2026: число атак на бухгалтерию через системы ЭДО и деловую переписку превысило уровень прошлого года

Российский бизнес продолжает подвергаться кибератакам через системы электронного документооборота (ЭДО) и деловую переписку. За первые пять месяцев 2026 года корпоративные пользователи уже столкнулись с 13 тысячами подобных атак*. Это больше, чем за весь 2025 год. В зоне риска находятся организации, через которые проходят значительные финансовые потоки и большое количество платежей. В частности, целями злоумышленников становились бухгалтерские подразделения предприятий малого и среднего бизнеса из сфер производства, консалтинга, строительства и недвижимости, образования и здравоохранения. Такие данные «Лаборатория Касперского» представила в преддверии Петербургского международного экономического форума (ПМЭФ-2026).

«Если несколько лет назад основным трендом было массовое мошенничество против частных пользователей, то сегодня всё больше атак вновь направлено на бухгалтерию и финансовые подразделения компаний. Причина проста: успешная компрометация организации может принести злоумышленникам значительно больший доход, чем атака на отдельного пользователя. Дополнительным фактором стало развитие инфраструктуры для вывода и обналичивания похищенных средств. В этом году мы видим устойчивый рост числа таких атак и не ожидаем снижения в ближайшей перспективе», — комментирует Сергей Голованов, главный эксперт «Лаборатории Касперского».

Почему ЭДО. Эксперты компании связывают рост числа подобных инцидентов с цифровизацией бизнес-процессов. Бухгалтеры и финансовые специалисты ежедневно работают с большим количеством документов, счетов и договоров, поэтому злоумышленники стараются маскировать вредоносные вложения под привычные рабочие файлы и использовать доверие сотрудников к деловой переписке и системам ЭДО.

Новое в атаках на бухгалтерию. Если ранее в атаках на бухгалтерские подразделения чаще встречались троянцы Pure, Venom и Buhtrap, то в этом году отмечается роста активности DarkWatchman — троянца удалённого доступа, который позволяет злоумышленникам получать контроль над заражённым устройством, загружать дополнительное вредоносное ПО, вести скрытое наблюдение за действиями пользователя и распространяться внутри корпоративной сети.

Как развивается атака. Для доставки вредоносного ПО злоумышленники используют целевые рассылки и маскируют вложения под привычные для бухгалтерии документы: счета на оплату, акты сверки, договоры, накладные и другие финансовые документы. Вредоносные файлы могут также распространяться через системы электронного документооборота под видом служебных документов.

После заражения устройства злоумышленники могут получить доступ к корпоративной переписке, финансовым документам, системам дистанционного банковского обслуживания и другим внутренним ресурсам организации. В зависимости от сценария атаки это позволяет им подменять реквизиты в документах, инициировать мошеннические платежи или использовать скомпрометированную инфраструктуру для дальнейшего развития атаки. В некоторых случаях происходит цепочка заражений, когда компания, получившая вредоносное сообщение, пересылает его по списку контактов контрагентам.

Для защиты от подобных атак «Лаборатория Касперского» рекомендует организациям:

• проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга;
• регулярно обновлять программное обеспечение на всех устройствах, чтобы предотвращать проникновение злоумышленников во внутреннюю сеть с использованием уязвимостей;
• использовать комплексное решение для обеспечения кибербезопасности;
• небольшим компаниям — установить решение для защиты рабочих мест, а в дополнение к нему специализированный инструмент для корпоративной почты.

* По данным анонимизированной статистики срабатывания решений «Лаборатории Касперского» за 1 января — 24 мая 2026 года.