миллионов атак было зафиксировано и заблокировано их системой. Но самое важное — не число, а распределение целей по отраслям.
Финансовый сектор чаще всего атаковали через RCE-уязвимости, в ИТ-компаниях основная проблема — SQL-инъекции, а онлайн-ритейл по-прежнему страдает от XSS-атак, в которых злоумышленники крадут пользовательские данные напрямую через интерактивные элементы сайта.
Главная жертва — финансы
Финансовые организации оказались главной мишенью: в среднем на один банк приходится 4,1 млн атак. Хакеров интересует серверная часть — конкретно уязвимости удалённого исполнения кода (RCE, 24% от всех атак на финсектор). Это наиболее опасный сценарий: при успешной атаке можно получить доступ к ИТ-инфраструктуре, внедрить вредоносное ПО и развернуть атаку дальше по сети.
«Реализовав RCE-атаку на онлайн-ресурсы банка, можно не только получить персональные данные клиентов и их счетов, но и совершать несанкционированные транзакции […] Такие атаки достаточно сложно реализовать, поэтому чаще всего за ними стоят хакеры с высокой квалификацией или даже APT-группировки», — поясняет Динко Димитров, руководитель продуктового развития «Вебмониторэкс».
Удар по подрядчикам: почему ИТ-компании под прицелом
ИТ-компании чаще всего атакуют через SQL-инъекции (20%) и бот-сканирование. В отчёте подчёркивается, что большинство атак направлено не на весь периметр, а на конкретные узлы — базы данных, API, конфигурационные файлы. Учитывая, что многие ИТ-компании обслуживают внешние организации, хакеры используют их как точку входа к конечной цели.
SQL-инъекции особенно опасны на фоне растущего спроса на аутсорсинг: подрядчики хранят чувствительные данные клиентов — от токенов до исходников.
Ритейл страдает от XSS — и это уже системно
Половина всех атак на онлайн-торговлю — XSS. Этот тип атак внедряет вредоносный скрипт в веб-интерфейс, чтобы перехватить действия пользователя: от ввода пароля до отправки платёжных данных.
«Чаще всего вредоносный код при XSS-атаке встраивается в интерактивные элементы сайта, которых в онлайн-магазинах достаточно много (строка поиска, отзывы, страница оплаты). К тому же обычному пользователю сложно заметить подмену контента и распознать фишинговую составляющую веб-приложения», — объясняет Динко Димитров.
Для маркетплейсов, e-commerce и всех, кто работает с динамическим контентом, это создаёт повышенную зону риска, особенно при высокой скорости обновлений и сложной структуре приложений.
70% взломов составляют всего 3 типа атак
Вне зависимости от отрасли, основными типами угроз в 2025 году стали:
- XSS-атаки — 25%
- внедрение кода (RCE) — 14%
- Path Traversal (обход путей в файловой системе) — 11%
Это три типа, на которые сегодня приходится почти каждая вторая атака на веб-приложения в стране. Они сложны, многоэтапны и часто не распознаются классическими системами защиты.
Что это означает для бизнеса
Хакеры работают не в лоб, а в профиль: для каждой отрасли — своя стратегия, своя цель и своя точка входа. Защита «по шаблону» не работает — нужно не просто ставить фильтры, а анализировать реальные сценарии атаки, которые актуальны именно для твоей индустрии. И судя по количеству осуществляемых атак, бизнесу лучше всерьез заняться собственной цифровой безопасностью.
Фото: Mika Baumeister / Unsplash
-
Партнёрский материал Онлайн-инкассация: как превратить наличную выручку в рабочий капитал 01 июня 2026, 10:00
-
Искусственный интеллект Цифровизация начинается не с ИИ: эксперты рынка — о том, почему для трансформации бизнеса нужно изменить мышление 03 июля 2026, 11:58
-
Бизнес Как DVD по почте превратился в стриминговую империю: история Netflix 17 июля 2026, 20:00
-
Личное Кристофер Нолан. Как режиссёр, которого не приняли в киношколу, снял фильмы со сборами свыше 6 млрд $ 17 июля 2026, 02:05
-
Личное Джуд Беллингем. Как сын полицейского из провинции вырос в игрока за 103 млн € 15 июля 2026, 20:16
-
Карьера Килиан Мбаппе. Как «диктатор» стал самым дорогим игроком «Реала» 14 июля 2026, 21:00
-
Деньги Дезире Дуэ. Как сын иммигрантов в 19 лет стал стоить 50 млн € 14 июля 2026, 17:59
-
Личное Лэй Цзюнь. Как создатель Xiaomi заработал 30,4 млрд $ на дешёвых смартфонах 13 июля 2026, 20:56
-
Бизнес Минфин может отменить УСН для торгового бизнеса — изменения затронут продавцов на маркетплейсах 17 июля 2026, 21:00
-
Автомобили За 14 лет средняя цена новых авто в России выросла в 3 раза — до 3,3 млн рублей 17 июля 2026, 20:00
-
Бизнес Объём средств россиян в сервисе «МТС Накопления» достиг 18,8 млрд ₽ — количество счетов выросло вдвое за полгода 17 июля 2026, 19:15
-
Автомобили Электромобили «Атом» начали передавать первым покупателям — заказчики получат машины до 15 октября 17 июля 2026, 18:35
-
Банки Банки попросили ЦБ ускорить принятие закона о мультибанкинге — технология объединит все счета в одном приложении 17 июля 2026, 16:40
-
Автомобили УАЗ планирует выйти на рынок Африки — «Буханка» и «Хантер» заинтересовали бизнесменов из Конго 17 июля 2026, 16:00
-
Автомобили В России начали продавать новый бюджетный кроссовер Suzuki Xbee — по цене от 1,46 млн ₽ 17 июля 2026, 14:30
-
Искусственный интеллект Совет Федерации одобрил закон об ИИ — разработчики смогут использовать авторский контент для обучения нейромоделей 17 июля 2026, 12:30