За пределами корпоративного периметра формируется множество рисков для бизнеса. Только за 2025 г. специалисты BI.ZONE Digital Risk Protection обнаружили 179 тыс. фишинговых ссылок – и это лишь часть ландшафта угроз. Злоумышленники все чаще распространяют вредоносные мобильные приложения, наращивают объем мошеннического контента в мессенджерах и соцсетях, используют персонализированный фишинг. Посмотрим на самые распространенные сценарии, с которыми сталкиваются организации, и о том, как защищаться от угроз вне периметра.
Автор: Григорий Бершацкий, руководитель группы аналитиков BI.ZONE DRP
Рассмотрим пять кейсов из практики команды BI.ZONE Digital Risk Protection [1], которые иллюстрируют, что именно угрожает бизнесу за пределами корпоративной инфраструктуры.
Кейс 1. Ghost Invoice
Случай произошел с агрокомпанией. Организации из агро- и химической промышленности часто становятся целями мошеннических схем, не требующих прямого доступа к инфраструктуре. Их бизнес построен на широкой сети партнеров, поставщиков и дилеров, а значительная часть коммуникаций проходит по электронной почте. Это создает благоприятные условия для атак социальной инженерии. Одна из таких схем – Ghost Invoice (фиктивный счет), при которой злоумышленники имитируют деловую переписку и подменяют реквизиты для оплаты.
Ситуация. Злоумышленники регистрировали доменные имена, визуально похожие на официальный домен агрокомпании, и создавали на их основе ресурсы, имитирующие корпоративный сайт. На этих страницах размещались поддельные контактные данные: адреса электронной почты, формы обратной связи и иногда номера телефонов.
С помощью этих контактов мошенники вступали в переписку с клиентами и партнерами компании. Общение строилось так, чтобы максимально походить на обычные деловые коммуникации: обсуждались условия поставки, сроки оплаты и другие детали сделки. Когда клиент был готов к оплате, злоумышленники направляли ему счет с подставными банковскими реквизитами. После перевода средств мошенники прекращали общение и переставали отвечать на сообщения.
Финансовый ущерб в подобных схемах может быть значительным. Поскольку речь часто идет о B2B-контрактах, суммы счетов достигают сотен тысяч и миллионов рублей. Например, в одном из кейсов злоумышленники выставили жертве счет на 14 млн руб. При этом пострадавшей стороной оказывается не только клиент, который переводит деньги мошенникам, но и компания, чьим брендом прикрывается атака. На нее ложится репутационный ущерб: партнеры начинают сомневаться в надежности коммуникаций, а службе поддержки приходится разбираться с большим количеством обращений.
Решение. Чтобы выявлять подобные угрозы на ранней стадии, мы настроили мониторинг регистрации новых доменных имен, содержащих варианты написания бренда компании. Дополнительно проводилась проверка наличия MX-записей, которые используются для приема электронной почты.
Такой подход позволял выделять домены, потенциально предназначенные для мошеннической переписки. Даже если на них еще не был размещен полноценный фишинговый сайт, наличие почтовой инфраструктуры указывало на подготовку к атаке. Благодаря этому подозрительные ресурсы можно было обнаружить еще до начала массовых рассылок или переписки с клиентами.
Результат. Все выявленные домены оперативно передавались компании. На основе этой информации она могла вносить их в корпоративные черные списки, инициировать процедуру блокировки у регистраторов и предупреждать партнеров о возможных мошеннических схемах.
Такой проактивный подход позволил существенно сократить время между регистрацией мошеннического домена и его нейтрализацией. В результате снизились репутационные риски для бренда и уменьшилась вероятность того, что клиенты успеют столкнуться с поддельными ресурсами и перевести деньги злоумышленникам.
Кейс 2. Массовый фишинг, нацеленный на конкретных пользователей
Другой случай произошел с банком. Финансовые организации регулярно становятся целями фишинговых атак, поскольку злоумышленники могут напрямую монетизировать такие инциденты. При этом классические фишинговые кампании с одним доменом или ограниченным числом ссылок достаточно быстро выявляются и блокируются. Поэтому мошенники все чаще используют более скрытые и масштабируемые методы.
Ситуация. В данном случае злоумышленники применяли тактику массовой генерации уникальных фишинговых ссылок. Для каждого пользователя создавался отдельный URL, ведущий на страницу, имитирующую интерфейс банка. Такие ссылки распространялись через личные сообщения в социальных сетях.
Поскольку каждая ссылка была уникальной, традиционные механизмы обнаружения срабатывали хуже: блокировка одного адреса не влияла на остальные элементы кампании. В результате атака могла оставаться незаметной до тех пор, пока пострадавшие клиенты не начинали обращаться в банк. Это приводило к финансовым потерям и увеличивало нагрузку на службы безопасности и поддержки.
Решение. Для противодействия этой схеме специалисты BI.ZONE разработали алгоритм автоматического поиска фишинговых ссылок. Он анализировал характерные признаки таких URL и позволял выявлять целые серии мошеннических страниц, созданных в рамках одной кампании. Обнаруженные ссылки сразу передавались на блокировку.
Результат. Благодаря автоматизации удалось существенно сократить время между появлением фишинговых ресурсов и их блокировкой. Во многих случаях атаки удавалось обнаружить еще до того, как пользователи начинали массово обращаться в банк. Это позволило снизить финансовые потери и нагрузку на службы поддержки.
Кейс 3. Фейковые акции и сторонние сайты
Еще одна ситуация связана с крупной ретейл-компанией. Бренды с высокой узнаваемостью регулярно становятся объектом злоупотреблений со стороны мошенников, особенно в периоды активных маркетинговых кампаний, распродаж и сезонных акций. В такие моменты пользователи ожидают выгодных предложений и чаще переходят по ссылкам, связанным с акциями, что повышает эффективность подобных атак.
