.PNG)
1Что такое фишинг
Фишинг — это вид кибератаки, при которой злоумышленник маскируется под доверенный источник (банк, контрагент, руководитель), чтобы выманить у жертвы учётные данные, платёжную информацию или заставить выполнить вредоносное действие. Для бизнеса фишинг — это не просто спам: это точка входа для шифровальщиков, кражи данных и компрометации всей корпоративной инфраструктуры.
По данным НКЦКИ, фишинг остаётся причиной номер один для первичного проникновения в корпоративные сети российских компаний. Разберём основные виды фишинговых атак, направленных на бизнес:
- Email-фишинг — массовая рассылка писем от имени банков, госорганов, контрагентов с вредоносными вложениями или ссылками
- Spear-phishing (целевой фишинг) — атака на конкретного сотрудника с использованием персональной информации из открытых источников
- Whaling (китобойный фишинг) — атака на топ-менеджеров и руководителей с целью получения доступа к критичным системам или авторизации платежей
- Vishing (голосовой фишинг) — звонки от имени техподдержки, банка или контрагента с просьбой продиктовать коды или установить ПО для удалённого доступа
- Smishing (SMS-фишинг) — вредоносные ссылки в SMS-сообщениях, часто маскирующиеся под уведомления от служб доставки или банковских приложений
2Фишинг в цифрах: статистика атак на российские компании
Вот ключевые цифры, которые показывают масштаб фишинга для российского бизнеса:
83%
Компаний в РФ
сталкивались с фишингом в 2025 г.
4.5 млн ₽
Средний ущерб
от успешной фишинговой атаки
27%
Сотрудников
кликают по фишинговым ссылкам (без обучения)
2 мин
Время клика
среднее время до перехода по ссылке
Важно для СМБ
3Признаки фишингового письма
Научите сотрудников распознавать фишинговые письма по этим 8 признакам. Даже один из них — повод остановиться и проверить письмо через ИБ-службу или SOC:
Подозрительный адрес отправителя
Домен отличается от официального на 1-2 символа: sberbank.ru vs sberbenk.ru, или используется бесплатная почта
Срочность и давление
Требование немедленного действия: «заблокируем аккаунт через 2 часа», «оплатите до конца дня»
Ссылки не совпадают с текстом
Текст ссылки показывает один URL, а при наведении — другой. Часто используются сокращатели ссылок
Вложения неожиданного формата
Файлы .exe, .scr, .js, .iso в письмах от «контрагентов». Или документы с запросом на включение макросов
Грамматические ошибки
Орфографические ошибки, нетипичные обороты речи, смесь языков — признак автоматического перевода
Запрос конфиденциальных данных
Просьба прислать пароль, код из SMS, данные карты. Легитимные сервисы никогда не запрашивают это по email
Обезличенное обращение
«Уважаемый клиент» вместо имени. Целевой фишинг может содержать имя, но другие признаки остаются
Несоответствие контексту
Письмо «от бухгалтерии» в воскресенье, счёт от неизвестного контрагента, уведомление о посылке которую не заказывали
4Как защитить компанию от фишинга
Защита от фишинга — комплекс мер: от технических средств до обучения персонала. Сравниваем основные меры по стоимости и эффективности для компаний от 50 ПК:
| Мера защиты | Стоимость | Эффективность |
|---|---|---|
| Антиспам-фильтрация (SPF, DKIM, DMARC) | Бесплатно (настройка DNS) | Блокирует до 70% массового фишинга |
| Обучение и фишинг-симуляции | От 30 000 ₽/год | Снижает кликабельность на 60-75% |
| Многофакторная аутентификация (MFA) | От 100 ₽/пользователь/мес | Блокирует 99% атак с украденными паролями |
| SOC-мониторинг (антифишинг) | От 50 000 ₽/мес | Обнаружение целевого фишинга + реагирование 24/7 |
| Антифишинг-платформы (Kaspersky, F.A.C.C.T.) | От 200 ₽/пользователь/мес | Автоматическое обнаружение + блокировка 95%+ писем |
Рекомендация
5Что делать если сотрудник перешёл по фишинговой ссылке
Даже при хорошей защите инциденты случаются. Важно иметь чёткий план реагирования. Вот пошаговый алгоритм действий при фишинговом инциденте:
Шаг 1. Отключить устройство от сети
Немедленно отключите Ethernet-кабель и Wi-Fi. Не выключайте компьютер — это может уничтожить следы для расследования
Шаг 2. Сообщить в ИБ-службу или SOC
Позвоните (не пишите email — он может быть скомпрометирован). Передайте: что за письмо, когда кликнули, вводили ли данные
Шаг 3. Сменить все пароли с другого устройства
Смените пароль от корпоративной почты, AD, VPN и всех сервисов, к которым есть доступ. Используйте чистое устройство
Шаг 4. Проверить устройство на компрометацию
SOC-аналитик или EDR-система должны проверить: запускались ли подозрительные процессы, были ли сетевые подключения к C2-серверам
Шаг 5. Оценить масштаб компрометации
Проверить логи: кто ещё получил это письмо, были ли переходы с других устройств, не произошло ли бокового перемещения
Шаг 6. Заблокировать индикаторы компрометации
Добавить домен, IP-адрес и хеш вложения в чёрные списки на файрволе, прокси и почтовом шлюзе
Шаг 7. Уведомить коллег об атаке
Разослать предупреждение сотрудникам с примером фишингового письма и инструкцией — что делать если получили такое же
Шаг 8. Провести разбор инцидента (post-mortem)
Зафиксировать: как письмо обошло фильтры, что можно улучшить, нужно ли дополнительное обучение или настройка средств защиты
6SOC-мониторинг и антифишинг
Корпоративный SOC (Security Operations Center) эффективнее всего обнаруживает целевые фишинговые кампании, которые обходят стандартные фильтры. Вот как SOC-аналитики КРЕДО-С находят и блокируют фишинг:
- Мониторинг почтового трафика — анализ заголовков, вложений и ссылок в реальном времени с корреляцией через SIEM
- Threat Intelligence — обогащение событий данными о фишинговых кампаниях из баз ФинЦЕРТ, НКЦКИ и коммерческих фидов
- Поведенческий анализ — обнаружение аномалий: массовая пересылка писем, логины из нетипичных локаций после клика
- Фишинг-симуляции — регулярные учебные рассылки для проверки готовности сотрудников с отчётами для руководства
- Реагирование 24/7 — при обнаружении фишинговой кампании SOC блокирует домены, изолирует устройства и уведомляет ответственных
SOC КРЕДО-С — антифишинг для бизнеса
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Дмитрий Чекмарев
Специалист по информационной безопасности
С 2023 года консультирует государственные учреждения и предприятия ВПК. Внедряет сертифицированные ФСТЭК и ФСБ средства защиты. Специализация: анализ угроз, расследование инцидентов.