Киберпреступники постоянно совершенствуют методы социальной инженерии — и активнее используют для этих целей возможности нейросетей и фишинга (а еще вишинга, квишинга и прочего бейтинга). Мы в beeline cloud решили поговорить об этой угрозе и о том, как защитить сотрудников, не добавляя при этом головной боли ИТ-отделу.

Изображение — Rodrigo de Mendoza — Unsplash
Изображение — Rodrigo de Mendoza — Unsplash

Теория обмана

Фишинг остается одним из самых распространенных видов кибератак. По данным «Лаборатории Касперского», в 2024 году число фишинговых атак в мире выросло на 26% по сравнению с 2023-м — до 893 млн случаев. В России ситуация еще тревожнее: за прошлый год количество фишинговых атак увеличилось на 425%.

Только за 2024 год в России заблокировали более 22 тыс. фишинговых сайтов. Злоумышленники копируют интерфейсы банков, сервисов доставки и онлайн-магазинов. Также популярны ресурсы с рекламой фейковых инвестиций, на которых жертвам предлагают вложить деньги в «перспективные высокодоходные активы», и поддельные сайты бронирования отелей и авиабилетов.

Сотрудники компаний тоже попадают в ловушки мошенников и становятся слабым звеном в системе корпоративной кибербезопасности. Злоумышленники рассылают поддельные письма от имени руководства, содержащие вредоносные ссылки или вложения. Так, в 2023 году D-Link столкнулась с утечкой данных из-за успешной фишинговой атаки на одного из работников. И хотя в компании заявили, что инцидент не повлек серьезных последствий, хакер утверждал обратное: по его словам, ему удалось похитить исходный код сетевого ПО, а также персональные данные клиентов, сотрудников и топ-менеджмента.

Большинство фишинговых атак на организации происходит именно через электронную почту. При этом мошеннические сообщения все чаще маскируют под ответы на письма коллег и просят переслать «важную» информацию другим потенциальным жертвам. Чтобы подготовить достоверно выглядящее сообщение, злоумышленники изучают стиль общения внутри компании — необходимую информацию нередко предоставляют рекрутеры: 94% из них рассказывают о корпоративной культуре в социальных сетях.

Кроме того, киберпреступники активнее используют системы ИИ для подготовки аутентично выглядящих писем. В сентябре прошлого года специалисты Европейского центра цифровых инноваций провели эксперимент в небольшой производственной компании, штат которой насчитывал 28 человек. С помощью ChatGPT исследователи составили реалистичное письмо от имени одного из коллег, в котором просили ознакомиться с проектом на Google Drive. Ссылка вела на фишинговый ресурс — и тест показал, что 75% сотрудников на неё кликнули.

Разумеется, фишинг — лишь один из инструментов социальной инженерии; существуют и другие.

Вишинг (голосовой фишинг). Злоумышленники по телефону выманивают конфиденциальные данные или вынуждают жертву выполнить нужные им действия. Известен случай, когда злоумышленник под видом сотрудника ИТ-отдела компании звонил жертве и убеждал ее в необходимости «решить проблему с VPN». Он присылал ссылку на фальшивую страницу входа в корпоративную сеть, которая, после того как пользователь вводил логин и пароль, перенаправляла его на настоящий VPN-портал. Жертва даже не подозревала, что учетные данные украли.

Квишинг. Это — фишинговая атака с использованием QR-кодов. Жертва сканирует код, полученный якобы от банка, госоргана или партнерской организации, и попадает на вредоносный сайт. Чаще всего цель таких схем — похитить деньги или конфиденциальные сведения, хотя могут быть и другие намерения.

Изображение — MD Duran — Unsplash
Изображение — MD Duran — Unsplash

Бейтинг. В этой разновидности фишинга жулики используют физические или цифровые «приманки», чтобы заставить жертву совершить определенные действия. Один из сценариев подразумевает проведение атаки BadUSB. Хакеры оставляют зараженные USB-накопители в общественных местах (или пересылают их в почтовых посылках) в надежде, что кто-то из любопытства подключит их к рабочему компьютеру. Так, в 2020 году эксперты американской ИБ-компании Trustwave описали инцидент, когда в офис одной гостиничной фирме прислали подарочную карту магазина BestBuy с вредоносной флешкой. К «подарку» было приложено письмо: его автор предлагал вставить накопитель в компьютер и изучить список акционных товаров. Однако на флешку был записан скрипт, который регистрировал инфицированный хост в C&C и пересылал данные об операционной системе, уровне привилегий пользователя и запущенных процессах.

А еще есть «Китовая охота» (whale phishing) — разновидность фишинга, которую часто выделяют в отдельную категорию. Она подразумевает целевые атаки на руководителей компаний. Как сообщает The Straits Times, в начале 2025 года финансовый директор сингапурской фирмы едва не лишился 670 тыс. долларов из-за фишинг-атаки с применением дипфейк-технологий. Мошенники сымитировали голоса и внешность топ-менеджеров во время видеозвонка, чтобы убедить жертву перевести средства на подконтрольный им счет.

Еще один показательный случай произошел с австралийским хедж-фондом Levitas Capital. Злоумышленники прислали соучредителю Майклу Фагену фальшивое приглашение на Zoom-конференцию. После на компьютер жертвы загрузилось вредоносное ПО, которое открыло хакерам доступ к корпоративной почте. От имени руководства они разослали поддельные платежные поручения почти на 9 млн долларов. И хотя большую часть транзакций удалось заблокировать, фонд потерял 800 тыс. долларов, что привело не только к финансовому урону, но и к репутационному кризису — ключевой инвестор вышел из бизнеса, и фонд был вынужден прекратить деятельность.

Игра на опережение

Бороться с фишингом и атаками на основе социальной инженерии можно различными методами. Есть технические меры, такие как почтовые фильтры, автоматически блокирующие подозрительные письма. Есть меры организационные — внедрение ИБ-политик и процедур реагирования на инциденты минимизирует риски и снижает потенциальный ущерб, который может нанести фишинговая атака.

Но поскольку фишинг основан на методах социальной инженерии, то и бороться с этой угрозой необходимо на уровне человеческого фактора — путем повышения компьютерной грамотности персонала, ознакомления с основами кибергигиены и регулярных тренировок по распознаванию угроз. Так, в финской компании Hoxhunt, занимающейся разработкой ПО для обучения кибербезопасности, изучили результаты 50 млн симуляций фишинговых атак в организациях по всему миру, а также миллионы реальных вредоносных писем, полученных пользователями в 125 странах.

Специалисты пришли к выводу, что всего за полгода регулярных тренировок сотрудники начинают выявлять фишинговые атаки в шесть раз эффективнее. А количество инцидентов в компании сокращается на 86%.

При этом важно, чтобы обучение охватывало всех сотрудников — от рядовых клерков до менеджеров. При этом эффективность методов обучения может варьироваться в зависимости от аудитории и формата подачи. Два года назад исследователи из Лейденского университета в Нидерландах провели метаанализ, чтобы определить наиболее действенные подходы к подготовке пользователей. В рамках исследования они систематизировали данные, изучив 142 вайтпейпера, которые отобрали по ключевым словам: «кибербезопасность» и «обучение». Методы, описанные в статьях, тестировались на фокус-группах, включавших сотрудников компаний, студентов и обычных интернет-пользователей, а их эффективность оценивалась через опросы и практические тесты.

Результаты анализа показали, что наиболее перспективными оказались методы с элементами геймификации. Интерактивные симуляции помогали участникам лучше запоминать правила кибербезопасности и применять их в реальных ситуациях. Например, в одном из исследований обучающимся надо было правильно идентифицировать как можно больше фишинговых сообщений. В других симуляциях от участников требовали проверять URL-адреса и вложения на признаки подмены.

В то же время ученые отметили, что классические форматы обучения — лекции, разбор теоретической базы — остаются востребованными и показывают достойные результаты. Ряд проанализированных исследований подтвердил, что такой подход не только повышает уровень знаний, но и способствует формированию культуры кибербезопасности внутри коллектива.

Обучить коллег кибербезу

Мы в beeline cloud поддерживаем идею с обучением сотрудников и предлагаем услугу Cloud Security Awareness (SA). Это — платформа, которая позволяет создавать и проводить обучающие курсы по основам ИБ с последующей проверкой знаний. Разработанные курсы можно назначать конкретным сотрудникам, группам, целым отделам или подразделениям. Кроме того, система дает возможность проводить учебные атаки.

Мы помогаем сформировать и отправить «фишинговые» письма сотрудникам. Можно настраивать различные сценарии: например, письма от «банка», «коллег» или «руководства», что приближает тренировочный процесс к реальным сценариям. После собираем подробную статистику и глубокую аналитику по результатам проверки: кто перешел по ссылке, ввел данные или, наоборот, распознал угрозу. Оценив устойчивость сотрудников к фишингу, можно выявить наиболее уязвимые подразделения и персонализировать обучение для них. Система умеет автоматически назначать курсы по настроенным сценариям и отслеживать прогресс.

Типовая схема услуги: 1) администраторы beeline cloud отвечают за обслуживание платформы, 2) ИТ-, ИБ-специалисты заказчика настраивают учебные атаки, проводят обучающие курсы, строят отчеты 3) сотрудникам заказчика на почту высылаются фишинговые письма от имени «банков», «контрагентов» или «коллег», 4) провалившие тест сотрудники проходят назначенные им курсы
Типовая схема услуги: 1) администраторы beeline cloud отвечают за обслуживание платформы, 2) ИТ-, ИБ-специалисты заказчика настраивают учебные атаки, проводят обучающие курсы, строят отчеты 3) сотрудникам заказчика на почту высылаются фишинговые письма от имени «банков», «контрагентов» или «коллег», 4) провалившие тест сотрудники проходят назначенные им курсы

В целом Cloud SA помогает организациям повысить уровень осведомленности сотрудников о киберугрозах. Регулярные тренировки и обучение позволяют сотрудникам выработать «иммунитет» к фишингу, что в долгосрочной перспективе защищает бизнес от финансовых и репутационных потерь. Если у вас есть вопросы, или вы желаете протестировать сервис — напишите нам, и мы предложим решение.

beeline cloud — secure cloud provider. Разрабатываем облачные решения, чтобы вы предоставляли клиентам лучшие сервисы.

Комментарии (6)


  1. Lordbander
    06.07.2025 18:36

    Ссылка вела на фишинговый ресурс — и тест показал, что 75% сотрудников на неё кликнули.

    И что? я кликаю по таким ссылкам, и изучаю развод. В каком моменте и когда попросят денег или перс.данные. Увлекательное занятие.

    Разработанные курсы можно назначать конкретным сотрудникам, группам, целым отделам или подразделениям.

    Просто из-за вашего ФОТ вы набираете всех подряд. А потом устраиваете обучалки, для идиотов. И причем каждому, каждый год, даже супер-спецам, так, для галочки.


    1. dmitrykabanov
      06.07.2025 18:36

      И что? я кликаю по таким ссылкам

      В мессенджерах тоже всякие апк тапаете?


      1. Lordbander
        06.07.2025 18:36

        Ну учитывая, что на Iphone .apk не установятся. Нет не кликаю.

        Мы на площадке, где люди в IT хоть чуть-чуть да разбираются.

        Прилетают и фишинг, и вообще много интересного. Вот только открываю я все это исключительно на компе, через домашний интернет, в относительно изолированной среде.

        Опыт, когда, на объекте попросили скачать что-нибудь из музыки (речи), чтобы запустить и проверить систему оповещения о пожаре. Я раздал с мобилы интернет и на первом же сайте (через ноутбук) словил подписку на какой-то сервис. Мне хватило.


        1. dmitrykabanov
          06.07.2025 18:36

          Сотрудники компаний только не все на айти площадке и не всегда разбираются. Наверное поэтому фишинг работает


          1. Lordbander
            06.07.2025 18:36

            Я бы сказал, что фишинг очень изобретателен, а инструкции и обучалки, на уровне AnyKey - не переходите...

            Придет тебе письмо с адреса do0.beeline.support.ru или beeline.support.do0.ru, вроде обе фишинговые. Однако у саппорта и правда отдельный домен.

            З.Ы. Не в коем случае не хочу наехать именно на Билайн. Это у всех ОПсосов большой четверки. Пример был исключительно примером, а столкнулся я так, толи с банком каким, или провайдером. Но - домен был реальный. 100 раз проверил, думал Фишинг. Не поленился(естественно в нормальный саппорт), позвонил. Подтвердили.


      1. YMA
        06.07.2025 18:36

        Я еще и флешки подбираю и в компьютер тыкаю (через адаптер с гальванической развязкой типа такого https://aliexpress.ru/item/1005006231017061.html ).

        Раз вообще хохма вышла, около офиса увидел флешку. Взял, дома посмотрел - там какая-то тулза в автозапуске с именем типа "отчет о заработной плате ХХХ.exe" Запускать не стал, флешку зачистил и положил в ящик, хорошая и недешевая. Через пару дней безопасники - флешку подобрал? Было. Где она? Утилизировал путем разрушения молотком :))) Ушли недовольные...