«Фишинг перестал быть проблемой спам-фильтров. Это теперь проблема проектирования рабочих процессов. Если сотрудник нажимает на ссылку, потому что это самый быстрый способ выполнить задачу,, это провал системы, а не человека. Защита выстраивается не через запугивание, а через создание таких процедур, где правильный путь — единственно удобный.»
Как изменился фишинг за последние годы
Сценарий массовых рассылок на устаревшие домены типа «sberbank-secure.ru» окончательно ушёл в прошлое. Современные почтовые шлюзы и спам-фильтры научились с высокой точностью отсекать подобный шум. В ответ угроза превратилась в бесшумную, селективную операцию. Письмо теперь может прийти не в общую рассылку, а трём конкретным инженерам из отдела, занимающимся определённым проектом. Их имена, должности и текущие задачи злоумышленник находит в открытых источниках: на корпоративных сайтах, в тезисах докладов с конференций, в профилях профессиональных сетей.
Ключевые изменения произошли в каналах доставки и конечных целях. Атаки сместились туда, где выше уровень доверия и ниже технический контроль: в корпоративные чаты, мессенджеры, системы управления задачами вроде Jira или Битрикс24. Домены для фишинговых страниц теперь часто легитимны, это скомпрометированные сайты небольших организаций или временные хостинги, которые самоуничтожаются через несколько часов после успешной атаки. Конечная цель также эволюционировала: недостаточно просто украсть логин и пароль. Современный фишинг нацелен на обход многофакторной аутентификации — либо через перехват одноразового кода, либо через социальную инженерию, заставляющую жертву самостоятельно подтвердить вход злоумышленника.
Таргетированный фишинг: не вид, а методология
Подготовка к такой атаке может занимать дни или недели. Это не просто подстановка имени в шаблон письма, а полноценное расследование. Изучаются профили жертвы и её коллег в социальных сетях, корпоративные новости, даже упоминания в отраслевых СМИ. В ход идёт внутренний сленг отдела, названия текущих проектов, упоминание недавних событий — например, внутреннего семинара или переезда в новый офис. Письмо может прийти с домена, отличающегося от корпоративного одной неочевидной буквой (используется кириллическая «с» вместо латинской «c»), или с личного ящика, стилизованного под служебный.
Главная задача атакующего — вызвать у сотрудника ощущение рутины или срочности, чтобы отключить критическое мышление. Классический пример — письмо от «первого руководителя» с просьбой срочно перевести деньги по новым реквизитам или утвердить «важное» вложение.
| Признак | Раньше (массовый фишинг) | Сейчас (таргетированный фишинг) |
|---|---|---|
| Аудитория | Тысячи случайных получателей | Конкретный человек или узкая группа |
| Контекст | Общий («Ваш аккаунт заблокирован») | Персонализированный (используются реальные имена, проекты, даты) |
| Техническое исполнение | Ошибки в тексте, подозрительные ссылки | Безупречный язык, ссылки на легитимные или временные ресурсы |
| Цель атаки | Кража учетных данных | Обход MFA, компрометация сессии, мошеннический перевод |
Техническая защита здесь строится на безупречной настройке SPF, DKIM и DMARC для почтовых доменов, что максимально затрудняет спуфинг. Процедурная защита заключается в установлении правил, например: любые нестандартные финансовые или учетные запросы требуют обязательного устного подтверждения по заранее известному, проверенному номеру из внутреннего справочника, а не по тому, что указан в письме или сообщении.
Quishing: атака на слепое доверие к QR-кодам
Фундаментальная уязвимость QR-кода для пользователя заключается в том, что он не видит конечный URL до момента перехода. Этим активно пользуются, размещая зловредные коды на физических носителях в зоне досягаемости сотрудников. Например, поддельные объявления о «проверке пропуска» на территории предприятия, фальшивые платежные квитанции на парковках, стикеры в переговорках с надписью «Отсканируй для подключения к Wi-Fi».
Механика часто двухэтапная. Сотрудник сканирует код на рабочем месте камерой личного смартфона, тем самым обходя корпоративные DNS-фильтры, веб-прокси и другие защитные механизмы, настроенные на рабочих устройствах. Открывшаяся фишинговая страница идеально адаптирована под мобильный экран и имитирует интерфейс корпоративного портала или популярного сервиса.
Противодействие требует включения сканирования QR-кодов в политику информационной безопасности. Необходимо чётко донести до сотрудников базовое правило: использование личных устройств для выполнения действий, связанных с рабочими учетными записями или данными, является критическим риском. Любой QR-код, ведущий на страницу с запросом учетных данных, должен рассматриваться как прямой индикатор атаки, требующий немедленной проверки через официальный канал связи.
