menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Фишинг: как не попасться на удочку

лонгриды
13.01.2023
26/04/25
Б-152
Егор Андюков
Лонгриды
События /
Фишинг: как не попасться на удочку
В современном цифровом мире фишинг представляет собой одну из наиболее серьезных и распространенных киберугроз, с которой сталкиваются как обычные пользователи, так и крупные компании. Эта форма интернет-мошенничества, направленная на выманивание конфиденциальной информации, существенно эволюционировала за последние годы, превратившись из простых массовых рассылок в сложные, психологически выверенные атаки.
В данной статье подробно рассматриваются механизмы работы фишинга, его разновидности, актуальные тенденции 2023−2024 годов, а также эффективные методы защиты от этой угрозы, подчеркивая важность цифровой гигиены и системного подхода к обеспечению информационной безопасности.
Инциденты: статистика и последствия
Содержание
Что такое фишинг: от теории к практике
Типы фишинга
Актуальные тенденции 2023−2024 гг.
Как защититься: рекомендации для сотрудников
Как минимизировать риски: рекомендации для ИБ-службы
Выводы
Выводы
Как минимизировать риски: рекомендации для ИБ-службы
Как защититься: рекомендации для сотрудников
Актуальные тенденции 2023−2024 гг.
Типы фишинга
Что такое фишинг: от теории к практике
Содержание
Инциденты: статистика и последствия
Представьте: вы получаете письмо от службы безопасности вашей компании с пометкой «Срочно! Нарушение политики доступа», где просят перейти по ссылке и подтвердить свои учётные данные. Или вам звонит «банк» и сообщает, что с вашей карты списана крупная сумма, но её можно вернуть, если назвать код из СМС.
Большинство людей хотя бы раз в жизни сталкивались с подобными ситуациями. Это и есть фишинг — одна из самых распространённых форм интернет-мошенничества, направленная на выманивание конфиденциальной информации.
За последние годы фишинг эволюционировал из примитивных массовых рассылок в высокоточные, психологически выверенные атаки. Злоумышленники активно используют социальную инженерию, подделывают письма от коллег, партнеров и руководства, рассылают поддельные счета и уведомления от сервисов. Причём жертвой может стать не только неопытный пользователь, но и технически грамотный специалист.
В условиях стремительной цифровизации и массового перехода на удалённый формат работы риски многократно возросли. Современный фишинг стал частью повседневной реальности, в которой каждый — от секретаря до руководителя — может оказаться мишенью.
Понимание сути этих атак и базовых принципов защиты — важнейший навык, сравнимый с цифровой гигиеной. Ведь один неосторожный клик может обернуться не только личными потерями, но и серьёзными последствиями для всей компании. В этой статье мы разберемся, как устроен фишинг, какие бывают его виды, какие уловки применяют мошенники и как каждому из нас научиться «не клевать на наживку».

Инциденты: статистика и последствия

Фишинг продолжает доминировать среди векторов атак в 2024 году и остается ключевой причиной утечек данных, компрометации бизнес-процессов и финансовых потерь. По данным SlashNext, количество фишинговых сообщений за 2024 год увеличилось на 202%, а атак, направленных на кражу учетных данных, — на 703%.
Согласно Hoxhunt Phishing Trends Report, 64% компаний по всему миру столкнулись с инцидентами, связанными с компрометацией деловой переписки (BEC), а средний ущерб от одной атаки составил $ 150 000. Одновременно растет уровень доверия пользователей к вредоносным ресурсам: около 80% фишинговых сайтов в 2024 году используют HTTPS, что затрудняет визуальное распознавание подделок.
В России также зафиксирован значительный рост активности: по данным Яндекс и Лаборатории Касперского, число фишинговых атак в банковской и госслужбах выросло более чем вдвое. Особенно опасными остаются фальшивые сообщения от имени «Госуслуг», налоговой службы и популярных маркетплейсов.
  • Microsoft — 38% всех фишинговых попыток;
  • Google — 11%;
  • Amazon, Facebook, LinkedIn, PayPal — суммарно около 30%.
Наиболее часто атакуемые бренды по версии Check Point и DMARCReport:

