Фишинг давно вышел за рамки наивных писем от «нигерийских принцев» и стал одним из изощренных инструментов киберпреступников. Современные фишинговые атаки представляют собой тщательно продуманные сценарии, в которых используются технические уязвимости и глубокое понимание человеческой психологии. Эти атаки становятся все более убедительными, персонализированными и трудноотличимыми от легитимной цифровой коммуникации — настолько, что в их ловушку все чаще попадают даже опытные ИТ-специалисты и эксперты по информационной безопасности.
Почему так происходит? Какие методы используют злоумышленники, и почему даже профессионалы порой оказываются уязвимыми? В статье совместно с экспертами разберем, как изменился фишинг, в чем его главная опасность сегодня и как эффективно противостоять новым угрозам.
От подделки писем к дипфейкам
Фишинг перестал быть исключительно почтовым инцидентом. Сегодня это многоканальный, гибкий и высокотехнологичный инструмент социальной инженерии, в котором злоумышленники все чаще задействуют генеративный искусственный интеллект (ИИ), мессенджеры, видеозвонки и подделки аудиосообщений. Основной упор сместился с массовых рассылок на таргетированные атаки, тщательно адаптированные под профиль конкретного сотрудника, его поведение и контекст работы.
«За последние два года резко увеличилось количество фишинга, основанного на применении генеративного искусственного интеллекта. Речь тут идет о классическом фишинге, основанном на поддельных WEB-ресурсах, но сгенерированных ИИ таким образом, чтобы быть максимально правдоподобными и не вызывать подозрения у жертвы. Их просто стало больше, так как технология «производства» стала более доступна. Также все чаще для проведения противоправных действий применяется технология генерации поддельных видео- и аудиозаписей».
Алексей Ахмеев, начальник управления информационной безопасности АО «Свой Банк»
Развитие технологий дипфейков и синтеза речи позволяет злоумышленникам имитировать поведение реальных лиц — от сотрудников службы поддержки до топ-менеджеров компаний. Это делает фишинг особенно опасным в условиях удаленной или гибридной занятости, когда физическое подтверждение личности становится невозможным.
«Разумеется, мы живем не в вакууме и тоже сталкиваемся с киберугрозами, в том числе с хорошо замаскированным фишингом. Например, были попытки BEC-атак (Business Email Compromise), когда приходили письма якобы от службы поддержки с предупреждением об истечении срока действия пароля к корпоративному e-mail и предложением перейти по ссылке для его продления. На первый взгляд, письмо выглядело как стандартное техническое уведомление. Но при внимательном рассмотрении видно, что домен подменен, а ссылка ведет на фальшивую страницу входа».
Андрей Воробьев, директор Координационного центра доменов .RU/.РФ
Важным фактором стало и смещение каналов коммуникации. Современные фишинговые атаки активно перемещаются из корпоративной почты в мессенджеры, особенно в контексте распространения BYOD-практики (Bring Your Own Device). Сотрудники взаимодействуют с корпоративной инфраструктурой с личных ноутбуков и смартфонов, уровень защиты которых зачастую не соответствует корпоративным стандартам.
В отделе информационной безопасности коммуникационной платформы Frisbee поясняют: «…теперь появилась тенденция использования потребительских мессенджеров при проведении целевых фишинговых атак. Этому способствовало два фактора. Первый из них связан с постковидным периодом. Многие компании оставили удаленный либо гибридный характер работы. Это способствовало размытию периметра защиты компаний… Хакеры теперь нацелены не на защищенные корпоративные компьютеры, а на личные устройства сотрудников, которые сложно контролировать корпоративными мерами безопасности, но через которые можно получить доступ к инфраструктуре компании».
По данным IBM X-Force Threat Intelligence Index, фишинг остается основным методом начального доступа при кибератаках — более 41% успешных инцидентов начинаются именно с него. Однако в 2025 году уже наблюдается снижение доли фишинга до 30%, при этом злоумышленники все чаще используют украденные учетные данные для получения доступа к системам.
Фишинг перестает быть просто внешней угрозой — он становится частью гибридных, многослойных схем атак, в которых переплетаются технологии, манипуляции и инсайты о внутренней среде, культуре организации. От это компаний требует принципиально нового подхода к защите: усиления не только технической инфраструктуры, но и развития критического мышления у сотрудников, включая технических специалистов.
Почему ИТ-специалисты тоже ошибаются?
Несмотря на развитие технических средств защиты, человеческий фактор остается наиболее уязвимым элементом в системе информационной безопасности.
Согласно исследованию Proofpoint «State of the Phish 2024», 74% организаций по всему миру столкнулись с успешными фишинговыми атаками, связанными с человеческим фактором. Из них более половины — из-за действий сотрудников, не распознавших угрозу или нарушивших протоколы безопасности. Ключевым направлением защиты остается техническое оснащение и постоянное обучение сотрудников, повышение их цифровой грамотности и внимание к тому, чтобы они не теряли бдительность, например, из-за накопившейся усталости.
Существует распространенное заблуждение, что ИТ-специалисты менее подвержены фишинговым атакам. Однако на практике именно они часто становятся приоритетной целью злоумышленников. Причина — в их доступе к ключевым инфраструктурным ресурсам, учетным записям с повышенными правами и способности обходить меры защиты. Современные фишинговые кампании все чаще нацелены не на массового пользователя, а на конкретных технических сотрудников, включая DevOps, системных администраторов и специалистов по безопасности.
«Самые опасные приемы для технарей — это таргетированный фишинг (spear phishing), когда атака точно нацелена на конкретного человека и учитывает его специфику и должность. Здесь часто используется срочность (“срочно нужно проверить”) и ссылка, похожая на рабочий инструмент или сервис».
Максим Захаренко, СЕО «Облакотека»
Помимо этого, опытные сотрудники ИТ-подразделений и специалисты по кибербезопасности могут стать жертвами фишинговых атак еще и из-за повышенной рабочей нагрузки, хронического стресса или профессионального выгорания.
«Наиболее часто жертвами становятся сотрудники, у которых проявляются первые признаки выгорания. В такие моменты люди максимально уязвимы перед подготовленным мошенником, поскольку внимание становится рассеянным, подсознательно человек хочет ощутить себя значимым и необходимым. Именно на это и идет расчет злоумышленников», — отмечает Алексей Ахмедов, начальник управления информационной безопасности АО «Свой Банк».
Особую опасность представляют атаки, нацеленные на руководителей и сотрудников с расширенными правами доступа. Такие пользователи обладают ключевыми привилегиями, позволяющими получить доступ к критическим системам и конфиденциальной информации. Их компрометация может привести к катастрофическим последствиям для бизнеса.
Дополнительную уязвимость создает удаленный формат работы. Сотрудники, находящиеся за пределами защищенной корпоративной инфраструктуры, зачастую используют личные устройства и мессенджеры, что снижает уровень контроля со стороны службы информационной безопасности.
«Не стоит забывать и про сотрудников компаний, осуществляющие удаленное администрирование информационных систем, а также удаленных разработчиков, которые имеют доступ к информационным ресурсам компании. На эти категории сотрудников может не распространяться политика информационной безопасности компании, поэтому хакерам они интересны», — комментируют в отделе ИБ корпоративной платформы Frisbee.
Фишинг, ориентированный на ИТ-аудиторию, отличается высоким уровнем проработки. Такие письма маскируются под внутренние уведомления от службы поддержки, предупреждения о просрочке TLS-сертификатов, запросы на сброс пароля или уведомления об обновлении программного обеспечения. Используется правильная терминология, корпоративный стиль и даже поддельные цифровые подписи — все, чтобы вызвать доверие у технически грамотного получателя.
«Существует интересный сценарий атаки с таргетированным фишингом на корпоративный пакет продуктов. Целью является внутренняя группа техподдержки, которая ежедневно обрабатывает десятки уведомлений из Jira Service Management. Атака была выстроена на рутинных сообщениях — автоматических письмах о новых тикетах от пользователей, отправленных на почту техподдержки. Сообщение содержало типичное описание инцидента с кнопкой «View request», ведущей на форму авторизации для просмотра тикета. Фишинг был правдоподобен настолько, что от компрометации системы спасло только то, что один из инженеров заметил, что тикет не отображался в реальной очереди Jira. ычислить мошенническую схему помогло обращение к заказчику, который сказал, что нового инцидента в программе не заводилось».
Мария Сергеева, специалист группы социально-технического тестирования «Бастион»
Особенно опасны целевые (спирфишинг) атаки, когда злоумышленники собирают информацию о конкретной жертве — ее должности, привычках, стиле общения и типичных задачах. Используя открытые данные (например, с корпоративных сайтов), атакующие подделывают переписку между коллегами или руководством, включая точные ссылки и технические детали.
«Основным источником информации о сотрудниках компании являются социальные сети, особенно специализированные. Информация о должности сотрудника, его обязанностях и т. д. позволяет более таргетированно подготовить атаку, которую сложно обнаружить из-за ее точечности», — предупреждает Евгений Царев, управляющий партнер RTM Group.
Согласно отчету IBM X-Force Threat Intelligence Index, более 60% целевых атак на ИТ-отделы начинались с фишинговых сообщений. Причем в 47% таких инцидентов злоумышленники не использовали технические уязвимости программного обеспечения, а действовали через социальную инженерию — то есть подделывали внутреннюю переписку, имитировали стиль корпоративных уведомлений и тем самым злоупотребляли доверием сотрудников к «официальным» источникам.
Кибергигиена — ежедневная практика
Фишинговые атаки становятся все более изощренными, и поэтому исключительно технические средства защиты — антивирусы, фильтры и сканеры — уже будет недостаточно. Ключевым элементом защиты становится культура цифровой осознанности, или кибергигиена, которая предполагает осознанное и критическое поведение пользователей в цифровой среде.