Телефонно-ориентированная атака (TOAD): фишинг с выходом в офлайн
TOAD представляет собой гибридную схему, где цифровой канал служит лишь триггером для перевода атаки в офлайн-плоскость. Жертва получает SMS или email об «несанкционированном входе в корпоративную систему», «блокировке счета» или «подозрительной активности» с просьбой срочно позвонить на номер «службы безопасности» или «технической поддержки», указанный в том же сообщении. На другом конце провода работает злоумышленник, использующий детально проработанный скрипт, имитирующий работу службы поддержки.
Эффективность TOAD основана на двух факторах: имитации стандартного, привычного для пользователя процесса восстановления доступа и психологическом авторитете живого голосового общения. В ходе разговора злоумышленник может запросить OTP-код, пришедший на телефон жертвы, под предлогом его «верификации», или убедить установить программу «для удаленного устранения угрозы», которая на деле является троянцем типа Remote Access Tool (RAT).
Ключевое правило защиты: служба безопасности или техническая поддержка компании никогда не инициирует звонок с просьбой сообщить пароль, одноразовый код или установить неподтверждённое ПО. Все подобные входящие звонки должны рассматриваться как потенциальная атака. Любые инструкции, полученные по такому звонку, необходимо перепроверять через обратный звонок на номер, известный из доверенных внутренних источников (официальный сайт, внутренний справочник, служебная памятка).
Другие современные векторы
Фишинг в мессенджерах и корпоративных чатах
Это канал с высоким психологическим порогом доверия, особенно внутри рабочих групп. Злоумышленник, получив доступ к переписке или просто изучив профили, создаёт клон аккаунта ключевого сотрудника (руководителя, бухгалтера, системного администратора), используя скопированные аватар и имя. В подходящий момент — конец рабочего дня, период сдачи проекта — от этого клона приходит срочное сообщение: «Зайди по ссылке и подпиши документ», «Переведи предоплату по новым реквизитам, старые заблокировали». Защита здесь процедурная: обязательное использование внутренних, защищённых систем (например, с ЭП) для подтверждения критичных финансовых или юридических поручений, а не чатов.
Фишинг через уведомления браузера
Пользователь заходит на взломанный или специально созданный сайт, который запрашивает разрешение на отправку уведомлений. После согласия в браузер начинают поступать сообщения, стилизованные под системные оповещения Windows, антивируса или корпоративного портала, с требованием «срочно ввести данные для проверки безопасности». Защита техническая: групповыми политиками на корпоративных устройствах блокируются запросы на отправку уведомлений от сайтов, а сотрудников обучают игнорировать подобные всплывающие сообщения.
Выстраивание системы защиты: три слоя
Противодействие современному фишингу требует эшелонированной обороны, где каждый слой компенсирует неизбежные уязвимости другого.
- Технический слой. Помимо классических почтовых шлюзов и веб-фильтров, необходимы решения для анализа поведения пользователей и сущностей. Например, система должна уметь замечать аномалии: как часто рядовой сотрудник получает письма с внешних адресов, стилизованные под директора; куда ведут сокращённые ссылки, массово отправляемые в корпоративном чате. URL-фильтрация должна работать в реальном времени, проверяя не только репутацию домена по чёрным спискам, но и анализируя поведение загружаемой страницы (запросы учетных данных, имитация интерфейсов).
- Процедурный слой. Чёткие, неизменяемые и максимально простые регламенты для всех критичных действий. Яркий пример: «Смена банковских реквизитов контрагента подтверждается через два независимых канала — официальным письмом с квалифицированной электронной подписью отправленного лица и последующим голосовым звонком ответственному лицу компании-контрагента по номеру, указанному в первоначальном бумажном договоре». Ключевой принцип: безопасная процедура должна быть удобнее и быстрее для сотрудника, чем рискованное действие «на авось» по письму из чата.
- Человеческий слой. Обучение перестаёт быть формальным инструктажем. Оно должно строиться на регулярном, неожиданном моделировании реальных атак, включая сценарии с телефонными звонками (TOAD) и QR-кодами. Фокус смещается с запугивания («не нажимай») на формирование мышечной памяти для простого алгоритма проверки: 1) Внимательно посмотреть на адрес отправителя (полный email/номер телефона, а не только имя в заголовке). 2) Навести курсор на любую ссылку, не кликая, чтобы увидеть полный URL в строке состояния. 3) Задать себе внутренний вопрос: «Могу ли я проверить эту информацию или выполнить задачу другим, заранее известным и безопасным способом?».
Современный фишинг — это, по сути, инженерия человеческого решения, принимаемого в условиях искусственно созданных неопределённости и цейтнота. Эффективная защита строится не на умножении числа запретов и страхов, а на грамотном проектировании рабочих процессов и ИТ-среды, где безопасный путь для сотрудника является одновременно самым простым, логичным и очевидным.