Фишинг-симуляции в крупной компании: как работать на результат без репрессий

изображение: recraft
Сегодня киберпреступники при выборе вектора первоначального проникновения в ИТ-периметр отдают предпочтение не сложным техническим уязвимостям, «торчащим наружу». Их выбор — манипуляции с человеческой психологией. Атака методами социальной инженерии намного проще и дешевле, чем исследование или покупка Zero Day-эксплойта для VPN, а результат достигается аналогичный: хакер во внутренней сети.
Современный портрет классической угрозы
Современный фишинг — это полноценная индустрия с собственной инфраструктурой, высокой степенью автоматизации и способностью быстро адаптироваться к действиям защитников.
Глобальный масштаб фишинговых атак продолжает расти. По данным Interisle, в 2025 году было зафиксировано почти 2 млн фишинговых атак — на 182% больше, чем в 2021 году. Развивается и инфраструктура злоумышленников: число доменов, использованных в фишинговых кампаниях, превысило 1,5 млн, причем более 75% из них были зарегистрированы киберпреступниками специально для проведения атак.
Рост наблюдается и в электронной почте. По оценке Cofense, в 2025 году одна вредоносная фишинговая рассылка фиксировалась каждые 19 секунд. Годом ранее показатель составлял 42 секунды, что говорит о высоких темпах автоматизации и масштабируемости криминальных активностей.
Российская статистика подтверждает общемировой тренд. По итогам 2025 года система «Антифишинг» выявила 217 тыс. вредоносных ресурсов, из которых около трети представляли собой фишинговые сайты. Роскомнадзор за тот же период заблокировал свыше 100 тыс. фишинговых ресурсов — в 3,3 раза больше, чем годом ранее. По данным F6, только за первое полугодие 2025 года количество фишинговых ресурсов в России увеличилось почти на 8%, а злоумышленники в среднем создавали более двух тысяч поддельных площадок для атак на каждый популярный бренд.
По нашей статистике антифишингового тренинга, около половины атак оказались успешны и привели к компрометации пользователей. В 63% успешных фишинговых атак злоумышленник получает доступ ко внутренней сети менее чем за 2 часа после того, как сотрудник ввел свои данные на вредоносной странице.
Еще в 27% случаев атакующий закрепляется во внутреннем периметре, создает дополнительные точки входа и сохраняет доступ на недели и месяцы, даже если жертва поменяла пароль.
Скорость реакции службы безопасности на инцидент в этих реалиях становится абсолютно критическим параметром.
Кто мишень и как ее поражают
Наиболее подвержены фишингу компании из ритейла и логистики — до 68% сотрудников открывают тестовое фишинговое письмо. В банковском секторе и страховании этот показатель ниже (21-27%), но с важной оговоркой: там сложнее добиться добровольных сообщений об инцидентах из-за культуры тотального контроля и страха наказания.
Основным вектором проникновения всегда остается электронная почта (65% атак). Более редкие кейсы — вишинг (voice phishing, голосовой фишинг), на который приходится 15% объема, а также альтернативные сценарии — Spear Phishing (таргетированный фишинг на конкретного человека, небольшую группу лиц) из внутренней сети, разработка сложных нагрузок, мессенджеры и иные нестандартные методы (20%). Они требуют большей подготовки, но отличаются повышенным процентом успешности.
Что касается успешности проведения атак, то вишинг с подменой голоса лидирует с 80% успеха, почта дает 49%, а мессенджеры – 42% успеха.
К популярным сценариям почтового фишинга можно отнести массовую рассылку от имени HR с темой «График выплаты премии за май». Самая высокая конверсия (32-49%) в понедельник утром и перед обедом, когда сотрудники просматривают почту наспех. Аналогично эффективно работают любые темы, связанные с любопытством («Зарплата руководства.xlsx»), страхом («Список на сокращения.xlsx») и «халявой» («Изменения условий компенсации.doc»).
Вишинг вызывает отклик тогда, когда жертва знает голос человека, от лица которого совершается звонок. Например, звонок от лица генерального директора специалисту технической поддержки с просьбой сбросить пароль. Стоит помнить, что атакующие могут давить авторитетом на обычных сотрудников: «Я понимаю, что есть регламент, но мне нужно срочно! Если вы этого не сделаете, я подниму вопрос о вашем депремировании перед вашим начальством». Если в компании есть корпоративные стандарты и регламенты, им должны строго следовать все без исключения.
Наконец, «корпоративный фишинг» через взломанный аккаунт реального сотрудника — самый опасный вид атаки. Когда письмо приходит с легитимного домена и от человека, которому коллега доверяет, распознать такую активность как атаку может менее 15% персонала даже после обучения.
Вопрос цены: фишинг-экономика
Атака на человека — одна из самых дешевых на черном рынке. Одну фишинговую рассылку можно уместить в бюджет размером буквально в $10, тогда как сложная инфраструктура под распределенный брутфорс корпоративного VPN встанет в пару сотен, а Zero Day – сотни тысяч.
- Рассылка на 5000 сотрудников через готовый фишинговый шаблон (аренда домена, SMTP-сервер, базовый шаблон) — от $10 до $50
- Распределенный брутфорс корпоративного VPN с обходом lockout-политик (аренда ботнета, прокси, подбор по словарям) — $300–$800
- Zero-day эксплойт для Microsoft Exchange или VPN от Pulse Secure — $200,000 – $500,000 на хакерских форумах
При этом матожидание ущерба от одного успешного фишинга (простой бизнеса, утечка, восстановление, штрафы по 152-ФЗ) для среднестатистической крупной компании — от 5 до 50 миллионов рублей.
Экономика предельно ясна: атакующему выгодно вкладываться в фишинг из-за дешевизны организации, защитнику — в силу масштаба потенциальных последствий. По сути, единственным способом отражать такие нападения является обучение людей, а наиболее эффективным методом остается симуляция фишинговой активности.
Баланс обучения и нагрузки
Главный момент: фишинг-симуляция – это не KPI для отдела безопасности, а тест-драйв корпоративной культуры. Сотрудник «ведется» на фишинг не потому, что он глупый, необучаемый или ленивый. Он кликает «Открыть» или отвечает на сообщение хакеров потому что он ответственный: у него горят дедлайны, а в письме от имени генерального директора в пятницу в 17:45 в поле «Тема» стоит пометка «СРОЧНО!».
Хакеры эксплуатируют лучшее в людях, поэтому достичь нулевого показателя переходов по фишинговым ссылкам практически невозможно. Когда руководство требует любой ценой снизить количество кликов, сотрудники начинают бороться не с угрозой, а с последствиями для себя. Ошибки скрываются, инциденты замалчиваются, а обращение в службу ИБ начинает восприниматься как признание собственной некомпетентности. В результате формальная статистика улучшается, но реальная защищенность компании может снижаться.
Если сотрудник ошибся, но сообщил об этом через пять минут, у службы безопасности остается достаточно времени для реагирования. Если же он побоялся наказания и промолчал, злоумышленник получает часы, а иногда и дни на закрепление во внутренней инфраструктуре.
Поэтому нужно смотреть в сторону других параметров: например, 100% сообщений от сотрудников в ИБ-службу при любом подозрении на неладное. Как это выглядит в цифрах? В компании с культурой «Мы сообщаем обо всех инцидентах» после фишинговой симуляции 80-90% сотрудников пишут в ИБ или своему руководителю. В компании с репрессивной культурой со штрафами за клики по фишинговым ссылкам — 5-15%. При этом реальный фишинг выявляется в первом случае за 15-40 минут, во втором — спустя дни, когда данные уже украдены.
Компании первого типа дают 30% ложных срабатываний, когда по ошибке отмечают легитимные письма, зато выявляют 94% реальных атак. А компании второго типа показывают всего 2% ложных срабатываний, но пропускают 67% реальных фишинговых атак просто потому что люди боятся поднимать панику.
Симуляции оптимально проводить не чаще одного раза в квартал. Иначе люди во всем будут видеть обман, мошенников и запустится что-то вроде легкой корпоративной паранойи, которая может вызвать спад производительности. Реже излишняя частота приводит к потере бдительности.
В целом можно ориентироваться на следующую эмпирическую формулу:
- Для офисных сотрудников с высокой почтовой активностью (менеджеры, закупки, бухгалтерия) — 1 симуляция в квартал. Дополнительно — 1 внеплановая симуляция после крупных инцидентов в отрасли;
- Для IT-специалистов и ИБ — 2 симуляции в год, но с более сложными сценариями (Spear Phishing, имперсонация). Они менее подвержены простому фишингу, их надо проверять на нестандартные векторы;
- Для новых сотрудников (испытательный срок) — 1 симуляция в первый месяц и микро-курс «Фишинг для новичков» на 15 минут;
- Для топ-менеджмента — точечный Spear Phishing 1 раз в полгода, но с обязательным личным разбором ошибок, если попались.
Методики и подходы
Метод “пугать сотрудников депремированием за клик” приведет к чрезмерной паранойе и нарушению бизнес-процессов компании. Наказания мотивируют только тщательнее обставлять сокрытие инцидентов. Лучше обучить сотрудников не покрываться сединой от любой ссылки, полученной по почте, а сообщать безопаснику: «У меня есть подозрения. Проверьте!».
Превратите провал в микро-обучение. Человек, который кликнул, через 5 минут получает не выговор, а 2-минутную анимацию — «А вот как надо было сделать, в следующий раз будь на чеку!». Также внедрите четкий алгоритм, который будет единым для реальной атаки и для симуляции. Это снижает панику и унифицирует процесс:
Шаг 1. Автоматическое уведомление (в течение 1 минуты после клика). Сотрудник видит в браузере страницу: «Вы только что перешли по тестовой фишинговой ссылке. Никакой угрозы нет. Пожалуйста, не закрывайте страницу — сейчас будет короткое обучение».
Шаг 2. Микро-обучение (2 минуты). Скриншот того самого письма с подсветкой маркеров: «Вот это домен поддельный, вот это аватар скопирован, вот это орфографическая ошибка, которой не было бы в реальном письме».
Шаг 3. Действие без наказания — сотруднику засчитывается «условный клик», но он не теряет премию и не получает выговор. В личном кабинете обучения появляется флаг «Требуется повторное обучение по теме «фишинг». (5 минут теста через месяц).
Шаг 4. Анонимная статистика для отдела ИБ — собираются данные: какой процент сотрудников кликнул в какой сценарий, в какое время дня, на каком департаменте. Без привязки к ФИО, для анализа уязвимых групп, а не для наказаний.
Если сотрудник кликает на симуляции систематически (более 3 раз за 2 квартала), это повод для индивидуальной беседы (также без депремирования).
Пример сценария такой беседы:
- Руководитель вместе с ИБ-специалистом в течение 15 минут разбирают его последние письма;
- Далее сотруднику объявляют «амнистию»: в случае следующего клика он не наказывается, но должен самостоятельно написать подробную памятку для коллег на тему «Как я чуть не попался на фишинг»;
- В 80% случаев этого достаточно. Только при 5-6 кликах за год можно говорить о профнепригодности в части цифровой гигиены в случаях, если она является критической для выполнения должностных обязанностей, например, если провинившийся — бухгалтер с правом подписи.
Как измерить успех программы
Вместо устаревшей метрики «процент кликов» используйте комплексную оценку. Ее параметры выглядят так:
- Скорость сообщения об инциденте. Замеряется время между открытием фишингового письма и нажатием кнопки «Сообщить об инциденте» (или отправкой письма в ИБ). Целевой показатель: 70% сообщений в течение 30 минут.
- Коэффициент ложных срабатываний. Идеально: 15-25% от всех писем, которые сотрудники пометили как фишинг, оказываются легитимными. Если ложных меньше 5% — люди недосигнализируют, если больше 40% — паранойя и падение производительности.
- Динамика кликабельности по сценариям. После года обучения кликабельность по типовому email-фишингу должна упасть с 49% до 15-20%. По вишингу — с 80% до 35-40%. По мессенджерам — с 42% до 20%.
- Процент сотрудников, прошедших микро-обучение после клика. Цель — 100% к концу недели после симуляции.
- Опрос культуры безопасности (раз в полгода). Вопрос: «Если я случайно кликну на фишинг, меня накажут?». Доля ответов «да» в здоровой организации не должна превышать 20%.
Фишинг-симуляции должны являться не разовой акцией и не инструментом контроля, депремирования и паранойи, а обычным долгосрочным процессом изменения поведения сотрудников, некоторым шаблоном действий: «Сомневаешься? Проверь!».
Только тогда симуляции перестанут быть формальностью для ИБ-аудита и станут реальным щитом.
Автор: Михаил Жмайло, ведущий специалист по анализу защищенности CICADA8.