«В основе культуры кибергигиены лежат устойчивые поведенческие шаблоны и ясные внутренние протоколы. Они помогают сохранить самообладание и не поддаться панике, даже когда атака выглядит срочной и достоверной», — подчеркивает Алексей Ахмеев, начальник управления информационной безопасности АО «Свой Банк».
Подобный подход поддерживают и в корпоративной платформе Frisbee. Там отмечают, что современные фишинговые атаки часто используют психологическое давление и играют на доверии к знакомым людям или компаниям.
«Культура «кибергигиены» дает возможность затруднить деятельность хакеров при проведении точечных атак. Им приходится действовать более грубо, а такие атаки уже проще обнаружить и предотвратить», — считают в отделе ИБ компании.
«Для проверки достоверности я всегда проверяю адрес отправителя, уделяя особое внимание доменному имени. Если возникают малейшие сомнения в стиле письма, сравниваю его с привычной манерой общения коллеги. Вложения и ссылки никогда не открываю без предварительной проверки. А если что-то кажется подозрительным — сразу уточняю у отправителя через альтернативный канал связи: по телефону или в корпоративном мессенджере».
Максим Грязев, руководитель направления отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline)
Ключевую роль также играет практическое закрепление навыков, а не разовые тренинги: «Причем кибергигиена должна быть системной. Это привычка не кликать, не вводить, не доверять без проверки. И формируется она не через один курс раз в два года, а через регулярную практику, кейсы, мемы, тесты, поддержку», — отмечает Егор Богомолов, основатель компании Singleton Security.
Эти выводы подтверждаются и международными исследованиями. Согласно отчету Proofpoint State of the Phish, почти 75% организаций, регулярно проводящих интерактивные тренировки и фишинг-симуляции, отметили снижение числа инцидентов, вызванных человеческим фактором, на 40% и более. В данном контексте кибергигиена — не абстрактный термин, а инструмент управления рисками в условиях постоянно меняющегося ландшафта киберугроз.
«Наш опыт показывает: когда кибергигиена становится привычкой, количество успешных атак сокращается в несколько раз. Важно, чтобы осторожность в цифровой среде была такой же естественной, как мытье рук каждый день».
Александр Казаков, руководитель департамента информационной безопасности BPMSoft
Традиционное обучение ИБ больше не работает
Обучение информационной безопасности на базе стандартных лекций и формальных инструктажей утрачивает эффективность в условиях развивающихся угроз. Фишинг стал слишком изощренным, чтобы его можно было нейтрализовать исключительно с помощью устаревших методических пособий. Сегодня необходимо формировать не просто осведомленность, а устойчивую цифровую настороженность, где каждый сотрудник осознает персональные риски и действует осознанно.
«Как единственный метод, метод обучения недостаточен, однако устаревшим его назвать нельзя. Для противодействия фишингу необходим комплекс мероприятий, к нему должно относиться: обучение, информирование, проведение тренировочных фишинговых рассылок, использование средств защиты от фишинга, работа центра мониторинга и реагирования на инциденты информационной безопасности (SOC)».
Владимир Лапшин, руководитель службы внутренней ИБ, «Инфосистемы Джет»
Компании, только начинающие путь построения зрелой модели киберзащиты, также делают акцент на практике и постепенном внедрении инструментов защиты. Без регулярных симуляций и анализа поведения пользователей невозможно адекватно оценить уязвимости и степень подготовленности сотрудников.
«Мы находимся только в начале этого пути. Проводим фейковые фишинг атаки и регулярные обучения с конкретными живыми примерами. В скором будущем мы планируем внедрение DLP системы, с автоматической фильтрацией писем и другой активности в корпоративной сети. Пока тяжело оценить эффективность этой работы, так как занимаемся данным вопросом недостаточно долго».
Александр Ворфоломеев, руководитель службы поддержки ГК Selecty
При этом важно выстраивать внутренние процессы так, чтобы служба информационной безопасности не ассоциировалась с запретами, а воспринималась как партнер, помогающий безопасно работать в цифровой среде.
«Если сотрудникам постоянно рассказывать об актуальных угрозах, проводить тестирование, организовывать киберучения, то они постоянно будут начеку. Любая непонятная ссылка или странное сообщение в мессенджере, даже от контакта из телефонной книги, вызовет у них вопросы. Процессы в компании необходимо выстраивать так, чтобы специалисты отдела информационной безопасности были помощниками в ежедневной рутине сотрудников, а не надзирающим органом», — поясняют в отделе информационной безопасности корпоративной платформы Frisbee.
В эпоху, когда фишинг превратился в высокотехнологичную и интеллектуально выверенную атаку, безопасность определяется не количеством технических фильтров, а способностью человека критически мыслить. Ошибаются даже опытные специалисты: современный фишинг — это не просто вредоносная ссылка, а результат тонкой социальной инженерии, усиленной возможностями искусственного интеллекта.
Пока злоумышленники адаптируются быстрее, чем пользователи успевают учиться, единственной эффективной стратегией остается системный подход: регулярное обучение, формирование устойчивых цифровых привычек и развитие киберосознанности на всех уровнях организации.