Киберпреступники давно уже не нацелены на сервера, они атакуют сотрудников. По данным компаний в сфере кибербезопасности (Positive Technologies , BI.Zone, ЦБ) социальная инженерия является основным вектором начального проникновения в корпоративные сети. На нее приходится не менее 60–70% от всех успешных атак на компании. Если раньше киберпреступников интересовали в основном финансовые организации и госорганы, то в 2025 году под удар попали промышленность, ритейл, IT-компании и логистика. Специалисты отмечают резкий рост так называемого «гибридного фишинга», когда комбинируются технические методы (вредоносное ПО) с глубокой социальной инженерией (звонки в поддержку, подделка голоса руководителя). Преступников все меньше интересует быстрая выгода, они готовы ждать месяцами, втираясь в доверие к сотрудникам. Причем зачастую традиционные методы защиты и обучающие курсы не работают. Почему? Разбираемся вместе с Ксенией Архиповой, консультантом по информационной безопасности RTM Group.
Фишинг новейшего времени
Современный киберзлоумышленник — талантливый психолог и аналитик. Он почти не использует массовые рассылки, сосредоточившись на точечных атаках. Рассмотрим популярные методы, которые используются против сотрудников компаний.
Претекстинг, или атака под легендой. Это не просто «звонок по скрипту». Это создание тщательно продуманного сценария. Злоумышленник заранее собирает информацию о компании, её внутренних процессах и даже об используемом сленге. Так, например, согласно отчету специалистов, в 2025 году наблюдался активный рост таргетированных атак через электронную почту. Атакующие использовали правдоподобные домены и реальные корпоративные события.
Вишинг и deepfake. Технологии ИИ вывели вишинг (voice phishing, «голосовой фишинг» — телефонное мошенничество, при котором злоумышленники используют звонки и социальную инженерию для кражи денег или личных данных) на принципиально новый уровень. Раньше можно было отличить мошенника по акценту, интонации или скрипту. Сегодня нейросети способны синтезировать голос человека всего за несколько секунд. Одной из главных схем является использование deepfake-аудио для имитации голосов ведущих лиц компаний. Например, менеджер может получить несколько звонков с указанием срочно перевести средства «для закрытия важной сделки». Голос, манера речи и даже легкий шум в трубке (имитация оживленного офиса) могут быть настолько убедительны, что жертва не всегда распознает обман. Такие атаки ломают даже двухфакторную аутентификацию, так как сотрудник сам, добровольно, совершает необходимые действия и предоставляет все данные. Еще два года назад мы фиксировали всплеск подобных схем, а в течение 2025 года, как отмечают эксперты, каждая пятая российская компания столкнулась с атакой deepfake.
Таргетированный фишинг через соцсети. Злоумышленники больше не гадают, где работает жертва. Они заходят в ВК, MAX и даже в телеграм-каналы, VK-каналы компании. Они изучают, кто с кем дружит, в каких проектах участвует, какие конференции посещает, какие вебинары проводит. И на основе полученных данных атакуют конкретного человека. Например, сотрудник отдела маркетинга публикует пост о запуске нового продукта. Через час он получает запрос в друзья от «известного отраслевого аналитика», который хочет взять комментарий для статьи. В ходе переписки, «аналитик» скидывает ссылку на «свою статью» в «Яндекс Документы», где необходимо авторизоваться через корпоративный аккаунт для просмотра. В это время логин и пароль уходят злоумышленнику.
Так, по данным компании F.A.C.C.T., в 2025 году было зафиксирована одна из самых масштабных фишинговых атак киберпреступной группировки TA558 на российские предприятия. Она заключалась в рассылке фишинговых писем, в которых содержался зараженный файл: при скачивании на устройстве жертвы запускалась программа Remcos RAT, что позволяло преступникам контролировать устройство жертвы.
Как распознать: от «кликни-не-кликни» к эмоциональному интеллекту
Для борьбы с фишингом большинство российских компаний проводит регулярное обучение персонала. Правда, традиционные тесты, такие как симуляция фишинга с письмами «Срочно смени пароль», учат сотрудников одному: не кликать на подозрительные ссылки. Но как такие уроки подготовят к звонку с deepfake-голосом руководителя? Очевидно, что никак. Чтобы быть эффективным, обучение должно сместить фокус с интерфейса на контекст. Рассмотрим некоторые действенные методики.
Сценарное обучение. Нужно перестать показывать слайды и начать разыгрывать «спектакли». Персонал необходимо погружать в реалистичные ситуации. Например, смоделировать ситуацию, в которой сотруднику звонит взволнованный коллега из филиала. У него срочная проблема с доступом к системе, он просит пароль, чтобы быстро проверить отчет для совета директоров. Многие «попадутся», наверное. Набор ситуаций должен быть разнообразным. Это тренирует не знание правил, а поведенческий рефлекс на аномалию.
Обучение распознаванию deepfake. Сотрудников нужно знакомить с технологией deepfake: показывать примеры синтезированных голосов, объяснять, на что обращать внимание (артефакты звука, неестественные паузы, просьбы повторить фразу). И внедрить железное правило, что любая финансовая или критическая операция, любой запрос на перевод денег или смену данных должен подтверждаться по альтернативному каналу связи (например, перезвонить руководителю на мобильный, который известен лично, а не на тот, с которого поступил звонок).
Психологическая устойчивость. Киберзлоумышленники давят на эмоции, используя страх, спешку, любопытство, желание помочь. Обучение должно включать модули по стрессоустойчивости и умению сказать «нет» или «я перезвоню позже» авторитетному лицу. Это сложно, но именно это останавливает атаку.
Все эти методики должны применяться в совокупности, чтобы подготовить сотрудников к различным сценариям атак злоумышленников.
PoLP: Минимальный доступ как мантра безопасности
Даже если психологическая атака удалась, и злоумышленник получил доступ к аккаунту сотрудника, система должна открыть ему только те данные, которые нужны для работы, и ни битом больше. Согласно исследованию SOLAR, количество утекших баз данных российских компаний в 2025 году значительно уменьшилось, но все равно остаётся достаточно высоким. Принцип наименьших привилегий (PoLP — Principle of Least Privilege) является страховкой в борьбе с киберпреступлениями.
Возникает потребность внедрения данной системы без вреда для бизнеса. Для этого стоит обратить внимание на:
- динамическое управление доступом: не просто выдавать права раз и навсегда, а применять систему, где доступ к критическим данным выдается по запросу, на ограниченное время и с обязательным обоснованием;
- ролевую модель разграничения доступа: четко разделить, что нужно бухгалтеру, а что — менеджеру по продажам. Зачем стажеру доступ к архиву сделок за 5 лет? Если сотрудник из отдела закупок вдруг ночью пытается читать HR-базу — система должна это заблокировать автоматически, даже если у него есть права (возможно, скомпрометированные);
- контроль действий, а не только входа: важно мониторить не только кто вошел, но и что он делает. Нужно обращать внимание на аномалии поведения. Например, скачивание всей базы клиентов в 3 часа ночи — явный маркер компрометации аккаунта, даже если пароль был введен правильно.
Заключение
Рынок курсов по информационной безопасности сегодня переполнен предложениями. Содержание 90% из них одинаковое: стандартные видеоуроки, презентации и тесты, которые давно не имеют ничего общего с реальными угрозами. Они способны подготовить сотрудника к атаке 2020 года, но не к той, что произойдет завтра.
Искусственный интеллект должен использоваться не только злоумышленниками, но и специалистами по обеспечению информационной безопасности. Системы поведенческой аналитики на базе машинного обучения способны выявлять аномалии в коммуникациях (нехарактерный стиль переписки, попытки перевода денег в нерабочее время) быстрее человека.
Не стоит забывать и про психологию. Обучение лучше строить не на запретах («не делай то»), а на понимании механизмов манипуляции. Сотрудник должен стать не просто болтом в системе, а критически мыслящим звеном периметра безопасности. Необходимо обучать персонал распознавать не только фишинговые ссылки, но и попытки психологического взлома.