Что такое фишинг: от теории к практике

Термин «фишинг» происходит от английского слова fishing (рыбалка), где в роли наживки выступает ложная информация, а целью становится получение конфиденциальных данных пользователя.
Это форма социальной инженерии, при которой злоумышленник, выдавая себя за доверенное лицо или организацию, добивается от жертвы определенных действий — например, раскрытия логина и пароля, подтверждения финансовой операции или установки вредоносного программного обеспечения.
Ключевая особенность фишинга — психологическое давление. Мошенники рассчитывают на импульсивность и недостаточную внимательность. Часто атака сопровождается элементами срочности («Ваш аккаунт будет заблокирован через 15 минут»), авторитетности («Письмо от директора») или социальной привлекательности («Вы выиграли подарок»).
Сегодня фишинг не ограничивается только электронной почтой. Атаки реализуются через мессенджеры, SMS, голосовые звонки (vishing), поддельные веб-формы, QR-коды и даже рекламу. Более того, преступники всё чаще используют технологии автоматизации и искусственного интеллекта для генерации правдоподобных текстов и персонализированных сценариев.
Исторически первые фишинговые атаки были нацелены на пользователей почтовых сервисов и систем онлайн-банкинга. Простые письма с пугающим или обнадеживающим содержанием часто содержали ссылку на поддельный сайт, визуально идентичный оригиналу. С тех пор арсенал фишеров значительно расширился.

Типы фишинга

Фишинг может быть:
  • массовым, когда одно и то же сообщение рассылается тысячам пользователей;
  • целевым (spear phishing), когда подделка адаптирована под конкретного человека или компанию;
  • корпоративным (BEC, business email compromise) — при захвате бизнес-переписки и подмене платёжных данных.
В зависимости от используемого канала коммуникации различают следующие основные виды фишинга:
  • Email-фишинг — наиболее распространённый формат. Злоумышленник рассылает письма с вредоносными вложениями или ссылками на поддельные сайты. Часто используется подмена адреса отправителя и подделка оформления под известные бренды.
  • Smishing (SMS-фишинг) — атаки через текстовые сообщения. Как правило, содержат ссылку на вредоносный ресурс или просьбу перезвонить. Примеры: «Ваша карта заблокирована», «Подтвердите доставку посылки».
  • Vishing (Voice-фишинг) — голосовые звонки от якобы представителей банков, техподдержки, правоохранительных органов. Мошенники убеждают жертву предоставить данные карты или выполнить перевод.
  • Pharming — атака, при которой пользователь перенаправляется на поддельный сайт, даже если набрал правильный адрес. Часто сопровождается заражением DNS или взломом маршрутизатора.
  • Фишинг через QR-коды (quishing) — внедрение вредоносных ссылок в QR-коды, размещаемые на рекламных материалах, письмах, баннерах.
  • Фишинг в соцсетях и мессенджерах — фейковые аккаунты и сообщения от имени знакомых или популярных брендов с призывами перейти по ссылке или установить приложение.
  • Clone phishing — создание почти точной копии ранее отправленного легитимного письма, но с вредоносной ссылкой или вложением.
Современные фишинговые атаки часто комбинируют несколько векторов — например, письмо с вредоносной ссылкой, за которым следует звонок «из техподдержки». Такая мультиканальная стратегия повышает вероятность успеха.
Фишинг опасен не только своей масштабностью, но и тем, что зачастую не требует взлома технических систем — достаточно добиться одного клика пользователя. Именно поэтому он продолжает оставаться главной точкой входа для большинства инцидентов, включая атаки с использованием вредоносных программ, программ-шифровальщиков, а также компрометации учётных записей.
Понимание механизмов фишинга — основа цифровой безопасности любого человека и компании.

Актуальные тенденции 2023−2024 гг.

Фишинг в последние годы претерпевает значительные изменения — как по формату атак, так и по их целям. Современные фишинговые кампании становятся всё более персонализированными, технически совершенными и психологически выверенными
В условиях глобальной цифровизации, массового перехода на удалённую работу и активного использования корпоративных платформ, злоумышленники адаптируют подходы к актуальному контексту. Ниже приведены ключевые тенденции фишинга, актуальные на 2023−2024 гг.
Особенности новых векторов:
  • Увеличение атак через смс (смс-фишинг) — рост на 174% по сравнению с 2023 годом (данные Evri);
  • Рост атак на облачные сервисы: Google Workspace, Microsoft 365 и др.;
  • Фишинг через QR-коды активно используется в публичных местах и корпоративной рассылке;
  • Маскировка под легитимные ресурсы (Google Docs, OneDrive, Dropbox) позволяет обходить традиционные фильтры;
  • Распространение атак на персональные устройства сотрудников в рамках BYOD-политик.
1. Рост атак на корпоративный сектор (BEC и CEO-фишинг)
Основной вектор — компрометация бизнес-переписки. Злоумышленники получают доступ к корпоративным почтовым ящикам, изучают стиль переписки и инициируют поддельные запросы на перевод средств или раскрытие информации.
Часто атаки маскируются под письма от руководства или бухгалтерии, с измененными платёжными реквизитами. Потери компаний от BEC-инцидентов в мире исчисляются миллиардами долларов.практики (использование личных устройств для работы) растёт количество атак, нацеленных на смартфоны и планшеты: через SMS, мессенджеры, push-уведомления и поддельные приложения. Особенно опасны случаи, когда личное устройство сотрудника получает доступ к внутренним системам компании.
Благодаря ИИ, тексты фишинговых писем становятся более грамотными, адаптированными под контекст, с учетом лексики и формата общения конкретной организации. ИИ позволяет создавать фишинговые сообщения, неотличимые от настоящих по стилю и оформлению.
2. Интеграция искусственного интеллекта (ИИ) в фишинг
Фишинговые атаки выходят за рамки email: активно используются мессенджеры (WhatsApp, Telegram), корпоративные чаты (Slack, Teams), голосовые звонки, QR-коды, push-уведомления от скомпрометированных приложений и даже поддельные формы обратной связи на сайтах.
3. Расширение каналов доставки фишинга
Всплеск онлайн-покупок и активность на платформах «Госуслуги», налоговых и банковских порталах породили волну фишинговых сообщений, маскирующихся под официальные уведомления. Пользователей просят подтвердить личность, оплатить пошлину или ввести данные карты для возврата средств.
4. Фишинг под видом служб доставки и госуслуг
Один из наиболее тревожных трендов: злоумышленники внедряют вредоносные ссылки в QR-коды, размещенные на офлайн-рекламе, баннерах, письмах. Сканирование такого кода на смартфоне может привести к подлинному сайту с формой авторизации или загрузке вредоносного ПО.
5. QR-фишинг (quishing)
Злоумышленники активно атакуют корпоративные аккаунты в Microsoft 365, Google Workspace, Zoom, DocuSign и других облачных платформах. Вредоносные ссылки ведут на фальшивые страницы авторизации, визуально неотличимые от настоящих. В ряде случаев жертвы не осознают, что отдали злоумышленнику ключ к всей корпоративной среде.
6. Фокус на компрометации облачных и SaaS-сервисов
Сотрудники, работающие вне корпоративного периметра, часто оказываются менее защищёнными: отсутствует централизованная фильтрация трафика, слабый контроль за обновлениями, высокая психологическая уязвимость. Злоумышленники эксплуатируют это, рассылая письма о смене политик безопасности, запросы на подтверждение VPN-доступа и пр.
7. Фишинг против удалённых сотрудников
Всё чаще атаки маскируются под документы, размещённые на популярных сервисах — Google Drive, Dropbox, OneDrive. Ссылка ведёт не напрямую на вредоносный файл, а на файл-обманку, имитирующий форму входа. Такой подход помогает обходить фильтры и вызывает меньше подозрений у пользователей.
8. Использование легитимных платформ для доставки вредоносного контента
С развитием BYOD-практики (использование личных устройств для работы) растёт количество атак, нацеленных на смартфоны и планшеты: через SMS, мессенджеры, push-уведомления и поддельные приложения. Особенно опасны случаи, когда личное устройство сотрудника получает доступ к внутренним системам компании.
Эти тренды свидетельствуют о том, что фишинг развивается быстрее, чем меры защиты. Всё чаще он выходит за рамки шаблонных писем с орфографическими ошибками и переходит в плоскость тонко спланированных, технически сложных и персонализированных атак.
Компании должны адаптировать свои стратегии информационной безопасности, включая регулярное обучение персонала, внедрение многофакторной аутентификации и постоянный мониторинг подозрительной активности.
9. Рост атак на персональных устройствах сотрудников

Как защититься: рекомендации для сотрудников

Ниже приведены ключевые правила поведения, рекомендованные к соблюдению всеми сотрудниками организации. Они являются неотъемлемой частью политики информационной безопасности и направлены на предупреждение фишинговых атак.
Следование этим правилам обязательно при работе с электронной почтой, мессенджерами, корпоративными сервисами и при взаимодействии с внешними контактами.
1. Будьте внимательны к отправителю
Проверяйте адрес электронной почты: домены могут отличаться всего на одну букву (например, @secure-bank.com vs @secur-bank.com).
Всегда открывайте сайты вручную, особенно при получении сообщений от «банков», «Госуслуг» и «курьерских служб».
2. Не переходите по ссылкам из подозрительных писем
Настоящие организации не требуют авторизации через сторонние формы.
3. Никогда не вводите логины и пароли по ссылке из письма
Ошибки, странные формулировки, нестандартные логотипы или вложения — признаки фишинга.
4. Проверяйте оформление писем
Быстрая реакция позволяет локализовать угрозу до её распространения.
5. Сообщайте о подозрительных письмах в службу ИБ или IT
Особенно файлы с расширением .exe, .scr, .js, .bat или заархивированные документы.
6. Не открывайте вложения без предварительной проверки
Даже при утечке одного пароля учётная запись останется защищённой.
7. Используйте уникальные пароли и двухфакторную аутентификацию (2FA)
Их аккаунты тоже могли быть взломаны.
8. Не доверяйте неожиданным сообщениям даже от знакомых
Уязвимости в устаревших приложениях часто становятся каналом атаки.
Оно не формальность: знание типовых сценариев — залог вашей защищённости.
9. Периодически обновляйте ПО и антивирус
10. Проходите внутреннее обучение по информационной безопасности

