СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
StopPhish
Вчера в 19:32
#Статьи #ИБ#ИИ

Фишинг против сотрудников и руководителей: как построить защиту, которая ловит сложные письма и подмены домена

Фишинг против сотрудников и руководителей: как построить защиту, которая ловит сложные письма и подмены домена

Изображение: recraft

Фишинг давно вышел за рамки простых писем с подозрительными ссылками и ошибками в тексте. Теперь письма выглядят аккуратно, написаны без орфографических ошибок и часто полностью повторяют стиль реальной переписки.

Атаки строятся на персонализации, подмене доменов и знании деталей о компании. Сотруднику приходит письмо «от коллеги», бухгалтеру — «от банка», руководителю — «от партнера» или «от члена совета директоров». Домен отличается на один символ, а цепочка переписки выглядит правдоподобно.

В таких условиях фильтры и базовые инструкции уже не дают нужного уровня защиты.

Простые фильтры не ловят сложный фишинг

Обычные антиспам-системы хорошо блокируют волну мошеннических рассылок, но пропускают адресные атаки.

Сложный фишинг работает иначе:

  • используется новый домен, зарегистрированный за день до атаки;
  • подмена происходит через визуально похожий адрес;
  • письмо не содержит вредоносного файла — только просьбу;
  • атака строится на текущем контексте компании.

В 2025–2026 годах подмена доменов стала одним из главных инструментов: визуально незаметные изменения символов, микро-опечатки вроде micros0ft.com или цепочки перенаправлений.

Письмо приходит от «знакомого» отправителя, текст идеально подогнан под стиль компании, часто с упоминанием реальных событий или имен. Руководители получают запросы на переводы или доступы, сотрудники — «срочные» задачи. На мобильных экранах такие подмены еще сложнее заметить.

Почему сотрудники попадаются на фишинг

Сотрудники ежедневно обрабатывают десятки писем: от коллег, клиентов, систем уведомлений. В потоке проверка каждого домена кажется лишней тратой времени. Добавьте усталость, многозадачность или работу на ходу — и внимательность людей падает.

В гибридной работе риск усиливается: почту проверяют дома, в поездках, на личных устройствах, без офисных напоминаний о рисках. Подмененное письмо может прийти в личный ящик, замаскированное под рабочее. Дома нет коллеги или ИБ-специалиста, который скажет «проверь домен». Люди реже думают о рисках в расслабленной обстановке, отвечают на «срочное» письмо за ужином или в транспорте.

Отдельная зона риска — руководители

Руководители — главная цель в BEC-атаках. Они имеют доступ к финансам, контрактам и чувствительным данным, поэтому мошенники маскируют письма под запросы от топ-менеджмента, партнеров или аудиторов.

Статистика показывает, что в 2025–2026 годах количество атак на топ-менеджмент выросло, при этом злоумышленники все чаще используют ИИ для персонализации и дипфейки в голосовых звонках.

Часто используется давление по времени и статусу. Чем выше позиция, тем меньше вероятность, что кто-то будет перепроверять распоряжение.

Типовые сценарии:

  • срочный перевод средств;
  • согласование договора с новой версией реквизитов;
  • запрос конфиденциальной информации;
  • просьба «не распространять информацию» внутри компании.

При этом руководители редко проходят регулярные тренировки наравне с сотрудниками.

Почему одной технической защиты недостаточно

SPF, DKIM, DMARC и почтовые фильтры — необходимая база. Но они не закрывают все сценарии.

Подмена доменов может быть:

  • визуальной (похожее написание домена);
  • через скомпрометированный реальный аккаунт подрядчика;
  • через легальный сервис рассылок;
  • через пересланную цепочку реальной переписки.

С точки зрения почтовой системы письмо может выглядеть корректно, а решение о безопасности будет принимать человек.

Ошибка: считать, что проблема решается инструкцией

Во многих компаниях защита от фишинга сводится к трем действиям:

  • разослать памятку;
  • делать упор на технические меры без акцента на человеческий фактор;
  • добавить пункт в регламент.

Через неделю сотрудники перестают думать о правилах, через месяц инструкция теряется в почте, а через полгода происходит инцидент.

Что действительно снижает риск

Организационные меры:

  • единый чек-лист для проверки отправителя и домена (независимо от должности);
  • обязательная пауза перед кликом по ссылке или подтверждением платежа;
  • отдельные сценарии для руководителей, например, двойное подтверждение финансовых запросов;
  • регулярные напоминания о типичных признаках подмены домена.

Технические меры:

  • фильтры, распознающие визуально похожие домены;
  • автоматическая проверка ссылок перед открытием (с расширением коротких URL);
  • DMARC с жесткой политикой + SPF/DKIM для блокировки спуфинга;
  • многофакторная аутентификация после подозрительного действия;
  • инструменты, выделяющие в письме подозрительные элементы (отправитель, домен, необычное время).

Отработка сложных фишинговых писем

Если сотрудники видят только примитивный фишинг, они привыкают искать грубые ошибки.

Тренировки должны включать:

  • подмены домена на один символ;
  • письма без ссылок и вложений;
  • реалистичные цепочки переписки;
  • обращения от имени руководства.

Отдельная программа для руководителей

  • короткие разборы реальных атак на топ-менеджмент;
  • отработка сценариев срочных финансовых решений;
  • правила делегирования и подтверждения платежей;
  • персональная обратная связь по тренировкам.

Понятный способ сообщить о подозрительном письме

Если процесс сложный или требует отдельного письма в ИБ, сообщения о подозрительных письмах будут редкими. Простая кнопка в почте и быстрая обратная связь повышают вовлеченность и позволяют ловить атаки на ранней стадии.

Почему жесткие фильтры и тотальный контроль дают обратный эффект

Если система блокирует слишком много легитимных писем, сотрудники жалуются и обходят фильтры: используют личную почту, отключают предупреждения. Доверие к защите и ИБ падает, а риски растут.

Жесткие ограничения и публичные разборы ошибок создают обратный эффект:

  • сотрудники скрывают инциденты;
  • растет формальное отношение к правилам;
  • ИБ воспринимается как карательная функция.

Баланс между защитой и работой

Эффективная защита не должна тормозить бизнес-процессы. Она строится на простых принципах:

  • меры не мешают повседневным задачам;
  • правила объясняют через реальные примеры;
  • ошибки разбираются без наказаний;
  • техника дополняется обучением и обратной связью.

Обучение как основа защиты

Большинство попаданий на фишинг — это результат невнимательности. Сотрудники сосредоточены на задачах и не видят угрозы в «обычном» письме. Для повышения осведомленности сотрудников работают практичные форматы обучения:

  • короткие примеры подмен доменов из реальной жизни компании;
  • разбор типичных писем, которые кажутся безопасными;
  • симуляции атак на сотрудников и руководителей;
  • чек-листы для быстрой проверки (отправитель, домен, срочность);
  • регулярные тренировки и памятки вместо редких больших курсов.

Все эти меры помогут сформировать привычки, снизить количество инцидентов и уменьшить нужду в тотальном контроле.

StopPhish
Автор: StopPhish
StopPhish — команда, которая меняет подход к обучению сотрудников кибербезопасности. Мы создали уникальную методологию Security Awareness и платформу, которая снижает количество инцидентов из-за человеческого фактора в 20–30 раз. StopPhish — это не скучные курсы "для галочки", а реальные сценарии атак, симуляции фишинга и тренировки, которые учат противодействовать социальной инженерии. Кроме обучения, мы даём компаниям полный набор инструментов для повышения осведомлённости: памятки, чек-листы, плакаты и уникальный браузерный плагин, который моментально уведомляет службу ИБ о попытках ввода данных на фишинговых сайтах — аналогов в России нет.
Комментарии: