Согласно исследованию, количество фишинговых атак продолжает расти: в 2024 году, по сравнению с 2023 годом, их количество выросло на 33%, а с 2022-го — на 72%. При этом считается, что на удочку мошенников попадаются только невнимательные или технически неподготовленные сотрудники. Рассказываем, почему это не так, а главное — что поможет построить эффективную защиту от фишинга.
Почему даже эксперты в ИБ становятся жертвами: три фактора
То, что жертвами фишинга становятся только неопытные пользователи — опасное заблуждение. Фишинг эксплуатирует не глупость или некомпетентность, а особенности человеческой психики и системные сбои в организациях. Все дело в трех факторах.
№ 1. Грамотный выбор момента атаки
Люди часто работают в условиях перманентной спешки, когда мозг, пытаясь экономить ресурсы, переходит на «автопилот». Большинство наших ежедневных действий выполняются на автомате. Когда сотрудник получает десятый за день запрос с просьбой «подтвердить учетные данные», формальные признаки мошенничества стираются усталостью и привычкой. Срабатывает автоматизм, а не критический анализ.
В одном из ведущих российских банков руководитель отдела ИБ сам кликнул на фишинговую ссылку. Письмо о «проблемах с VPN» пришло в разгар перехода на удаленку. Стресс и цейтнот взяли верх над профессиональными знаниями. Человек, проводивший тренинги по кибербезопасности, на мгновение перестал быть экспертом и стал просто уставшим сотрудником, который хочет быстро решить проблему.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
№ 2. Профессиональная социальная инженерия
Современный фишинг давно перестал быть примитивной рассылкой с безграмотными письмами. Сегодня это — высокопрофессиональная социальная инженерия, где мошенники бьют точно в цель, используя наши базовые эмоции и слабости. Перечислим самые распространенные:
- Страх упустить выгоду (FOMO). «Последний день подачи заявления на вычет», «Срочно активируйте бонусы!». Эти триггеры заставляют действовать немедленно, минуя анализ. Механика искусственного дефицита времени снижает критическое мышление.
- Давление авторитета. Имитация писем от первого лица в компании — мощнейший инструмент. Когда «гендиректор» требует что-то сделать «сегодня до конца дня», срабатывает рефлекс подчинения. Исследование Stanford University показало, что 41 % сотрудников выполнят инструкции из писем, которые кажутся отправленными руководством, даже если они нарушают стандартные протоколы безопасности.
В одной компании бухгалтер, находясь под таким прессингом, перевела мошенникам 1,5 миллиона рублей. Всего одно срочное письмо от «шефа». По данным ФинЦЕРТ Банка России, в 2022 году объем похищенных средств через социальную инженерию превысил 14 млрд рублей. И с каждым годом эта сумма продолжает расти.
- Бесплатность. Предложение «бесплатной» услуги или помощи создает психологическое обязательство ответить взаимностью — например, предоставив доступ к информации или системе.
№ 3. Качественная мимикрия под доверенный источник
Мошенники стали виртуозами в создании идеальных клонов, и наш мозг легко обманывают безупречно подделанные элементы доверия.
- Точные копии логотипов и фирменных стилей. Современные ИИ-инструменты позволяют автоматически генерировать фишинговые страницы, неотличимые от оригинала.
- Защищенные» соединения с HTTPS и зеленым замочком. По данным Anti-Phishing Working Group, более 90% фишинговых сайтов используют SSL-сертификаты, создавая иллюзию безопасности.
- Субдоменная мимикрия. Использование URL вида company-support.domain.com вместо официального company.com/support.
Известны случаи, когда хакеры, атакуя клиентов российских банков, создавали страницы, неотличимые от оригиналов вплоть до мельчайших деталей интерфейса и анимаций. При этом 90% фишинговых страниц существуют менее 24 часов, что затрудняет их блокировку.
Почему корпоративные систем защиты не всегда срабатывают
Из-за отсутствия реалистичных симуляций
Во многих российских компаниях обучение кибербезопасности сводится к просмотру презентации при устройстве на работу, подписанию регламентов, которые никто не читает. Это похоже на изучение плавания по учебнику без захода в воду.
Большинство организаций не тестируют свои системы защиты в реальных условиях. Между тем, мошенники научились не только давить на эмоции, но и мастерски подделывать внутренние сервисы: от корпоративного портала до систем электронного документооборота.
Пример. Сотрудники крупного розничного ритейлера проходили ежегодное обучение по информационной безопасности, но когда служба безопасности запустила первую тестовую фишинговую рассылку от имени HR-отдела с темой «Изменение порядка начисления премий», более 60% сотрудников ввели свои учетные данные.
Из-за культуры наказания за ошибки
Распространенная ошибка в российских компаниях — наказывать сотрудников за ошибки в сфере ИБ, в том числе за клики по фишинговым ссылкам. В результате люди предпочитают скрывать инциденты, а не сообщать о них.
Пример. В одной энергетической компании сотрудник, открывший фишинговое вложение, скрывал это две недели, опасаясь дисциплинарного взыскания. За это время вредоносное ПО распространилось по корпоративной сети, что привело к утечке конфиденциальных данных.
Из-за слишком сложных протоколов безопасности
«При подозрении на фишинг позвоните в отдел информационной безопасности, отправьте письмо со скриншотами, заполните форму инцидента…». Хочется ли ввязываться в эту историю? Чаще нет. Поэтому многошаговые инструкции по реагированию на угрозы часто игнорируют — людям просто некогда разбираться.
Пример. В одном из федеральных министерств разработали подробную инструкцию объемом 15 страниц по реагированию на подозрительные письма. За полгода сотрудники сообщили всего о трех подозрительных письмах, хотя тестовая фишинговая кампания показала, что их получают десятками ежедневно.
Как защитить себя и компанию от фишинга: три шага
Осознать, что угроза реальна — это только половина дела. Вторая, и главная задача — выстроить эффективную систему защиты. Однако внедрения технологических средств (фаерволов, антивирусов и систем мониторинга) недостаточно. Самый совершенный фильтр не сработает, если сотрудник добровольно передаст пароль в руки мошенника. Современный фишинг — это атака на психику, и противостоять ей можно только с помощью тренингов на реальных примерах.
Шаг 1. Тренируйте «иммунитет» регулярно, но без перегрузок
Мозг не запоминает скучные лекции раз в году. Он учится на практике. Ваша задача — превратить обучение в постоянный, но ненавязчивый процесс.
Что делать
Проводите микротренинги — короткие (на 5-10 минут) имитации фишинговых атак с немедленной обратной связью. Если сотрудник «клюнул», система сразу показывает, какие признаки должны были его насторожить.
Российский телеком-оператор, перейдя на еженедельные симуляции, сократил количество успешных реальных атак в 3 раза за год. Краткость и регулярность — вот ключ к успеху.
Шаг 2. Сделайте сообщение об угрозе делом одного клика
Не заставляйте сотрудников искать, кому переслать подозрительное письмо. Встройте защиту прямо в их рабочий поток.
Что делать
Добавьте в интерфейс корпоративной почты (например, Outlook) кнопку «Сообщить о фишинге». Она должна быть на видном месте.
Один из ведущих российских банков внедрил такую кнопку и получил в 5 раз больше сообщений о подозрительных письмах за первые же месяцы. Это позволило заблокировать десятки опасных писем до того, как они нанесли ущерб.
Шаг 3. Анализируйте провалы, чтобы предотвращать новые атаки
Любая успешная фишинговая атака, даже учебная — это не повод искать виноватого, а бесценный источник данных.
Что делать
Внедрите культуру анонимных разборов полетов. Собирайте фокус-группы из тех, кто «попался», и детально разбирайтесь: «Что в этом письме заставило вас довериться? Какой момент был решающим?». Такой подход превращает каждого сотрудника из потенциальной «жертвы» в активного участника системы безопасности. Вы не наказываете за провал, а используете его для укрепления обороны.
IT-компания из Новосибирска, перейдя на такую модель, получила неожиданные инсайты. Оказалось, сотрудники чаще всего кликали на ссылки в письмах, имитирующих внутренние сервисы, из-за привычки и усталости. Главным же результатом стало снижение количества успешных фишинговых атак вдвое за год. Когда люди перестали бояться наказания, они стали охотнее делиться ошибками, а ИБ-отдел — получать реальную картину уязвимостей.
Как проверить уязвимость компании к фишинговым атакам
Анализ методами социальной инженерии
Услуга помогает проверить осведомленность сотрудников в сфере ИБ, принять решение по построению системы обучения в компании.
Эксперты изучат особенности компании и разработают сценарии фишинговых атак, проведут их и проанализируют результаты.
Выполняя анализ методами социальной инженерии специалисты Контур.Эгиды ориентируются на поиск и реализацию недопустимых событий:
- получение доступа во внутреннюю инфраструктуру;
- компрометация информации ключевых сотрудников;
- утрата конфиденциальных документов.
Клиент получит отчет о векторах и результатах атак, а также рекомендации по устранению обнаруженных недостатков.
Чтобы понять, насколько защита данных в вашей компании соответствует требованиям законодательства, обратитесь в «Безопасность» от Контур.Эгиды.
Эксперт проведут аудит и дадут рекомендации по организации ИБ в вашей компании.