СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
StopPhish
24 декабря
#Статьи #ИБ

Манипуляции по сценарию: как Яндекс учит сотрудников распознавать атаки

Манипуляции по сценарию: как Яндекс учит сотрудников распознавать атаки

Изображение: recraft

26 ноября на StopPhish Conference с докладом «Я в безопасности: манипуляции по сценарию» выступил Александр Лунев, руководитель группы продвижения культуры информационной безопасности в Яндексе.

На конференции он рассказал, как в компании выстраивают защиту от социальной инженерии: через понимание психологии атак, работу с контекстом угроз и быструю реакцию.

Ниже — ключевые идеи и практики, которые используются Яндексом в борьбе с злоумышленниками.

Понимание ландшафта угроз: с чего начинается обучение

Обучение строится вокруг понимания контекста атак: когда, на кого и через какие психологические механизмы они работают. В программу обучения рекомендуется включить следующие концепции:

Мошеннический фрейм. Объясняйте сотрудникам, что злоумышленники создают ситуации, в которых жертва действует «на автопилоте». Их цель — подменить привычный сценарий (например, утреннюю рутину или рабочий процесс) своим сценарием, чтобы жертва не заметила подмены до момента совершения действия.

Эмоциональные триггеры

Обучайте распознавать состояния, в которых человек чаще всего уязвим:

  • Спешка;
  • Усталость;
  • Перегруженность задачами;
  • Переключение между работой и личными делами.

Именно в эти «пять свободных минут» между встречами или в дороге человек быстрее соглашается на действие, не проверяя контекст.

Психологические уловки злоумышленников

В обучающих материалах Яндекса отдельно разбирают типовые рычаги давления:

  • Страх (блокировка счета);
  • Невнимательность (похожие домены, мелкие подмены);
  • Раздражение (сложные процедуры отписки);
  • Срочность;
  • Жадность (выгодные предложения);
  • Любопытство;
  • Авторитет (приказы от руководства).

Сотрудник должен уметь распознавать эти приемы в письмах, сообщениях и звонках.

Новые угрозы: AI и дипфейки

Демонстрируйте возможности дипфейков:

  • Подделка голоса, для которой достаточно нескольких секунд записи;
  • «Видео-кружки» в мессенджерах;
  • AI-боты, которые внедряются в рабочие чаты и постепенно втираются в доверие.

Полезно показывать живые примеры новых атак — они наглядно объясняют, почему привычных признаков фишинга уже недостаточно.

Как в Яндексе выстраивают Security Awareness

Эффективность программы держится на персонализации и скорости реакции.

Адаптация и онбординг

В Яндексе не используют один курс на все отделы. Обучение зависит от роли и задач сотрудника:

  • Для разработчиков, бухгалтерии и HR — разные материалы;
  • Для профильных команд безопасности — углубленные программы, которые могут длиться несколько месяцев.

Так сотрудники получают ровно тот уровень знаний, который им нужен.

Регулярная работа в течение года

Фокус на личной безопасности

Материалы строятся вокруг идеи «я в безопасности». Темы про защиту личных аккаунтов, устройств и данных близких людей вызывают больший интерес и со временем формируют привычку, которая переносится на рабочее место.

Проактивное информирование

Не ждите плановых обучений. Если появляется новая схема атаки или происходит инцидент, информация доходит до сотрудников сразу. Скорость оповещения напрямую влияет на масштаб последствий.

Постоянное обновление контента

Обучающие материалы не обновляются «раз в год». Если меняются фишинговые сценарии — меняются курсы, симуляции и примеры. Контент живет в одном ритме с угрозами.

Вовлечение и геймификация

Используйте не только курсы и тесты:

  • Внутренние митапы;
  • Выступления;
  • Командные активности и соревнования.

CTF и Security Challenge

Проводите соревнования не только для «технарей» (поиск уязвимостей), но и общие челленджи для всех сотрудников (например, по поиску информации/OSINT). Это повышает общую цифровую грамотность и интерес к теме.

Каналы коммуникации

Распространяйте информацию там, где сотрудники проводят время (корпоративные мессенджеры, Telegram-каналы). Почта — не единственный и не всегда основной канал.

Работа с подрядчиками

Культура ИБ должна распространяться и на сотрудников внешних организаций, имеющих доступ к инфраструктуре. Внедряйте требования по ИБ и обучению еще на этапе проверки контрагента и подписания договора.

Это снижает риски на внешнем периметре, где часто возникает точка входа для атак.

Ключевые принципы успеха

  • Контекст — постоянное отслеживание актуальных схем мошенников.
  • Проактивность — рассказывать сотрудникам об угрозах до того, как они массово затронут компанию.
  • Актуальность — обновлять контент в режиме реального времени, а не по календарному графику.

Опыт Яндекса показывает, что защита от социальной инженерии должна строиться не вокруг одного курса или инструмента. Она держится на понимании психологии атак, скорости реакции и регулярной работе с контекстом угроз.

Сотрудники принимают правильные решения тогда, когда:

  • Узнают знакомые сценарии;
  • Понимают, на какие эмоции пытаются надавить;
  • Получают информацию вовремя, а не постфактум.

Такой подход к обучению позволяет снижать риски, а не реагировать на инциденты после того, как ущерб уже нанесен.

StopPhish
Автор: StopPhish
StopPhish — команда, которая меняет подход к обучению сотрудников кибербезопасности. Мы создали уникальную методологию Security Awareness и платформу, которая снижает количество инцидентов из-за человеческого фактора в 20–30 раз. StopPhish — это не скучные курсы "для галочки", а реальные сценарии атак, симуляции фишинга и тренировки, которые учат противодействовать социальной инженерии. Кроме обучения, мы даём компаниям полный набор инструментов для повышения осведомлённости: памятки, чек-листы, плакаты и уникальный браузерный плагин, который моментально уведомляет службу ИБ о попытках ввода данных на фишинговых сайтах — аналогов в России нет.
Комментарии: