Disclaimer: название компании и детали изменены, но ситуация реальная. Пишу не хайпа, ради, а потому что таких историй сейчас становится слишком много.
Я работал руководителем ИТ в региональной сети стоматологических клиник: больше двадцати точек, около 250 сотрудников, CRM, 1С, почта, серверы, персональные данные пациентов, регулярные закупки оборудования и расходников. ИТ-отдел - два с половиной человека. Отдельного ИБ-специалиста не было, всё, что связано с безопасностью, автоматически ложилось на меня.
Почта — Exchange 2019, торчащий наружу. VPN для руководства «неудобно», двухфакторки нет, IMAP/SMTP включены, из защиты спаморез и антивирус. Классическая история.
Пробовал разворачивать бесплатный postfix+dovecot+roundcube - после Exchange руководству не зашло.
Когда в октябре 2025 Exchange 2019 перестал поддерживаться, я пошел к генеральному. Обозначил, что обновления больше не выходят. И что старый Exchange будет безопасным строго до появления новых уязвимостей, закрыть которые мы уже не можем. Понятно, что Exchange SE покупать никто даже не собирался, потому что дорого, сложно купить в РФ, да и платить надо постоянно. Смотрели Яндекс и Mail корпоративные решения - по функциональности ок, но начальство сразу сказало: никаких облаков, всё должно лежать у нас. Общий аргумент был простой: «Мы не Сбер. Кому мы нужны? Работает - не трогай. Денег нет».
Я пытался объяснять, что вопрос не в том, «ломятся к нам или нет», а в том, что при следующей серьёзной уязвимости мы просто останемся без патча. Напоминал историю с ProxyLogon, когда Exchange массово ломали. Без толку.
В конце января случилась история, после которой разговоры закончились.
Поставщик написал, что не получил деньги. При этом платёж на почти 10 млн рублей у нас прошёл, банк его исполнил. Бухгалтерия подняла переписку: там было письмо о смене реквизитов, согласование, финдир дал подтверждение. Всё выглядело абсолютно нормально - письмо в том же треде, тот же стиль, никаких подозрительных доменов.
Когда начали разбираться глубже, выяснилось, что скомпрометированы несколько почтовых ящиков - финдир, бухгалтер и ещё несколько сотрудников. Один точно попался на фишинг: письмо пришло от реального партнёра, у которого до этого угнали почту. Антиспам ничего не заметил.
По остальным логика такая: входы снаружи, один IP, пароли подобрали или утекли где-то раньше. Двухфакторки не было, поэтому зайти в ящик - вопрос техники.
Дальше всё по классике, но очень аккуратно. Люди сидели внутри переписки, ждали нужный момент, подменили письмо с реквизитами, удаляли ответы в ящике финдира, чтобы не палиться. Это не была примитивная схема с «срочно оплатите по новому счёту». Это была нормальная рабочая переписка, просто внутри неё уже находился посторонний. Деньги ушли на счёт однодневки.
После инцидента мы ещё раз проговорили всё то, о чём я говорил до этого: отсутствие 2FA, устаревшая версия почты, доступ снаружи, отсутствие нормального контроля входов, отсутствие процедуры подтверждения смены реквизитов по альтернативным каналам. Антивирус в таких сценариях не спасает - если злоумышленник уже внутри почты, он работает от имени сотрудников.
Через несколько дней мне предложили написать по собственному. Формально - ответственность за инфраструктуру. По факту - руководству нужен был стрелочник. Компания потеряла больше 10 млн рублей. Экономия на почтовом решении, из-за которой отказались от миграции, составляла около 700 тысяч в год.
Я не пишу это, чтобы обвинить конкретных людей или сказать, что «все ничего не понимают». Это типичная история. В малом и среднем бизнесе решения по ИТ до сих пор принимаются по принципу «работает — не трогаем», а безопасность воспринимается как лишняя статья расходов.
Проблема в том, что атаки давно перестали быть «про крупные банки». Сейчас автоматом сканируют всех: у кого торчит наружу почта, где нет двухфакторки, где слабые пароли. И как только находится компания, у которой есть деньги и нет процессов - туда заходят и спокойно работают.
Если у вас почта без 2FA, старый Exchange без поддержки и согласование платежей идёт только по email, вы не защищены. Вам просто пока везёт.