Фишинг в компании: как защитить сотрудников и корпоративную почту

Можно потратить большой бюджет на межсетевые экраны, антивирусы и резервное копирование, а потом потерять деньги из-за одного письма, на которое ответил бухгалтер. Фишинг — это атака не на технику, а на людей: злоумышленник убеждает сотрудника сделать то, что откроет доступ к данным, деньгам или системам. По наблюдениям отрасли, именно почта остаётся одним из главных каналов проникновения в корпоративные сети.

Хорошая новость в том, что фишинг управляем. Против него работает не один «волшебный продукт», а связка из двух слоёв: технического (что отсекает машина) и организационного (что распознаёт человек). Ниже — как выстроить оба слоя так, чтобы убедительное письмо не превратилось в инцидент.

Что такое фишинг и какие виды бывают

Фишинг (от англ. fishing — «рыбалка») — это попытка обманом получить от человека ценные сведения (логины, пароли, данные карт) или заставить его выполнить действие (оплатить счёт, открыть вложение, перейти по ссылке). Письмо маскируется под доверенный источник: банк, налоговую, коллегу, руководителя, известный сервис.

На практике встречаются три основных вида, и защищаться от них нужно по-разному.

Массовый фишинг. Безадресные рассылки «по площадям»: поддельные уведомления от банков, служб доставки, «вы выиграли», «ваш аккаунт заблокирован». Рассчитаны на объём — даже если откликнется малая доля получателей, атака окупится. Такие письма чаще всего ловятся антиспам-фильтрами, но часть всё равно доходит до ящиков.

Целевой фишинг (spear-phishing). Здесь злоумышленник заранее изучает компанию и конкретного человека: имя руководителя, структуру отделов, текущие проекты, стиль переписки. Письмо выглядит правдоподобно — «по итогам совещания пришлите, пожалуйста, договор», «оплатите счёт от знакомого вам подрядчика». Целевые письма обходят фильтры именно потому, что не похожи на спам.

BEC — компрометация деловой переписки (Business Email Compromise). Самый опасный для финансов вид. Мошенник выдаёт себя за директора, контрагента или бухгалтерию и под предлогом срочности просит сменить реквизиты, оплатить «новый» счёт или переслать документы. Часто в таких письмах нет ни вложений, ни ссылок — а значит, для технических фильтров они «чистые». Цель — не заразить компьютер, а заставить человека перевести деньги. Иногда атаке предшествует реальный взлом почты сотрудника, и тогда письмо приходит с настоящего, легитимного адреса.

Вывод из этой классификации простой: чем точнее атака нацелена, тем меньше помогает автоматика и тем важнее подготовленность людей.

Почему технических мер недостаточно

Антиспам, фильтры и подпись домена отлично справляются с массовыми рассылками и грубыми подделками. Но у технического слоя есть принципиальный потолок: он не умеет читать намерение. Если письмо пришло с легитимного адреса (например, со взломанного ящика реального контрагента), грамотно написано и не содержит вредоносных вложений — для машины это нормальная деловая переписка.

Именно поэтому целевой фишинг и BEC так результативны. Они эксплуатируют не уязвимость в коде, а уязвимость в поведении: спешку, доверие к авторитету, страх упустить важное, привычку «по-быстрому» кликнуть и ответить. Никакой фильтр не остановит сотрудника, который сам, добровольно, вводит пароль на убедительной поддельной странице или меняет реквизиты по «просьбе директора».

Поэтому защита от фишинга — это всегда два слоя. Технический снижает поток и отсекает явное. Организационный готовит человека распознать то, что прошло сквозь фильтры. Без второго слоя первый дырявый; без первого — второй перегружен. Работают они только вместе.

Технический слой защиты

Это то, что настраивается один раз и работает постоянно, отсекая основную массу угроз ещё до того, как письмо увидит человек.

Антиспам-шлюз и фильтрация почты

Первая линия — почтовый шлюз с антиспам- и антифишинг-фильтрами. Он анализирует репутацию отправителя, содержимое, ссылки, признаки подделки и отсекает массовые рассылки. Для российских компаний это могут быть как встроенные средства почтовой платформы, так и специализированные шлюзы безопасности почты. Подробнее о таком классе решений — в нашей вики-статье про антиспам-шлюз.

SPF, DKIM и DMARC — подпись и защита домена

Три механизма, которые мешают мошенникам отправлять письма от имени вашего домена:

• SPF (Sender Policy Framework) — список серверов, которым разрешено отправлять почту от вашего домена. Письма с «чужих» серверов помечаются как подозрительные.
• DKIM (DomainKeys Identified Mail) — криптографическая подпись письма, подтверждающая, что его содержимое не подменили в пути.
• DMARC (Domain-based Message Authentication) — политика, которая связывает SPF и DKIM и говорит принимающим серверам, что делать с письмами, не прошедшими проверку: пропустить, отправить в карантин или отклонить. DMARC также присылает отчёты о попытках подделки.

Правильно настроенная связка SPF/DKIM/DMARC резко затрудняет подделку адреса вашего домена — частый приём в массовом фишинге и BEC.

MFA — многофакторная аутентификация

Даже если сотрудник ввёл пароль на поддельной странице, MFA (многофакторная аутентификация, в быту «двухфакторка») не даст злоумышленнику войти без второго фактора. Это один из самых эффективных по соотношению «усилие/результат» барьеров. Важная оговорка: SMS-коды перехватываемы, надёжнее аппаратные ключи или приложения-аутентификаторы. Как внедрять MFA на практике — разбираем в материале про MFA / 2FA.

Песочница для вложений и проверка ссылок

Песочница (sandbox) — изолированная среда, в которой подозрительное вложение «открывается» автоматически до того, как попадёт к пользователю. Если файл проявляет вредоносное поведение, письмо блокируется. Аналогично работает переписывание ссылок: при клике пользователь сначала попадает на проверочный шлюз, который оценивает безопасность целевой страницы в момент перехода (а не в момент доставки письма — это важно, потому что ссылки часто «активируют» уже после прохождения фильтров).

Эти меры закрывают большую часть массовых и многие целевые атаки. Но, как мы выяснили выше, BEC-письма без вложений и ссылок они не остановят. Здесь в дело вступает второй слой.

Организационный слой защиты

Этот слой превращает сотрудника из слабого звена в дополнительный сенсор безопасности.

Обучение сотрудников

Базовая, но недооценённая мера. Короткое регулярное обучение (не разовая лекция «для галочки», а повторяющиеся практичные тренинги) учит распознавать признаки фишинга: несоответствие адреса отправителя и подписи, давление срочностью, запрос конфиденциальных данных, ссылки на «почти настоящие» домены, нетипичные просьбы о деньгах. Ключевая привычка, которую формирует обучение, — остановиться и проверить, прежде чем кликнуть или ответить.

Тестовые (контролируемые) фишинговые рассылки

Чтобы понять реальный уровень защищённости коллектива, проводят контролируемые рассылки: безопасное «фишинговое» письмо от службы безопасности или аутсорсера. Система фиксирует, кто открыл, кто кликнул, кто ввёл данные. Это не наказание, а измеримая метрика уязвимости и эффективности обучения. По итогам тем, кто попался, назначают короткий дополнительный тренинг. Регулярные тесты со временем снижают долю кликов и формируют коллективную бдительность.

Внутренние правила и процедуры по деньгам

Отдельный барьер против BEC — процедурный. Например: смена банковских реквизитов контрагента подтверждается по независимому каналу (звонок по известному номеру, а не по контактам из самого письма); платежи выше порога требуют двойного согласования; «срочные» просьбы руководителя об оплате проверяются голосом. Эти правила стоят дёшево, а отсекают самый дорогой класс атак.

Регламент «что делать при подозрении»

Половина успеха — чтобы сотрудник знал, что делать, и не боялся об этом сообщить. Регламент должен быть коротким и понятным.

Если письмо вызывает подозрение, но действий ещё не было:

• не кликать по ссылкам, не открывать вложения, не отвечать;
• переслать письмо в ИТ-поддержку или ответственному за безопасность по заранее известному адресу/каналу;
• дождаться оценки и инструкций.

Если действие уже совершено (кликнул, ввёл пароль, открыл вложение):

• немедленно сообщить в ИТ-поддержку — это главное правило, и сообщить нужно без страха наказания;
• отключить устройство от сети (отсоединить кабель, выключить Wi-Fi);
• сменить пароль скомпрометированной учётной записи с другого, заведомо чистого устройства;
• проверить, не были ли от его имени уже отправлены письма или инициированы платежи.

Критически важна культура «сообщать, а не скрывать». Сотрудник, который боится наказания, промолчит — и атака получит фору в часы или дни. Чем раньше ИТ узнаёт об инциденте, тем выше шанс остановить его до ущерба. Если инцидент всё же привёл к утечке данных, действовать нужно по заранее подготовленному плану — об этом наш разбор что делать при утечке данных.

Роль ИТ-аутсорсера

Мы в «Кибер Авангард» не вендор почтового шлюза и не разработчик антивируса — мы ИТ-аутсорсер, который внедряет и обслуживает защиту от фишинга как часть сопровождения инфраструктуры. На практике это означает, что мы закрываем оба слоя под ключ:

• настраиваем и сопровождаем антиспам-шлюз, SPF/DKIM/DMARC, MFA и песочницу для вложений;
• проводим обучение сотрудников и контролируемые тестовые рассылки, отслеживаем динамику кликов;
• пишем регламент реагирования и интегрируем его в работу поддержки;
• реагируем на инциденты: помогаем заблокировать учётку, сменить пароли, оценить масштаб, восстановить контроль.

Важно честно сказать: абсолютной гарантии «ни одно письмо не пройдёт» не даёт никто, потому что фишинг эксплуатирует человеческий фактор. Задача аутсорсера — свести вероятность успешной атаки к минимуму и обеспечить быструю, отрепетированную реакцию, когда что-то всё же проскочило. Это часть более широкой работы по защите компании — см. наш материал как защитить компанию от утечек данных и базовый кирпич любой ИБ-системы — политику информационной безопасности.

FAQ

Достаточно ли установить антиспам, чтобы защититься от фишинга?

Нет. Антиспам-шлюз отсекает значительную долю массовых рассылок, но целевые письма и BEC часто проходят фильтры, потому что отправляются с легитимных или похожих адресов и не содержат явных признаков спама. Технический слой нужно дополнять обучением людей и регламентом реагирования.

Что такое BEC и чем он опаснее обычного фишинга?

BEC (компрометация деловой переписки) — атака, при которой злоумышленник выдаёт себя за руководителя, контрагента или бухгалтерию и просит срочно оплатить счёт, сменить реквизиты или переслать документы. В таких письмах обычно нет вредоносных вложений и ссылок, поэтому технические фильтры их не ловят. Цель — не заразить компьютер, а заставить человека перевести деньги.

Что такое SPF, DKIM и DMARC и зачем они нужны?

Это три почтовых механизма проверки подлинности отправителя. SPF указывает, с каких серверов разрешено отправлять почту от вашего домена; DKIM добавляет криптографическую подпись; DMARC связывает их и определяет, что делать с письмами, не прошедшими проверку. Вместе они мешают подделывать адрес вашего домена.

Помогает ли двухфакторная аутентификация против фишинга?

Да, MFA значительно снижает ущерб: даже если сотрудник ввёл пароль на поддельной странице, без второго фактора злоумышленник не войдёт. Часть продвинутых атак умеет перехватывать одноразовые коды, поэтому надёжнее аппаратные ключи или приложения-аутентификаторы, а не SMS.

Зачем проводить тестовые фишинговые рассылки сотрудникам?

Контролируемая рассылка показывает реальную картину: сколько людей кликнули и ввели данные. Это измеримый показатель уязвимости и эффективности обучения, а не наказание. Регулярные тесты со временем снижают долю кликов.

Что должен делать сотрудник, если он уже кликнул по фишинговой ссылке или ввёл пароль?

Не скрывать инцидент: немедленно сообщить в ИТ-поддержку, отключить устройство от сети, сменить пароль с чистого устройства и проверить, не отправлялись ли письма или платежи от его имени. Чем раньше ИТ узнает, тем выше шанс остановить атаку.

Может ли ИТ-аутсорсер закрыть всю защиту от фишинга?

Аутсорсер закрывает технический и организационный слой целиком — от настройки фильтров и MFA до обучения, тестов и регламента. Но абсолютной гарантии не даёт никто: фишинг бьёт по человеческому фактору. Задача — свести риск к минимуму и обеспечить быструю реакцию на инцидент.

Вывод

Фишинг — это не техническая, а гибридная проблема: атака на людей через технический канал. Поэтому и защита строится в два слоя. Технический (антиспам-шлюз, SPF/DKIM/DMARC, MFA, песочница вложений) отсекает массовое и явное. Организационный (обучение, тестовые рассылки, процедуры по деньгам, регламент реагирования) готовит человека к тому, что прошло сквозь фильтры. Связующий элемент — культура «сообщать, а не скрывать»: именно скорость реакции отделяет неприятность от убытка.

«Кибер Авангард» внедряет и обслуживает оба слоя как часть ИТ-аутсорсинга — от настройки почтовой защиты до обучения сотрудников и реагирования на инциденты. Если хотите понять, насколько ваша компания уязвима к фишингу, начните с малого: закажите аудит почтовой защиты и тестовую рассылку. Это покажет реальную картину и даст конкретный план укрепления.