Еще десяток лет назад информационная безопасность в российских компаниях строилась достаточно тривиально: есть сеть, серверы, учетные записи сотрудников и есть периметр, который нужно держать под контролем. Основная логика сводилась к тому, чтобы не пустить злоумышленника внутрь и не допустить критических нарушений уже внутри инфраструктуры. Если в логах было тихо, считалось, что и с безопасностью в целом все в порядке. Но со временем информационная безопасность вышла за пределы этой модели.
Автор: Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
Первый сдвиг: онлайн как основной канал
Массовая цифровизация, развитие интернет-банкинга, маркетплейсов, онлайн-сервисов и государственных платформ резко увеличили долю операций, которые происходят вне физической инфраструктуры компании. Клиенты перестали приходить в офис – они теперь взаимодействуют через сайт, мобильное приложение, мессенджер и соцсеть.
И оказалось, что злоумышленнику стало необязательно проникать внутрь периметра. Достаточно создать ресурс, визуально похожий на оригинал, запустить рекламу или рассылку – и пользователь сам передаст деньги и данные. Фишинг в России очень быстро стал массовым и довольно агрессивным. Причем он развивался не только в виде поддельных сайтов, но и через мессенджеры, социальные сети, псевдослужбы поддержки и фиктивные акции.
Масштаб проблемы хорошо виден по статистике последних лет. По данным отраслевых исследований1, количество фишинговых атак в России в 2024 г. выросло примерно на 33% по сравнению с предыдущим годом и на 72% относительно 2022 г. При этом резко увеличилось и число мошеннических ресурсов: только за 2024 г. было обнаружено более 350 тыс. фишинговых сайтов, тогда как годом ранее их было около 210 тыс. Особенность таких кампаний – их крайне короткий жизненный цикл. Среднее время существования фишингового сайта составляет от нескольких часов до двух суток, а многие ресурсы закрываются или меняются менее чем за 12 часов после запуска.
Отдельным каналом атак в России стали мессенджеры, прежде всего Whatsapp и Telegram. Здесь мошеннические схемы распространяются через дипфейки, ботов и псевдослужбы поддержки. В отличие от классических фишинговых сайтов такие атаки часто не требуют даже отдельного домена – достаточно аккаунта или чат-бота, который имитирует коммуникацию с брендом.
Для многих компаний обращения клиентов стали первым сигналом о том, что угроза существует, причем существует вне их инфраструктуры.
Этап 2: злоупотребление брендами
Когда онлайн превратился в основной источник выручки, стало очевидно, что атака направлена уже не только на пользователя, но и на сам бренд как актив. Поддельные сайты, фейковые аккаунты, псевдоакции, мошеннические приложения – все это начало напрямую влиять на доверие потребителей, а следом и на финансовые показатели.
Российская специфика добавила к этому высокую скорость появления новых схем. Мошеннические ресурсы могли жить считанные часы, после чего появлялись их клоны. Использовались автоматические генераторы доменных имен, массовые рассылки и таргетированная реклама. Реактивная модель, основанная только на жалобах пользователей и ручной обработке кейсов, перестала работать. Постепенно компании начали выстраивать более системную работу с внешним цифровым пространством. Речь шла уже не о единичных блокировках, а о постоянном мониторинге того, что происходит вокруг бренда.
Этап 3: появление DRP
Масштаб внешнего цифрового риска подтверждается и статистикой утечек. По оценкам исследований2, в публичном доступе сегодня находятся десятки миллиардов скомпрометированных учетных записей, полученных в результате различных утечек и атак.
Дополнительную сложность создает скорость распространения мошеннического контента. По данным различных исследовательских центров, новые фишинговые домены могут появляться тысячами в сутки, а значительная часть атак строится на массовой регистрации доменных клонов, отличающихся от оригинального адреса всего одним-двумя символами. Тут уже недостаточно реагировать на отдельные инциденты, требуется постоянный мониторинг внешнего цифрового пространства и системная работа с цифровым следом бренда.
Именно в этой точке в российской практике начал формироваться полноценный подход к Digital Risk Protection. Стало понятно, что внешний цифровой контур – это не набор случайных инцидентов, а отдельная зона риска, которой нужно управлять так же системно, как и внутренней инфраструктурой.
DRP как система в российском контексте включает несколько ключевых направлений:
- Мониторинг доменов и фишинговых кампаний, в том числе массовых и краткоживущих.
- Анализ мошеннической активности в соцсетях и мессенджерах.
- Поиск утечек учетных данных и открытых экспозиций в публичных источниках.
- Контроль злоупотреблений брендом в рекламе, приложениях и на сторонних площадках.
- Выявление подготовительных этапов атак, которые могут привести к более серьезным инцидентам.
Стоит отметить, что подготовительная инфраструктура – важная особенность современных атак. Перед запуском фишинговой кампании злоумышленники часто регистрируют десятки или даже сотни доменных клонов, настраивают почтовые MX-записи, тестируют рекламные объявления и создают резервные площадки. В результате даже после блокировки одного ресурса атака может продолжаться на другой инфраструктуре. Именно поэтому современные системы DRP ориентированы не только на выявление уже работающих фишинговых страниц, но и на поиск инфраструктуры атак на ранних этапах.
При этом системы DRP перестали быть изолированными, а начали интегрироваться с SOC, антифродом и подразделениями, отвечающими за клиентский опыт. Внешние сигналы стали использоваться для обогащения внутренних расследований и для проактивного реагирования, а не только для последующей блокировки.
В зрелых программах DRP начинают использоваться и операционные метрики: время обнаружения мошеннического ресурса, медианная продолжительность его жизни, время до инициирования блокировки и доля автоматического обнаружения угроз.
Этап 4: управление внешним цифровым риском
Со временем фокус сместился от борьбы с отдельными мошенническими сайтами к управлению внешним цифровым риском в целом. Компании начали оценивать, насколько контролируем их цифровой след, как быстро выявляются новые угрозы и сколько времени живет мошеннический ресурс до блокировки.
В России это стало особенно актуально из-за высокой интенсивности атак и развитой социальной инженерии. Угрозы возникают ежедневно, масштабируются быстро и зачастую ориентированы на конкретные сегменты клиентов. В такой ситуации защита вне периметра стала постоянной операционной функцией, а не разовой инициативой.
Фактически изменилось понимание ответственности. Если раньше ИБ отвечала за целостность серверов и сетей, то теперь бизнес ожидает, что безопасность будет защищать и клиентский цифровой путь. Пользователь, потерявший деньги на поддельном сайте, не анализирует, где именно произошел сбой – внутри инфраструктуры или вне ее. В его восприятии ответственность лежит на компании.
Куда движется рынок?
Российский рынок сейчас движется в сторону более глубокой автоматизации и аналитики. Объем мошеннического контента растет быстрее, чем может обрабатывать любая команда вручную, поэтому без алгоритмического поиска, корреляции и приоритизации поддерживать эффективность становится невозможно. Одновременно усиливается связка DRP и антифрода, поскольку внешние атаки напрямую отражаются на транзакциях и финансовых потерях. Постепенно внешние цифровые риски начинают встраиваться в общую систему управления рисками компании, включая комплаенс и контроль подрядчиков.
На Западе схожая эволюция прошла немного раньше и сейчас все чаще оформляется в концепции External Attack Surface Management, где внешний цифровой след рассматривается как расширенная поверхность атаки. Российский рынок идет в том же направлении, но с учетом более высокой динамики мошенничества и особенностей локального цифрового ландшафта.
Учитывая, что значительная доля мошеннических атак на клиентов компаний происходят вне инфраструктуры самой организации, задача безопасности неизбежно расширяется: защита должна охватывать не только собственные системы, но и все внешнее цифровое пространство, в котором присутствует бренд.
В итоге Digital Risk Protection – это уже не модная опция и не нишевый сервис, а естественный этап развития ИБ в условиях, когда угроза нередко возникает и реализуется вне периметра. Сначала все защищали сеть, затем инфраструктуру, а теперь нужно вдобавок системно работать с цифровым следом и доверием клиентов как самостоятельным активом бизнеса.