Найти в Дзене
Secure Defence - Ваша кибербезопасность
134 подписчика

Хакнули топ-менеджера по кибербезопасности: разбор целевой фишинговой атаки в 2026 году

10 мин
В работе центров мониторинга (SOC) за последний год наметился тревожный тренд: техническая сложность фишинговых кампаний выросла кратно. Если раньше атаки были похожи на массовый спам-рассылки, то сегодня это ювелирная работа с использованием легитимной инфраструктуры. В открытых источниках недавно публиковался разбор инцидента с топ-менеджером зарубежной компании в сфере кибербезопасности. Однако подобные схемы активно применяются и против российских организаций. Многие руководители до сих пор полагают, что их личная бдительность — достаточная защита. Практика показывает обратное: в состоянии многозадачности и усталости критический контроль притупляется у всех. Разберем анатомию современных атак подробно — на основе данных из публичных отчетов и опыта реагирования на инциденты.
В упомянутом зарубежном кейсе целью стал руководитель компании, разрабатывающей софт в сфере кибербезопасности. Это классический пример spear phishing — точечной охоты на крупные цели. Анализ открытых источни
Оглавление
Векторы атаки и точки входа
Векторы атаки и точки входа

В работе центров мониторинга (SOC) за последний год наметился тревожный тренд: техническая сложность фишинговых кампаний выросла кратно. Если раньше атаки были похожи на массовый спам-рассылки, то сегодня это ювелирная работа с использованием легитимной инфраструктуры.

В открытых источниках недавно публиковался разбор инцидента с топ-менеджером зарубежной компании в сфере кибербезопасности. Однако подобные схемы активно применяются и против российских организаций. Многие руководители до сих пор полагают, что их личная бдительность — достаточная защита. Практика показывает обратное: в состоянии многозадачности и усталости критический контроль притупляется у всех.

Разберем анатомию современных атак подробно — на основе данных из публичных отчетов и опыта реагирования на инциденты.

🎯 Целевой отбор: почему атакуют первых лиц


В упомянутом зарубежном кейсе целью стал руководитель компании, разрабатывающей софт в сфере кибербезопасности. Это классический пример spear phishing — точечной охоты на крупные цели.

Анализ открытых источников показывает: в подавляющем большинстве целевых атак последних двух лет злоумышленники используют данные из публичного пространства. Telegram-каналы, профили в деловых соцсетях, интервью, фотографии с мероприятий — всё это становится основой для кастомизации атаки.

По данным исследований, на подготовку атаки на конкретную персону сегодня может уходить до нескольких недель. Злоумышленники изучают круг общения, профессиональные интересы, текущие проекты жертвы, чтобы письмо не вызвало подозрений.

📨 Техника легитимизации:

как поддельные письма проходят проверку
В атаке, о которой идет речь, была применена технология множественных цифровых подписей DKIM. Для понимания: DKIM — это механизм, подтверждающий, что письмо действительно отправлено с заявленного домена и не было изменено в пути.

В данном случае злоумышленники добавили в письмо две подписи. Почтовый сервер, проверив их, счел письмо валидным. Это пример эксплуатации особенностей проверки: системы безопасности не всегда корректно обрабатывают сценарии с множественными подписями, принимая решение на основе первого успешного результата.

🔗 Использование доверенной инфраструктуры: кейс с сервисами вендоров


Ключевой элемент атаки — маскировка ссылки. Она вела не на заведомо мошеннический домен, а проходила через легитимный сервис перезаписи ссылок, предоставляемый крупным вендором (в данном случае Cisco). Такие сервисы используются для проверки репутации ссылок в корпоративной почте.

Злоумышленники пропустили вредоносную ссылку через этот сервис. В результате для всех систем защиты она выглядела как безопасная, прошедшая проверку крупного вендора. Это классический пример атаки через доверенную третью сторону.

🛡️ Многослойная защита на стороне атакующих


Финальная фишинговая страница размещалась за сетью доставки контента (CDN) Cloudflare. Это стандартный легитимный сервис, который маскирует реальный IP-адрес и провайдера хостинга.

Кроме того, перед загрузкой страницы проводилась проверка браузера. Если бы ссылка открывалась в изолированной среде (песочнице) для автоматического анализа, поддельная страница не активировалась бы, показывая пустой экран или редирект на легитимный сайт. Атака нацелена исключительно на реального пользователя с живым браузером.

🔐 Эмуляция легитимных сервисов


Сама фишинговая страница имитировала вход в Microsoft 365. Была воспроизведена анимация загрузки, характерная для реального интерфейса.

Но главная техническая деталь — страница проксировала запросы в настоящий Microsoft. После ввода логина и пароля фишинговый сайт отправлял их на реальный сервер аутентификации и, получив подтверждение, перебрасывал пользователя на настоящий Office 365. Жертва могла даже не заметить факта компрометации. По данным анализа инцидентов, подобные прокси-схемы встречаются в трети целевых фишинговых кампаний.

📱 Специфика фишинга в российском сегменте


В российской практике основными целями становятся учётные записи на портале Госуслуг, в системах ДБО банков и корпоративных порталах на базе отечественных платформ.

Важно понимать: государственные органы в рамках 152-ФЗ и иных нормативных актов, как правило, направляют официальные запросы на бумажных носителях или через защищенные каналы межведомственного взаимодействия, но не через ссылки в электронных письмах.

💣 Типовая ситуация: человеческий фактор

Дизайн письма и страницы входа полностью копируют оригинал. Наличие SSL-сертификата (значка "замочка") создает ложное чувство безопасности. В состоянии цейтнота сотрудник начинает вводить данные и лишь в последний момент замечает несоответствие в адресной строке.

Проверка whois показывает, что домен зарегистрирован накануне. Потенциальные последствия: компрометация учётной записи с доступом ко всей инфраструктуре мониторинга и данным клиентов. Риск был предотвращен только благодаря случайной паузе.

⚠️ Системные меры защиты: рекомендации на основе анализа инцидентов


На основе разбора множества атак можно сформулировать следующий перечень правил информационной гигиены и технических мер.

  1. Правило "нулевого доверия" к ссылкам. Критически важные ресурсы (порталы ДБО, Госуслуги, корпоративные системы) открываются только путем ручного ввода адреса в браузере. Переход по ссылкам из писем, даже от отправителей, которые кажутся легитимными, требует проверки.
  2. Парольная политика и менеджеры паролей. Использование уникальных сложных паролей для каждого сервиса — базовая необходимость. Применение менеджеров паролей (KeePass, LastPass и аналоги) позволяет не держать пароли в голове и не вводить их вручную на подозрительных страницах.
  3. Аппаратная многофакторная аутентификация (МФА). МФА обязательна. Однако важно понимать: существуют атаки с перехватом сессионных cookie, которые позволяют обойти МФА после того, как пользователь прошел аутентификацию. Наиболее защищенным методом являются аппаратные токены (USB-ключи), а не SMS или push-уведомления, подверженные перехвату и фишингу.
  4. Ручная проверка заголовков письма. Критически важные письма, особенно требующие каких-либо действий, рекомендуется проверять вручную. В свойствах письма можно посмотреть заголовки DKIM, SPF, DMARC и фактический обратный адрес (Return-Path), который может отличаться от отображаемого имени отправителя.
  5. Верификация домена. Необходимо обращать внимание не только на имя в ссылке, но и на её структуру. Например, домен второго уровня в адресе example.com.hack.ru — это hack.ru, а не example.com.
  6. Текстовый режим просмотра писем. Отключение HTML-форматирования в почтовом клиенте позволяет видеть «голые» ссылки и анализировать их без визуальных уловок.
  7. Блокировщики скриптов и рекламы. Расширения для браузера (uBlock Origin, NoScript) могут блокировать загрузку вредоносных скриптов на фишинговых страницах.
  8. Проверка SSL-сертификата. Наличие "замочка" и HTTPS (особенно с бесплатными сертификатами от Let's Encrypt) больше не является гарантией безопасности. Однако отсутствие безопасного соединения — явный признак угрозы.
  9. Регулярное тестирование сотрудников. Проведение внутренних фишинговых кампаний (с согласия руководства и в рамках политик безопасности) позволяет выявить наиболее уязвимые группы сотрудников и скорректировать программы обучения.
  10. Следование принципу "стоп-сигнала". Любое внутреннее ощущение дискомфорта или подозрительности должно быть основанием для остановки действий и дополнительной проверки, например, по телефонному звонку отправителю.

🏢 Рекомендации для руководителей и владельцев бизнеса
Современные средства защиты (EDR, XDR, SIEM) являются необходимой, но недостаточной мерой. Они бессильны, если легитимная учётная запись топ-менеджера с высокими привилегиями скомпрометирована.

Необходимые шаги:

  • Приведение парольной политики к стандартам. Пароли должны соответствовать требованиям ФСТЭК или хотя бы базовым принципам безопасности (длина, сложность, регулярная смена при наличии признаков компрометации).
  • Аудит безопасности мобильных устройств. Корпоративная почта на смартфонах — одна из наиболее уязвимых точек входа из-за меньшего экрана и специфики ввода.
  • Внедрение EDR-решений на всех узлах. Современные Endpoint Detection and Response (EDR) системы анализируют поведение процессов и могут откатить изменения или заблокировать подозрительную активность даже после ввода пароля на фишинговом сайте.
  • Сегментация сети и контроль привилегий. Учётная запись, с которой читают почту, не должна иметь прав на совершение финансовых транзакций или изменение конфигураций защитных систем.

❓ Ответы на частые вопросы по теме фишинга

  1. Что такое фишинговые атаки? Это вид мошенничества, при котором злоумышленники под видом легитимных организаций или лиц направляют пользователям сообщения, побуждающие перейти по ссылке и ввести конфиденциальные данные.
  2. Какие методы наиболее опасны? Целевой фишинг (spear phishing), атаки через мессенджеры и использование легитимных облачных сервисов для доставки вредоносных ссылок.
  3. Как распознать фишинговое письмо? Проанализировать фактический адрес отправителя (домен), визуально проверить ссылку (не кликая), обратить внимание на грамматические ошибки и эмоциональный окрас (требование срочных действий, угрозы).
  4. Почему антивирус может пропустить фишинг? Антивирусы работают на основе баз сигнатур. Фишинговый сайт может существовать несколько часов, и его адрес может не попасть в базы. Кроме того, ссылка часто идет через легитимные сервисы.
  5. Что делать, если данные введены? Немедленно сменить пароль в скомпрометированном сервисе (заходя на него напрямую, а не по ссылкам), включить МФА, проверить настройки пересылки почты и историю действий, сообщить в техническую службу компании.
  6. Защищает ли VPN? Нет. VPN шифрует канал, но не анализирует контент страниц и не предотвращает ввод данных на мошенническом сайте.
  7. Кто в зоне риска? Организации, работающие с большими объемами персональных данных (ритейл, финансы, медицина), объекты КИИ (энергетика), госсектор, логистические и IT-компании.
  8. Как защитить смартфон? Не переходить по ссылкам из SMS от неизвестных отправителей, использовать официальные приложения, регулярно обновлять ОС, не устанавливать приложения из непроверенных источников.
  9. Есть ли ответственность за фишинг? В УК РФ предусмотрены статьи 272 и 273 за неправомерный доступ к компьютерной информации и создание вредоносных программ. Однако привлечение к ответственности злоумышленников, использующих сложные методы анонимизации, затруднено.
  10. Как оценить стоимость защиты? Зависит от масштаба бизнеса. Базовый уровень включает почтовые фильтры и обучение персонала. Комплексная защита предполагает развертывание SOC, EDR и систем сбора данных об угрозах (Threat Intelligence).

🎯 Заключение


Анализ инцидентов последних лет показывает: фишинг трансформировался из примитивных рассылок в высокотехнологичные операции. Уровень подготовки атакующих позволяет им использовать легитимную инфраструктуру крупных вендоров и сложные технические приемы для обхода средств защиты.

Основные выводы:

  1. Уязвимость к фишингу — следствие не недостатка компетенций, а базовых особенностей человеческой психологии: усталости, доверия к знакомым брендам, реакции на срочность.
  2. Технические средства защиты являются фундаментом, но не гарантией. Критически важна поведенческая составляющая и отработанные процедуры проверки.
  3. Для руководителей приоритетом должно стать внедрение аппаратной МФА для ключевых сотрудников и регулярное, нетравматичное обучение персонала.
  4. Привлечение профильных специалистов для аудита и мониторинга позволяет получить актуальную картину угроз и выстроить адекватную защиту.

⚖️ Данный материал носит информационно-аналитический характер. Все выводы основаны на открытых источниках и не являются утверждением фактов, не подтверждённых официально. Материал не является юридической или технической рекомендацией. Любые решения принимаются читателем самостоятельно.

══════

Нужна помощь в оценке текущего уровня защиты?

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]
В рамках обращения предоставляется чек-лист для первичной проверки устойчивости к фишингу.

При проведении комплексного аудита информационной безопасности осуществляется анализ защищенности от фишинговых атак, тестирование вовлеченности сотрудников и подготовка отчета с рекомендациями по приведению системы защиты в соответствие с актуальными угрозами и требованиями регуляторов.

══════

Больше материалов: Центр знаний SecureDefence.