Киберпреступники постоянно совершенствуют методы социальной инженерии — и активнее используют для этих целей возможности нейросетей и фишинга (а еще вишинга, квишинга и прочего бейтинга). Мы в beeline cloud решили поговорить об этой угрозе и о том, как защитить сотрудников, не добавляя при этом головной боли ИТ-отделу.

Теория обмана

Фишинг остается одним из самых распространенных видов кибератак. По данным «Лаборатории Касперского», в 2024 году число фишинговых атак в мире выросло на 26% по сравнению с 2023-м — до 893 млн случаев. В России ситуация еще тревожнее: за прошлый год количество фишинговых атак увеличилось на 425%.

Только за 2024 год в России заблокировали более 22 тыс. фишинговых сайтов. Злоумышленники копируют интерфейсы банков, сервисов доставки и онлайн-магазинов. Также популярны ресурсы с рекламой фейковых инвестиций, на которых жертвам предлагают вложить деньги в «перспективные высокодоходные активы», и поддельные сайты бронирования отелей и авиабилетов.

Сотрудники компаний тоже попадают в ловушки мошенников и становятся слабым звеном в системе корпоративной кибербезопасности. Злоумышленники рассылают поддельные письма от имени руководства, содержащие вредоносные ссылки или вложения. Так, в 2023 году D-Link столкнулась с утечкой данных из-за успешной фишинговой атаки на одного из работников. И хотя в компании заявили, что инцидент не повлек серьезных последствий, хакер утверждал обратное: по его словам, ему удалось похитить исходный код сетевого ПО, а также персональные данные клиентов, сотрудников и топ-менеджмента.

Большинство фишинговых атак на организации происходит именно через электронную почту. При этом мошеннические сообщения все чаще маскируют под ответы на письма коллег и просят переслать «важную» информацию другим потенциальным жертвам. Чтобы подготовить достоверно выглядящее сообщение, злоумышленники изучают стиль общения внутри компании — необходимую информацию нередко предоставляют рекрутеры: 94% из них рассказывают о корпоративной культуре в социальных сетях.

Кроме того, киберпреступники активнее используют системы ИИ для подготовки аутентично выглядящих писем. В сентябре прошлого года специалисты Европейского центра цифровых инноваций провели эксперимент в небольшой производственной компании, штат которой насчитывал 28 человек. С помощью ChatGPT исследователи составили реалистичное письмо от имени одного из коллег, в котором просили ознакомиться с проектом на Google Drive. Ссылка вела на фишинговый ресурс — и тест показал, что 75% сотрудников на неё кликнули.

Разумеется, фишинг — лишь один из инструментов социальной инженерии; существуют и другие.

Вишинг (голосовой фишинг). Злоумышленники по телефону выманивают конфиденциальные данные или вынуждают жертву выполнить нужные им действия. Известен случай, когда злоумышленник под видом сотрудника ИТ-отдела компании звонил жертве и убеждал ее в необходимости «решить проблему с VPN». Он присылал ссылку на фальшивую страницу входа в корпоративную сеть, которая, после того как пользователь вводил логин и пароль, перенаправляла его на настоящий VPN-портал. Жертва даже не подозревала, что учетные данные украли.

Квишинг. Это — фишинговая атака с использованием QR-кодов. Жертва сканирует код, полученный якобы от банка, госоргана или партнерской организации, и попадает на вредоносный сайт. Чаще всего цель таких схем — похитить деньги или конфиденциальные сведения, хотя могут быть и другие намерения.

Бейтинг. В этой разновидности фишинга жулики используют физические или цифровые «приманки», чтобы заставить жертву совершить определенные действия. Один из сценариев подразумевает проведение атаки BadUSB. Хакеры оставляют зараженные USB-накопители в общественных местах (или пересылают их в почтовых посылках) в надежде, что кто-то из любопытства подключит их к рабочему компьютеру. Так, в 2020 году эксперты американской ИБ-компании Trustwave описали инцидент, когда в офис одной гостиничной фирме прислали подарочную карту магазина BestBuy с вредоносной флешкой. К «подарку» было приложено письмо: его автор предлагал вставить накопитель в компьютер и изучить список акционных товаров. Однако на флешку был записан скрипт, который регистрировал инфицированный хост в C&C и пересылал данные об операционной системе, уровне привилегий пользователя и запущенных процессах.

А еще есть «Китовая охота» (whale phishing) — разновидность фишинга, которую часто выделяют в отдельную категорию. Она подразумевает целевые атаки на руководителей компаний. Как сообщает The Straits Times, в начале 2025 года финансовый директор сингапурской фирмы едва не лишился 670 тыс. долларов из-за фишинг-атаки с применением дипфейк-технологий. Мошенники сымитировали голоса и внешность топ-менеджеров во время видеозвонка, чтобы убедить жертву перевести средства на подконтрольный им счет.

