Киберпреступники постоянно совершенствуют методы социальной инженерии — и активнее используют для этих целей возможности нейросетей и фишинга (а еще вишинга, квишинга и прочего бейтинга). Мы в beeline cloud решили поговорить об этой угрозе и о том, как защитить сотрудников, не добавляя при этом головной боли ИТ-отделу.

Теория обмана
Фишинг остается одним из самых распространенных видов кибератак. По данным «Лаборатории Касперского», в 2024 году число фишинговых атак в мире выросло на 26% по сравнению с 2023-м — до 893 млн случаев. В России ситуация еще тревожнее: за прошлый год количество фишинговых атак увеличилось на 425%.
Только за 2024 год в России заблокировали более 22 тыс. фишинговых сайтов. Злоумышленники копируют интерфейсы банков, сервисов доставки и онлайн-магазинов. Также популярны ресурсы с рекламой фейковых инвестиций, на которых жертвам предлагают вложить деньги в «перспективные высокодоходные активы», и поддельные сайты бронирования отелей и авиабилетов.
Сотрудники компаний тоже попадают в ловушки мошенников и становятся слабым звеном в системе корпоративной кибербезопасности. Злоумышленники рассылают поддельные письма от имени руководства, содержащие вредоносные ссылки или вложения. Так, в 2023 году D-Link столкнулась с утечкой данных из-за успешной фишинговой атаки на одного из работников. И хотя в компании заявили, что инцидент не повлек серьезных последствий, хакер утверждал обратное: по его словам, ему удалось похитить исходный код сетевого ПО, а также персональные данные клиентов, сотрудников и топ-менеджмента.
Большинство фишинговых атак на организации происходит именно через электронную почту. При этом мошеннические сообщения все чаще маскируют под ответы на письма коллег и просят переслать «важную» информацию другим потенциальным жертвам. Чтобы подготовить достоверно выглядящее сообщение, злоумышленники изучают стиль общения внутри компании — необходимую информацию нередко предоставляют рекрутеры: 94% из них рассказывают о корпоративной культуре в социальных сетях.
Кроме того, киберпреступники активнее используют системы ИИ для подготовки аутентично выглядящих писем. В сентябре прошлого года специалисты Европейского центра цифровых инноваций провели эксперимент в небольшой производственной компании, штат которой насчитывал 28 человек. С помощью ChatGPT исследователи составили реалистичное письмо от имени одного из коллег, в котором просили ознакомиться с проектом на Google Drive. Ссылка вела на фишинговый ресурс — и тест показал, что 75% сотрудников на неё кликнули.
Разумеется, фишинг — лишь один из инструментов социальной инженерии; существуют и другие.
Вишинг (голосовой фишинг). Злоумышленники по телефону выманивают конфиденциальные данные или вынуждают жертву выполнить нужные им действия. Известен случай, когда злоумышленник под видом сотрудника ИТ-отдела компании звонил жертве и убеждал ее в необходимости «решить проблему с VPN». Он присылал ссылку на фальшивую страницу входа в корпоративную сеть, которая, после того как пользователь вводил логин и пароль, перенаправляла его на настоящий VPN-портал. Жертва даже не подозревала, что учетные данные украли.
Квишинг. Это — фишинговая атака с использованием QR-кодов. Жертва сканирует код, полученный якобы от банка, госоргана или партнерской организации, и попадает на вредоносный сайт. Чаще всего цель таких схем — похитить деньги или конфиденциальные сведения, хотя могут быть и другие намерения.

Бейтинг. В этой разновидности фишинга жулики используют физические или цифровые «приманки», чтобы заставить жертву совершить определенные действия. Один из сценариев подразумевает проведение атаки BadUSB. Хакеры оставляют зараженные USB-накопители в общественных местах (или пересылают их в почтовых посылках) в надежде, что кто-то из любопытства подключит их к рабочему компьютеру. Так, в 2020 году эксперты американской ИБ-компании Trustwave описали инцидент, когда в офис одной гостиничной фирме прислали подарочную карту магазина BestBuy с вредоносной флешкой. К «подарку» было приложено письмо: его автор предлагал вставить накопитель в компьютер и изучить список акционных товаров. Однако на флешку был записан скрипт, который регистрировал инфицированный хост в C&C и пересылал данные об операционной системе, уровне привилегий пользователя и запущенных процессах.
А еще есть «Китовая охота» (whale phishing) — разновидность фишинга, которую часто выделяют в отдельную категорию. Она подразумевает целевые атаки на руководителей компаний. Как сообщает The Straits Times, в начале 2025 года финансовый директор сингапурской фирмы едва не лишился 670 тыс. долларов из-за фишинг-атаки с применением дипфейк-технологий. Мошенники сымитировали голоса и внешность топ-менеджеров во время видеозвонка, чтобы убедить жертву перевести средства на подконтрольный им счет.
Еще один показательный случай произошел с австралийским хедж-фондом Levitas Capital. Злоумышленники прислали соучредителю Майклу Фагену фальшивое приглашение на Zoom-конференцию. После на компьютер жертвы загрузилось вредоносное ПО, которое открыло хакерам доступ к корпоративной почте. От имени руководства они разослали поддельные платежные поручения почти на 9 млн долларов. И хотя большую часть транзакций удалось заблокировать, фонд потерял 800 тыс. долларов, что привело не только к финансовому урону, но и к репутационному кризису — ключевой инвестор вышел из бизнеса, и фонд был вынужден прекратить деятельность.
Игра на опережение
Бороться с фишингом и атаками на основе социальной инженерии можно различными методами. Есть технические меры, такие как почтовые фильтры, автоматически блокирующие подозрительные письма. Есть меры организационные — внедрение ИБ-политик и процедур реагирования на инциденты минимизирует риски и снижает потенциальный ущерб, который может нанести фишинговая атака.
Но поскольку фишинг основан на методах социальной инженерии, то и бороться с этой угрозой необходимо на уровне человеческого фактора — путем повышения компьютерной грамотности персонала, ознакомления с основами кибергигиены и регулярных тренировок по распознаванию угроз. Так, в финской компании Hoxhunt, занимающейся разработкой ПО для обучения кибербезопасности, изучили результаты 50 млн симуляций фишинговых атак в организациях по всему миру, а также миллионы реальных вредоносных писем, полученных пользователями в 125 странах.
Специалисты пришли к выводу, что всего за полгода регулярных тренировок сотрудники начинают выявлять фишинговые атаки в шесть раз эффективнее. А количество инцидентов в компании сокращается на 86%.
При этом важно, чтобы обучение охватывало всех сотрудников — от рядовых клерков до менеджеров. При этом эффективность методов обучения может варьироваться в зависимости от аудитории и формата подачи. Два года назад исследователи из Лейденского университета в Нидерландах провели метаанализ, чтобы определить наиболее действенные подходы к подготовке пользователей. В рамках исследования они систематизировали данные, изучив 142 вайтпейпера, которые отобрали по ключевым словам: «кибербезопасность» и «обучение». Методы, описанные в статьях, тестировались на фокус-группах, включавших сотрудников компаний, студентов и обычных интернет-пользователей, а их эффективность оценивалась через опросы и практические тесты.
Результаты анализа показали, что наиболее перспективными оказались методы с элементами геймификации. Интерактивные симуляции помогали участникам лучше запоминать правила кибербезопасности и применять их в реальных ситуациях. Например, в одном из исследований обучающимся надо было правильно идентифицировать как можно больше фишинговых сообщений. В других симуляциях от участников требовали проверять URL-адреса и вложения на признаки подмены.
В то же время ученые отметили, что классические форматы обучения — лекции, разбор теоретической базы — остаются востребованными и показывают достойные результаты. Ряд проанализированных исследований подтвердил, что такой подход не только повышает уровень знаний, но и способствует формированию культуры кибербезопасности внутри коллектива.