Ситуация. Злоумышленники создавали сторонние сайты, имитирующие страницы с акциями и специальными предложениями ретейл-компании. Такие ресурсы копировали элементы фирменного стиля, структуру страниц и тексты рекламных кампаний, из-за чего пользователи воспринимали их как официальные.
Переходя на такие сайты, клиенты могли оставлять личные данные, участвовать в фиктивных розыгрышах или совершать покупки, не получая обещанных товаров. При этом пользователи ассоциировали мошеннические ресурсы именно с брендом компании. В результате возрастало количество негативных отзывов и обращений в поддержку, снижалось доверие со стороны клиентов, а часть из них начинала уходить к конкурентам.
Решение. Для выявления подобных ресурсов специалисты BI.ZONE анализировали доменные имена и структуру URL, содержащие упоминания бренда или связанные с текущими маркетинговыми кампаниями. Дополнительно учитывался контекст распространения – например, появление ссылок в рекламе, социальных сетях и других публичных источниках. Это позволяло быстро обнаруживать новые мошеннические домены и инициировать их блокировку.
Результат. В ходе работы было выявлено и отправлено на блокировку более тысячи сайтов, использующих бренд компании для проведения мошеннических акций. Благодаря этому пользователи стали значительно реже сталкиваться с фейковыми ресурсами, снизился отток клиентов и сократились репутационные риски для компании.
Кейс 4. Атаки на пользователя с использованием бренда
Среди наших клиентов есть крупная E-Commerce-площадка. Подобные компании регулярно становятся целями фишинговых атак из-за большого объема онлайн-операций и высокой узнаваемости бренда. Для злоумышленников такие сервисы привлекательны тем, что пользователи привыкли совершать на них финансовые операции и реже сомневаются в подлинности интерфейсов и уведомлений.
Ситуация. Мошенники создавали сайты, визуально имитирующие отдельные элементы сервиса: страницы оплаты, авторизации или подтверждения заказа. Такие ресурсы распространялись через ссылки в мессенджерах, социальных сетях и на сторонних площадках. Переходя на них, пользователи вводили данные банковских карт или учетных записей, которые затем использовались злоумышленниками для хищения средств.
По мере распространения подобных схем число успешных атак начало расти. В службу поддержки площадки поступало все больше обращений от пользователей, столкнувшихся с мошенничеством, а на специалистов по реагированию легла дополнительная нагрузка. Одновременно снижалось доверие клиентов к платформе, поскольку они ассоциировали инциденты с ее брендом.
Решение. Для противодействия таким атакам была выстроена системная работа по поиску и отслеживанию мошеннических ресурсов. Специалисты BI.ZONE наладили постоянный мониторинг доменов и страниц, использующих элементы бренда и интерфейса площадки, а также ускорили процессы передачи таких ресурсов на блокировку.
Результат. В результате удалось существенно сократить как количество фишинговых ресурсов, так и медианное время их существования. Если ранее мошеннические домены могли работать несколько дней, то теперь их жизненный цикл составляет менее суток, а в большинстве случаев – всего несколько часов. Это позволило снизить число успешных атак на пользователей и уменьшить нагрузку на службу поддержки и команды реагирования.
Кейс 5. Утечки данных в публичных репозиториях
Еще один случай был связан с публичным репозиторием клиента. Открытые репозитории на площадках вроде GitHub или Postman все чаще становятся источником утечек учетных данных. Причиной обычно становятся ошибки конфигурации, публикация служебных файлов вместе с кодом или неосторожные действия разработчиков, когда в репозитории попадают ключи доступа, токены или пароли.
Ситуация. В ходе мониторинга открытых репозиториев специалисты BI.ZONE обнаружили публичную страницу, на которой были размещены действующие учетные данные для авторизации во внутреннем сервисе компании. Такие данные могли использоваться для доступа к рабочей инфраструктуре.
Опасность заключалась в том, что злоумышленники регулярно сканируют публичные репозитории в поисках подобных данных. Найденные учетные записи могли быть использованы для проникновения во внутренние системы компании, дальнейшего закрепления в инфраструктуре или кражи конфиденциальной информации.
Решение. Обнаруженная информация была оперативно передана компании для проверки. После подтверждения актуальности учетных данных организация немедленно отозвала доступы и провела необходимые действия по их замене.
Результат. Благодаря своевременному обнаружению утечки удалось предотвратить возможную компрометацию внутренних систем и избежать потенциального ущерба для компании. Этот случай показал, насколько важно регулярно мониторить публичные источники на предмет случайно опубликованных данных.
Итог
Организации из различных отраслей ежедневно сталкиваются с подобными ситуациями. Во всех приведенных кейсах атаки начинались за пределами корпоративной инфраструктуры – в доменных зонах, социальных сетях, публичных сервисах или открытых репозиториях. Поэтому традиционные средства защиты, ориентированные на внутренний периметр компании, часто не способны своевременно обнаружить такие угрозы. При этом последствия подобных атак могут быть вполне ощутимыми: финансовые потери клиентов, рост числа инцидентов, дополнительная нагрузка на службы поддержки и реагирования, а также репутационный ущерб для бренда.
Мониторинг внешнего цифрового пространства требует значительных технических и аналитических ресурсов: необходимо отслеживать регистрацию доменов, появление фишинговых страниц, мошенническую активность в социальных сетях и публикации в открытых источниках. Решения класса Digital Risk Protection (DRP) позволяют систематизировать эту работу, автоматизировать поиск угроз и интегрировать мониторинг внешнего периметра в повседневную деятельность команд безопасности и управления рисками.
Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjcF1ER7