Как минимизировать риски: рекомендации для ИБ-службы

Ниже сформулированы организационно-технические меры, рекомендуемые к включению в локальные акты, регламенты и планы по обеспечению информационной безопасности организации.
1. Организуйте постоянное обучение персонала
  • Проведение регулярных курсов и тренингов;
  • Имитация фишинговых атак с последующим разбором ошибок (Phishing Simulation);
  • Включение вопросов по фишингу в адаптацию новых сотрудников.

2. Внедрите технические средства защиты
  • Использование SPF, DKIM и DMARC для защиты почты;
  • Песочницы (sandbox) для анализа вложений;
  • Антифишинговые фильтры и прокси с URL-фильтрацией;
  • EDR/XDR-системы для обнаружения аномалий;
  • Политики ограничения макросов в документах Microsoft Office.

3. Выстраивайте процессы быстрого реагирования
  • Канал оперативного информирования пользователей о выявленных атаках;
  • Внедрение планов реагирования на фишинг (playbooks);
  • Обработка инцидентов в SIEM/SoC-среде с логированием и триажем.

4. Контролируйте доступ и применяйте принцип минимальных привилегий
  • Многофакторная аутентификация для всех критичных сервисов;
  • Регулярная ревизия прав доступа;
  • Изоляция BYOD-устройств и их подключение через VPN с фильтрацией трафика.

5. Мониторьте цифровую репутацию компании
  • Регулярная проверка наличия фейковых доменов и сайтов;
  • Использование сервисов threat intelligence для отслеживания упоминаний бренда.

6. Оценивайте эффективность защиты регулярно
  • Аудит почтовой инфраструктуры;
  • Тестирование уязвимостей (включая фишинг);
  • Участие в отраслевых киберучениях.

Выводы

Фишинг остаётся одной из главных киберугроз для компаний любого масштаба и отрасли. Эволюция методов атаки, использование искусственного интеллекта, персонализированные сценарии и мультиканальные подходы делают эту угрозу всё более сложной для выявления и предотвращения. При этом человеческий фактор остаётся критическим звеном: даже самая надёжная защита может быть обойдена одним неосторожным кликом.
Базовый уровень защиты (бесплатно или минимальные затраты):
✔ Назначены ответственные лица за контроль фишинговых рисков и реагирование на инциденты
✔ Внедрены SPF, DKIM и DMARC для защиты исходящей почты
✔ Проводятся регулярные фишинг-симуляции для повышения осведомлённости персонала
✔ Обучение по теме фишинга включено в адаптацию новых сотрудников
✔ Применяется многофакторная аутентификация на всех критичных сервисах
✔ Организован канал оперативного информирования сотрудников о фишинговых угрозах
✔ Выполняется регулярный аудит уязвимостей, включая проверку почтовой инфраструктуры
✔ Ведётся мониторинг упоминаний компании и фейковых доменов в открытом доступе
✔ Внедрены песочницы (sandbox) для анализа вложений и подозрительных ссылок
✔ Используются EDR/XDR-системы для обнаружения и реагирования на инциденты на рабочих станциях
✔ Реализована SIEM/SoC-инфраструктура для централизации логов и автоматического реагирования
✔ Используются внешние источники threat intelligence для выявления и оценки актуальных фишинговых кампаний
✔ Установлены партнёрские связи с CERT/CSIRT и отраслевыми центрами обмена информацией о киберугрозах
Углубленный уровень защиты (для компаний с высоким уровнем зрелости ИБ и требующие больших расходов):
Чек-лист для компании
Борьба с фишингом требует системного подхода: от обучения персонала и внедрения технических решений до построения процессов реагирования и контроля цифровой среды. Компании, которые воспринимают фишинг как управляемый риск, добиваются лучших результатов в устойчивости и защите своих активов.
Такой чек-лист может служить основой для регулярного самоаудита и повышения зрелости системы информационной безопасности в части защиты от фишинга.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме