Добавить в корзинуПозвонить
Найти в Дзене
Кибербезопасность для бизнеса

Фишинг и социальная инженерия: эволюция и меры защиты

1
5 мин
Фишинг остаётся ведущим вектором атак на корпоративные системы. По данным Verizon DBIR 2025, компрометация учётных данных и социальная инженерия входят в число основных причин успешных взломов. Современные тактики злоумышленников эволюционировали: от массовых рассылок с грамматическими ошибками до таргетированных атак с использованием искусственного интеллекта и дипфейков. Ниже разбираются актуальные методы фишинга, технические и организационные меры защиты, а также приводится чек-лист для построения эшелонированной защиты. Массовый фишинг. Классическая схема: миллионы писем с поддельными уведомлениями от банков, служб доставки и государственных органов. Расчёт на то, что небольшой процент получателей перейдёт по ссылке или откроет вложение. Сегодня такие письма лучше обходят спам-фильтры, копируя стилистику реальных уведомлений и используя легитимные сервисы рассылок. Целевой фишинг (spear phishing). Атака направлена на конкретного человека или компанию. Письмо содержит персональную и
Оглавление
Центральное изображение статьи. Изображение авторское, фон создан в Алиса AI
Центральное изображение статьи. Изображение авторское, фон создан в Алиса AI

Фишинг остаётся ведущим вектором атак на корпоративные системы. По данным Verizon DBIR 2025, компрометация учётных данных и социальная инженерия входят в число основных причин успешных взломов. Современные тактики злоумышленников эволюционировали: от массовых рассылок с грамматическими ошибками до таргетированных атак с использованием искусственного интеллекта и дипфейков. Ниже разбираются актуальные методы фишинга, технические и организационные меры защиты, а также приводится чек-лист для построения эшелонированной защиты.

Современные тактики фишинга

Массовый фишинг. Классическая схема: миллионы писем с поддельными уведомлениями от банков, служб доставки и государственных органов. Расчёт на то, что небольшой процент получателей перейдёт по ссылке или откроет вложение. Сегодня такие письма лучше обходят спам-фильтры, копируя стилистику реальных уведомлений и используя легитимные сервисы рассылок.

Целевой фишинг (spear phishing). Атака направлена на конкретного человека или компанию. Письмо содержит персональную информацию: имя, должность, название проекта, имена коллег. Эти данные злоумышленник собирает из открытых источников — LinkedIn, корпоративного сайта, соцсетей. Качество таких писем существенно выше, и отличить их от реальной деловой переписки сложно.

Whaling — охота на руководителей. Разновидность целевого фишинга, направленная на высшее руководство. Письма часто имитируют повестки, судебные запросы или срочные поручения. Успешная атака на CEO или CFO может привести к немедленному переводу крупной суммы или раскрытию стратегических данных.

Vishing — голосовой фишинг. Злоумышленник звонит жертве, представляясь сотрудником банка, службы безопасности или IT-поддержки, и пытается выманить пароль, код из SMS или данные банковской карты. Развитие технологий синтеза речи сделало возможными звонки с имитацией голоса конкретного человека — например, руководителя, отдающего срочное распоряжение.

Smishing — фишинг через SMS. Сообщение содержит ссылку на поддельный сайт или просьбу перезвонить. Расчёт на то, что к сообщениям пользователи относятся менее настороженно, чем к электронной почте.

Pretexting и baiting. Психологические приёмы: создание вымышленного сценария, в рамках которого жертва добровольно выдаёт информацию, или использование «приманки» — например, флешки, оставленной в офисе, которую кто-то из любопытства вставляет в компьютер.

Почему фишинг остаётся эффективным

Современные фишинговые атаки эксплуатируют базовые психологические механизмы: срочность, страх, авторитет, любопытство. Письмо с темой «Ваш аккаунт будет заблокирован через 2 часа» создаёт ощущение срочности и блокирует критическое мышление. Сообщение от имени руководителя вызывает автоматическое доверие. Файл с интригующим названием провоцирует любопытство.

Искусственный интеллект выводит эти техники на новый уровень. Генеративные модели позволяют создавать грамматически безупречные письма на любом языке, лишённые характерных признаков фишинга. Дипфейки аудио и видео дают возможность имитировать голос и внешность человека в реальном времени.

Технические меры защиты

На уровне почтовой инфраструктуры базовую защиту обеспечивают протоколы аутентификации электронной почты:

  • SPF (Sender Policy Framework) — указывает, какие серверы имеют право отправлять письма от имени вашего домена.
  • DKIM (DomainKeys Identified Mail) — добавляет цифровую подпись, подтверждающую подлинность письма.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) — задаёт политику обработки писем, не прошедших SPF и DKIM.

Корректная настройка SPF/DKIM/DMARC предотвращает подделку вашего домена в фишинговых рассылках и снижает вероятность того, что письма вашей компании будут попадать в спам у контрагентов.

На уровне конечного пользователя эффективны следующие меры:

  • Расширенные почтовые фильтры, анализирующие заголовки, тело письма, URL-адреса и вложения с помощью машинного обучения;
  • Изоляция браузера (browser isolation), при которой веб-страницы открываются в изолированной среде вне корпоративного устройства;
  • Ограничение макросов в документах Office и блокировка запуска скриптов из вложений — значительная часть фишинговых атак использует вредоносные макросы в документах Word и Excel.

Организационные меры и обучение персонала

Технические средства не дают абсолютной гарантии. Рано или поздно фишинговое письмо дойдёт до пользователя — и здесь вступает в действие главный рубеж защиты.

Чек-лист обучения и повышения бдительности:

  1. Проводить регулярные тренинги не реже раза в квартал с разбором реальных примеров.
  2. Использовать платформы симуляции фишинговых атак для объективной оценки уязвимости персонала.
  3. Обеспечить обратную связь без наказания: если сотрудник кликнул на симуляционное письмо, ему нужно сразу показать, как распознать подобное в будущем.
  4. Внедрить простой способ сообщения о подозрительных письмах — кнопка «Сообщить о фишинге» в почтовом клиенте.
  5. Включить фишинговые симуляции в ежемесячный план работы всех отделов.

Многоуровневая защита: эшелонированный подход

Эффективная защита от фишинга строится эшелонированно:

  • Первый эшелон: почтовые шлюзы с фильтрацией спама и вредоносных вложений.
  • Второй эшелон: обязательная многофакторная аутентификация — даже при компрометации пароля доступ будет заблокирован.
  • Третий эшелон: обученный сотрудник, способный распознать фишинг и сообщить о нём.

Каждый из этих эшелонов по отдельности может быть обойдён, но их сочетание существенно снижает вероятность успешной атаки.

Типовой сценарий: атака на региональный банк

Региональный банк со штатом около 500 человек пережил целевую фишинговую атаку. Злоумышленники отправили письма десяти сотрудникам бухгалтерии от имени финансового директора. Адрес был подделан, но имя отправителя совпадало с реальным. В письме содержалась просьба срочно оплатить счёт и ссылка на «новый регламент», ведущая на поддельную страницу входа в корпоративную почту. Трое сотрудников перешли по ссылке, двое ввели учётные данные.

Атаку заметили только через несколько часов, когда SOC обнаружил подозрительную пересылку писем внутри ящиков бухгалтерии. К тому моменту злоумышленники успели выставить несколько платёжных поручений. Банк потерял около полутора миллионов рублей, но избежал большего ущерба благодаря своевременной блокировке счетов.

После инцидента банк пересмотрел подход: настроил DMARC со строгой политикой, ввёл обязательную MFA для всех почтовых ящиков, развернул платформу симуляции фишинга и включил обучение в ежемесячный план работы. За год процент сотрудников, кликающих по симуляционным ссылкам, сократился в несколько раз.

Материалы канала ориентированы на специалистов по информационной безопасности и IT-руководителей. Подписывайтесь, чтобы получать актуальные методологии и разборы инцидентов.

Вопрос для обсуждения: Какие меры оказались наиболее эффективными против фишинга — технические фильтры или обучение персонала, и с какими проблемами сталкивались при их внедрении?