Еще один показательный случай произошел с австралийским хедж-фондом Levitas Capital. Злоумышленники прислали соучредителю Майклу Фагену фальшивое приглашение на Zoom-конференцию. После на компьютер жертвы загрузилось вредоносное ПО, которое открыло хакерам доступ к корпоративной почте. От имени руководства они разослали поддельные платежные поручения почти на 9 млн долларов. И хотя большую часть транзакций удалось заблокировать, фонд потерял 800 тыс. долларов, что привело не только к финансовому урону, но и к репутационному кризису — ключевой инвестор вышел из бизнеса, и фонд был вынужден прекратить деятельность.

Игра на опережение

Бороться с фишингом и атаками на основе социальной инженерии можно различными методами. Есть технические меры, такие как почтовые фильтры, автоматически блокирующие подозрительные письма. Есть меры организационные — внедрение ИБ-политик и процедур реагирования на инциденты минимизирует риски и снижает потенциальный ущерб, который может нанести фишинговая атака.

Но поскольку фишинг основан на методах социальной инженерии, то и бороться с этой угрозой необходимо на уровне человеческого фактора — путем повышения компьютерной грамотности персонала, ознакомления с основами кибергигиены и регулярных тренировок по распознаванию угроз. Так, в финской компании Hoxhunt, занимающейся разработкой ПО для обучения кибербезопасности, изучили результаты 50 млн симуляций фишинговых атак в организациях по всему миру, а также миллионы реальных вредоносных писем, полученных пользователями в 125 странах.

Специалисты пришли к выводу, что всего за полгода регулярных тренировок сотрудники начинают выявлять фишинговые атаки в шесть раз эффективнее. А количество инцидентов в компании сокращается на 86%.

При этом важно, чтобы обучение охватывало всех сотрудников — от рядовых клерков до менеджеров. При этом эффективность методов обучения может варьироваться в зависимости от аудитории и формата подачи. Два года назад исследователи из Лейденского университета в Нидерландах провели метаанализ, чтобы определить наиболее действенные подходы к подготовке пользователей. В рамках исследования они систематизировали данные, изучив 142 вайтпейпера, которые отобрали по ключевым словам: «кибербезопасность» и «обучение». Методы, описанные в статьях, тестировались на фокус-группах, включавших сотрудников компаний, студентов и обычных интернет-пользователей, а их эффективность оценивалась через опросы и практические тесты.

Результаты анализа показали, что наиболее перспективными оказались методы с элементами геймификации. Интерактивные симуляции помогали участникам лучше запоминать правила кибербезопасности и применять их в реальных ситуациях. Например, в одном из исследований обучающимся надо было правильно идентифицировать как можно больше фишинговых сообщений. В других симуляциях от участников требовали проверять URL-адреса и вложения на признаки подмены.

В то же время ученые отметили, что классические форматы обучения — лекции, разбор теоретической базы — остаются востребованными и показывают достойные результаты. Ряд проанализированных исследований подтвердил, что такой подход не только повышает уровень знаний, но и способствует формированию культуры кибербезопасности внутри коллектива.

Обучить коллег кибербезу

Мы в beeline cloud поддерживаем идею с обучением сотрудников и предлагаем услугу Cloud Security Awareness (SA). Это — платформа, которая позволяет создавать и проводить обучающие курсы по основам ИБ с последующей проверкой знаний. Разработанные курсы можно назначать конкретным сотрудникам, группам, целым отделам или подразделениям. Кроме того, система дает возможность проводить учебные атаки.

Мы помогаем сформировать и отправить «фишинговые» письма сотрудникам. Можно настраивать различные сценарии: например, письма от «банка», «коллег» или «руководства», что приближает тренировочный процесс к реальным сценариям. После собираем подробную статистику и глубокую аналитику по результатам проверки: кто перешел по ссылке, ввел данные или, наоборот, распознал угрозу. Оценив устойчивость сотрудников к фишингу, можно выявить наиболее уязвимые подразделения и персонализировать обучение для них. Система умеет автоматически назначать курсы по настроенным сценариям и отслеживать прогресс.

В целом Cloud SA помогает организациям повысить уровень осведомленности сотрудников о киберугрозах. Регулярные тренировки и обучение позволяют сотрудникам выработать «иммунитет» к фишингу, что в долгосрочной перспективе защищает бизнес от финансовых и репутационных потерь. Если у вас есть вопросы, или вы желаете протестировать сервис — напишите нам, и мы предложим решение.

beeline cloud — secure cloud provider. Разрабатываем облачные решения, чтобы вы предоставляли клиентам лучшие сервисы.