Обучить коллег кибербезу
Мы в beeline cloud поддерживаем идею с обучением сотрудников и предлагаем услугу Cloud Security Awareness (SA). Это — платформа, которая позволяет создавать и проводить обучающие курсы по основам ИБ с последующей проверкой знаний. Разработанные курсы можно назначать конкретным сотрудникам, группам, целым отделам или подразделениям. Кроме того, система дает возможность проводить учебные атаки.
Мы помогаем сформировать и отправить «фишинговые» письма сотрудникам. Можно настраивать различные сценарии: например, письма от «банка», «коллег» или «руководства», что приближает тренировочный процесс к реальным сценариям. После собираем подробную статистику и глубокую аналитику по результатам проверки: кто перешел по ссылке, ввел данные или, наоборот, распознал угрозу. Оценив устойчивость сотрудников к фишингу, можно выявить наиболее уязвимые подразделения и персонализировать обучение для них. Система умеет автоматически назначать курсы по настроенным сценариям и отслеживать прогресс.

В целом Cloud SA помогает организациям повысить уровень осведомленности сотрудников о киберугрозах. Регулярные тренировки и обучение позволяют сотрудникам выработать «иммунитет» к фишингу, что в долгосрочной перспективе защищает бизнес от финансовых и репутационных потерь. Если у вас есть вопросы, или вы желаете протестировать сервис — напишите нам, и мы предложим решение.
beeline cloud — secure cloud provider. Разрабатываем облачные решения, чтобы вы предоставляли клиентам лучшие сервисы.
Lordbander
И что? я кликаю по таким ссылкам, и изучаю развод. В каком моменте и когда попросят денег или перс.данные. Увлекательное занятие.
Просто из-за вашего ФОТ вы набираете всех подряд. А потом устраиваете обучалки, для идиотов. И причем каждому, каждый год, даже супер-спецам, так, для галочки.
dmitrykabanov
В мессенджерах тоже всякие апк тапаете?
Lordbander
Ну учитывая, что на Iphone .apk не установятся. Нет не кликаю.
Мы на площадке, где люди в IT хоть чуть-чуть да разбираются.
Прилетают и фишинг, и вообще много интересного. Вот только открываю я все это исключительно на компе, через домашний интернет, в относительно изолированной среде.
Опыт, когда, на объекте попросили скачать что-нибудь из музыки (речи), чтобы запустить и проверить систему оповещения о пожаре. Я раздал с мобилы интернет и на первом же сайте (через ноутбук) словил подписку на какой-то сервис. Мне хватило.
dmitrykabanov
Сотрудники компаний только не все на айти площадке и не всегда разбираются. Наверное поэтому фишинг работает
Lordbander
Я бы сказал, что фишинг очень изобретателен, а инструкции и обучалки, на уровне AnyKey - не переходите...
Придет тебе письмо с адреса do0.beeline.support.ru или beeline.support.do0.ru, вроде обе фишинговые. Однако у саппорта и правда отдельный домен.
З.Ы. Не в коем случае не хочу наехать именно на Билайн. Это у всех ОПсосов большой четверки. Пример был исключительно примером, а столкнулся я так, толи с банком каким, или провайдером. Но - домен был реальный. 100 раз проверил, думал Фишинг. Не поленился(естественно в нормальный саппорт), позвонил. Подтвердили.
YMA
Я еще и флешки подбираю и в компьютер тыкаю (через адаптер с гальванической развязкой типа такого https://aliexpress.ru/item/1005006231017061.html ).
Раз вообще хохма вышла, около офиса увидел флешку. Взял, дома посмотрел - там какая-то тулза в автозапуске с именем типа "отчет о заработной плате ХХХ.exe" Запускать не стал, флешку зачистил и положил в ящик, хорошая и недешевая. Через пару дней безопасники - флешку подобрал? Было. Где она? Утилизировал путем разрушения молотком :))) Ушли недовольные...