Фишинг в компании: как распознать атаку, защитить данные и действовать при взломе

Атакующий давит на срочность, подделывает контрагента или руководителя, добивается действия: открыть вложение, перейти по ссылке, ввести пароль, подтвердить платёж. Дальше подключаются компрометация почты, подмена реквизитов, утечки, шифровальщики.

Как распознать фишинг в корпоративной переписке

5 признаков фишинга:

1. Look-alike домен: отправитель maii.ru вместо mail.ru.
2. Аномальная срочность: требование оплатить счет «до конца часа».
3. Скрытые ссылки: адрес в тексте не совпадает с реальным URL, видном при наведении.
4. Запрос данных: просьба прислать пароль или код из СМС/Push.
5. Нетипичный канал: финансовый запрос в Telegram вместо почты.

Фишинг — ключевая угроза для бизнеса, он опасен последствиями. Если сотрудник введет пароль на поддельном сайте — атакующий войдет легитимно. Межсетевой экран и антивирус не увидят здесь взлом, потому что это стандартная авторизация.

Как распознать фишинг в личных сообщениях и не потерять доступ к аккаунтам, разобрали в отдельном материале.

Виды фишинга в 2026 году: от подделки домена до дипфейков

Фишинг давно вышел за рамки «письма с вирусом». Сейчас атакующие подстраиваются под роли сотрудников и бизнес-процессы, чтобы жертва действовала автоматически.

Механика фишинговой атаки на компанию

Фишинг начинается со сбора информации: роли, контрагенты, типовые документы, цепочки согласований. Затем атакующий подбирает сценарий под конкретную функцию — бухгалтерию, HR или ИТ и давит на срочность.

После клика он либо крадёт пароль через поддельную форму входа, либо запускает вредонос через вложение.

Затем идёт закрепление: пересылка писем, создание правил в почте, подключение сторонних приложений, рассылки партнёрам от имени сотрудников. После компрометации почты атакующий часто включает авто-forward — автопересылку входящих писем на внешний адрес, чтобы незаметно читать переписку.

Защита должна перекрывать весь путь: фильтрация почты, MFA, контроль конечных точек, мониторинг почтовых правил и быстрый плейбук реагирования.

Email-фишинг с маскировкой под контрагентов

Рассылки от имени компании внешне неотличимы от переписки с поставщиками, клиентами, банками или госорганами. Подделываются адреса, подписи, логотипы, формат вложений и даже стиль общения. Адресаты получают новый счёт, дополнительное соглашение и открывают заражённый файл или переходят по вредоносной ссылке.

Сегодня всё чаще генерируют письма через ИИ. Текст выглядит как рабочая переписка: без ошибок, с правильными формулировками, иногда с отраслевой лексикой.

Чтобы распознать фишинг в письме, ориентируйтесь на признаки атаки: неожиданные ссылки, просьбы срочно авторизоваться, вложения с макросами, смена реквизитов без подтверждения вторым каналом.

Фишинг в компанию часто приходит с look-alike доменов: в названии меняется один символ. Примеры:

• ru → cornpany.ru (буква m заменена на rn)
• ru → example.com

Что проверять в первую очередь: домен отправителя, цепочку переписки, реквизиты, формат вложения, срочность без нормального обоснования.

Целевой фишинг на руководителей  (spear phishing, BEC)

Spear phishing часто нацелен на топ-менеджеров — у них есть доступ к критически важной информации и возможность инициировать переводы. Атака может прийти от имени партнёра, аудитора, госслужбы, другого руководителя.

Business Email Compromise или BEC-атаки — злоумышленник перехватывает или подделывает реальные бизнес-переписки, подменяет счета и реквизиты. Жертва не просто верит письму, она видит в нём продолжение текущего диалога.

Алгоритм действий при фишинге: любые изменения реквизитов и условий подтверждать вторым каналом связи. Для крупных платежей включать двойное согласование.

Вишинг: «банк», «служба поддержки», «ИТ-отдел»

Работает за счёт уверенного голоса и давления. Атакующий просит назвать код, перейти по ссылке, подтвердить вход, снять блокировку, ускорить платёж.

Вишинг усилился за счёт подделки голоса и видео — дипфейки, Deepfake. Сотруднику звонит «руководитель» или «партнёр», даёт срочную задачу. В видеосвязи сценарий выглядит ещё убедительнее, потому что человек видит знакомое лицо.

Как защититься: любые финансовые операции и смену реквизитов подтверждают по второму каналу, критичные запросы фиксируют через Service Desk или согласование в системе.

Атаки через облачные сервисы и корпоративные мессенджеры

Фишинг перебрался в мессенджеры, где идёт основная деловая активность. Организации активно атакуют через корпоративные чаты, внутренние CRM, облачные хранилища, даже системы электронного документооборота.

Фишинг–ссылка может прийти через VK Workplace,Telegram, а файл — через Яндекс.Диск. Используется доверие к этим платформам: пользователь не ожидает подвоха и кликает быстрее, чем думает.

QR-фишинг (quishing): атаки через QR-коды и BYOD

Фишинговая ссылка в компанию всё чаще приходит не текстом, а в виде QR-кода: в письме, в чате, в «служебном уведомлении» или даже на распечатке в офисе. Сотрудник сканирует код телефоном, попадает на поддельную страницу входа и вводит пароль от почты или облака. Атака проходит мимо защиты рабочего ПК, потому что действие произошло на личном устройстве.

Защита от фишинга в организации: не сканировать QR-коды из писем и сообщений без проверки источника, не вводить корпоративные учётные данные в браузере телефона, а доступ к почте и облакам на BYOD закрывать через MDM/политику условного доступа, если компания использует такой подход.

Кого в организации атакуют чаще всего

Фишинг бьёт по ролям, которые запускают деньги, документы и доступы. Кто в зоне риска и почему:

• Бухгалтерия: прямая кража денег через подмену счетов.
• HR-отдел: входная точка для вирусов через вложения (резюме).
• IT-админы: полный захват инфраструктуры через привилегированные доступы.
• Отдел продаж: кража клиентских баз и коммерческой тайны.

Сводная матрица рисков: роли, векторы атак и меры защиты:

Финансы: бухгалтерия, казначейство, финдиректор

Атакующие чаще всего разыгрывают BEC-сценарии: «срочно оплатите», «сменились реквизиты», «документ от руководителя». Риск растёт, если сотрудник принимает решение по письму без подтверждения вторым каналом.

Если злоумышленник получил доступ к почте бухгалтера, он видит счета, цепочки согласований и может подменять документы прямо в переписке. Здесь важны контроль реквизитов и двойное согласование платежей.

HR и офис-менеджеры

HR регулярно получают вложения от внешних адресов: резюме, анкеты, «портфолио». Это удобная точка входа в компанию для вредоносных документов и ссылок. Дополнительный риск — доступ к персональным данным сотрудников и кандидатов.

Здесь работают простые меры: запрет опасных типов вложений, песочница для файлов, обучение на реальных примерах резюме-фишинга.

ИТ и администраторы

Фишинг по ИТ-специалистам компании часто маскируется под поддержку вендора, уведомления об обновлениях, инциденты безопасности, запросы на доступ. Компрометация админской учётки быстро превращает фишинг в захват инфраструктуры: атакующий получает доступ к почте, VPN и админ-панелям, сбрасывает пароли, добавляет себе права и отключает защиту на рабочих станциях.

В этом контуре решают MFA, контроль привилегий, отдельные админские учётки и быстрый откат сессий при подозрении на компрометацию.

Продажи и сотрудники с доступом к CRM/ERP

Через такие учётки атакующие получают клиентскую базу, коммерческие условия, историю сделок и контакты партнёров. Затем они либо выкачивают данные, либо используют их для атак от имени компании.

Здесь помогут ограничения на экспорт, мониторинг массовых выгрузок и контроль входов в облачные сервисы.

Новички и подрядчики

Новые сотрудники ещё не знают внутренние шаблоны и процессы, а подрядчики часто работают с личных устройств и внешних каналов. На этой группе фишинг легче цепляется и дольше остаётся незамеченным.

Здесь обязателен инструктаж по информационной безопасности, минимальные права и контроль BYOD-доступа.

Фишинг в компании опаснее всего там, где одна учётка открывает путь к деньгам, документам и доступам. Поэтому защиту необходимо строить, отталкиваясь от ролей.

Последствия фишинговых атак для бизнеса: финансовые и репутационные риски

Атакующий встраивается в цепочку согласований, подменяет реквизиты, крадёт доступы, тормозит операции. Убытки появляются быстро: иногда в тот же день.

Подмена реквизитов и фальшивые платёжки (BEC)

Самый частый сценарий — атака на переписку с контрагентом. Злоумышленник перехватывает почту или подделывает адрес, отправляет «обновлённый счёт» и давит на срочность. Бухгалтер проводит платёж по привычной схеме, потому что письмо выглядит как продолжение диалога.

Деньги уходят на чужой счёт, возврат зависит от скорости реакции и готовности банка блокировать операцию.

Кража доступов к почте и облакам

Фишинговая ссылка часто ведёт на поддельную форму входа. После ввода пароля атакующий заходит в почту и облака как легитимный пользователь.Он настраивает в почте скрытую пересылку на свой адрес и правила, которые автоматически убирают его письма из «Входящих». Сотрудник не видит переписку и не замечает, что ящик под контролем.

Компания теряет контроль над перепиской, рискует вторичными атаками на партнёров уже от своего имени.

Утечка коммерческой информации и клиентских баз

После компрометации учётки злоумышленник выгружает договоры, отчёты, базы CRM, переписку с ключевыми клиентами. Эти данные продают, используют в шантаже или в атаках на контрагентов. Какие каналы утечки информации встречаются в компаниях чаще всего, разобрали в отдельном материале.

Потери редко ограничиваются одной утечкой.

Шифрование и вымогательство

Иногда фишинг в компании используют как первый шаг для закрепления в инфраструктуре. Злоумышленник получает доступ, повышает права, отключает защиту, запускает шифрование и требует плату за восстановление.

Если фишинг привёл к блокировке учёток или заражению рабочих станций, встают сервисы: документооборот, отгрузки, поддержка, продажи. В компаниях с SLA штрафы начисляются автоматически.

Даже без выкупа простой стоит дорого, потому что он срывает сроки и обязательства.

Если атакующий закрепился в почте и начал развивать доступ, фишинг перестаёт быть «письмом» и становится частью сложной кампании. Как устроены APT-атаки, читайте в разборе.

Вопросы и ответы

Что такое фишинг в организации?

Фишинг в организации — атака, при которой злоумышленник под видом сотрудника, контрагента или сервиса вынуждает человека выполнить действие: открыть вложение, перейти по ссылке, ввести пароль или подтвердить платёж. Цель — украсть доступы, перехватить переписку, подменить реквизиты или заразить инфраструктуру.

Как защитить организацию от фишинга?

Закройте фишинг по всей цепочке: фильтруйте письма на входе, включите MFA для почты и облаков, настройте SPF/DKIM/DMARC, запретите внешнюю автопересылку, ограничьте опасные вложения и макросы.
Добавьте обучение с короткими тренингами и единый канал для сообщений о фишинге. Инциденты отслеживайте через EDR/SIEM и контроль почтовых правил.

Какие признаки фишинга в корпоративной почте?

Чаще всего встречаются look-alike домены, скрытые ссылки, срочность без обоснования, просьбы о паролях/кодах, неожиданные вложения и «смена реквизитов» без подтверждения. Ещё один маркер — нетипичный канал или попытка обойти регламент согласований.

Что делать при фишинговой атаке в компании?

Остановите действие: не переходите по ссылкам и не открывайте вложения, сразу сообщите в ИБ/ИТ через внутренний канал. Если пароль уже ввели — смените его с доверенного устройства и завершите сессии. Если запускали файл — отключите устройство от сети и ждите инструкций ИБ. Зафиксируйте письмо, тему, отправителя, ссылку/вложение, время.

Как построить систему защиты от фишинга: технические и организационные меры

Защита от фишинга в компании держится на двух опорах. Организационные меры снижают вероятность ошибки сотрудника. Технические меры уменьшают поток фишинга на входе и ограничивают ущерб после компрометации учётной записи.

Политика, обучение и канал сообщения о фишинге

Фишинг ломает процессы там, где нет закреплённых правил: кто принимает сообщение, кто блокирует доступ, кто расследует инцидент. Какие документы по информационной безопасности нужны компании для таких сценариев, читайте в разборе.

Политика безопасности должна давать сотруднику простой алгоритм: что проверять в письме, где остановиться, куда сообщить, что делать нельзя.

Защита организации от фишинговых атак:

• памятка для сотрудников по фишингу с примерами фишинговых писем под ваши процессы: счета, договоры, «срочные платежи», ссылки на облака;
• короткие тренировки раз в 2–4 недели: один сценарий — один разбор;
• симуляции фишинга с разбором причин клика;
• единый канал сообщения о фишинге: кнопка в почте, бот или Service Desk с быстрым SLA.

Как отличить фишинговый домен от настоящего? Используйте сервисы Whois для проверки владельца и даты регистрации домена. Подозрительные признаки — регистрация на частное лицо вместо организации, недавняя дата создания, минимальный срок оплаты домена.

Пример памятки по фишингу для сотрудников

Как проверить ссылку или сайт на фишинг: 3 быстрых способа

1. Проверка наведением (метод превью). Наведите курсор на ссылку (не кликайте!). В левом нижнем углу браузера или почтового клиента появится реальный адрес. Если в тексте написано vtb.ru, а всплывает bit.ly/xxxx или auth-vtb.com — это фишинг.
2. Использование онлайн-сканеров. Скопируйте адрес ссылки и вставьте её в один из сервисов проверки:

• VirusTotal: проверяет URL сразу по 70+ базам вредоносных ресурсов.
• Kaspersky Threat Intelligence Portal: показывает репутацию домена и категорию угрозы.
• Whois-сервисы: если сайту «3 дня от роду», а он выдает себя за крупный банк — это подделка.

3. Анализ адресной строки (для открытых сайтов). Если вы уже зашли на сайт, проверьте:

• Протокол HTTPS: отсутствие «замочка» — плохой знак, но его наличие уже не гарантирует безопасность.
• Ошибки в домене: ищите лишние буквы или замены (например, support-security.ru — это не Яндекс, а поддомен на чужом ресурсе).

Нельзя использовать бесплатные онлайн-конвертеры или сомнительные сайты для проверки файлов, так как при загрузке вы передаете содержимое документа на чужой сервер.

Если файл содержит информацию ограниченного доступа, злоумышленники получат к ним доступ.

Для проверки подозрительных вложений используйте только изолированную песочницу, развернутую внутри вашей компании, или доверенные профессиональные ИБ-порталы, если регламент компании это разрешает.

Финансовые процессы: проверка реквизитов и двойное согласование

Платежный контур компании чаще всего атакуют через BEC. Минимальный набор правил для защиты платежей:

• подтверждать смену реквизитов вторым каналом связи, который не зависит от почты;
• разделять роли: один готовит платёж, второй подтверждает;
• установить лимиты на операции без дополнительного согласования;
• закрепить в регламенте, кто подтверждает срочные платежи и по каким признакам их останавливают.

Эти меры уменьшат риск даже если атакующий уже сидит в почте и читает переписку.

Почтовая защита: SEG + SPF/DKIM/DMARC + запрет авто-forward

Почтовый контур должен решать две задачи: отсеивать фишинг на входе и блокировать подделку отправителя от имени домена компании. Иначе фишинговые письма попадают в рабочую переписку и воспринимаются как легитимные.

SPF, DKIM и DMARC снижают риск подмены отправителя, защищают партнёров и клиентов от писем, которые имитируют корпоративную переписку. Механизмы работают так:

• SPF задаёт список серверов, которым разрешено отправлять почту от имени домена.
• DKIM добавляет цифровую подпись письма.
• DMARC задаёт политику обработки писем, которые не прошли проверку.

DMARC внедряют поэтапно: сначала включают мониторинг (p=none), затем ужесточают политику после инвентаризации всех легитимных источников отправки.

Базовый минимум для корпоративной почты:

• Secure Email Gateway или антифишинговый фильтр с проверкой ссылок и вложений;
• проверка ссылок в момент перехода, чтобы блокировать подмену страницы после доставки письма;
• SPF/DKIM/DMARC с постепенным ужесточением политики;
• маркировка внешних писем («Внешний отправитель») для всех сотрудников;
• запрет auto-forward на внешние адреса и контроль правил пересылки;
• ограничения на опасные типы вложений и макросы;
• выявление look-alike доменов, которые имитируют адреса партнёров и домен компании.

SPF, DKIM и DMARC не закрывают фишинг полностью, но заметно сокращают долю писем с подменой отправителя от имени вашего домена.

Контроль учётных записей: MFA и управление сессиями

MFA снижает риск компрометации учётной записи при краже пароля. Второй фактор делает кражу пароля бесполезной: злоумышленник не проходит проверку входа, ИТ/ИБ получает сигнал о попытке авторизации и успевает заблокировать доступ и завершить активные сессии.

Минимум для корпоративной среды:

• MFA для почты, VPN, облаков и административных доступов;
• отдельные политики для привилегированных учётных записей;
• контроль входов по устройствам и географии, если платформа это поддерживает.

Второй фактор защищает только в момент ввода пароля. Если злоумышленник украл активную сессию (токен) или убедил сотрудника разрешить доступ стороннему приложению через OAuth («Войти с помощью Google»), он попадет в аккаунт в обход MFA.

Чтобы заметить такой взлом, ИТ-служба должна постоянно отслеживать аномальные входы и проверять список подключенных к почте сервисов.

Защита конечных точек: EDR, веб-фильтрация и ограничения на вложения

Часть фишинговых атак нацелена не на кражу пароля, а на заражение устройства или кражу токенов в браузере. Сотрудник открывает документ с макросами, запускает вложение из письма или вводит пароль на поддельной странице. Вредонос закрепляется в системе и работает уже без участия человека. Здесь важны средства защиты конечных точек и контроль веб-доступа.

Минимальный технический набор для рабочих станций:

• EDR на рабочих станциях и серверах для фиксации вредоносного поведения и изоляции заражённого хоста по политике реагирования;
• контроль запуска скриптов и подозрительных процессов;
• веб-фильтрация и блокировка фишинговых доменов, включая недавно зарегистрированные ресурсы. Как работает мониторинг сетевого трафика и что он показывает ИБ-службе, читайте в статье.
• ограничения на запуск вложений из почты и мессенджеров, контроль макросов и скриптов.

Этот слой снижает вероятность развития атаки после клика и сокращает масштаб инцидента.

Контроль аномалий через SIEM и DLP

После компрометации учётной записи атакующий старается закрепиться в инфраструктуре компании и вывести данные. Типовые признаки — вход с нового устройства, включение пересылки, появление скрытых правил в почте.

Чтобы вовремя обнаружить закрепление, компании нужен базовый контроль:

• сбор логов почты, VPN, AD/LDAP и облачных сервисов;
• мониторинг аномальных входов и массовых скачиваний;
• DLP-контроль для почты, облаков и мессенджеров.

SIEM помогает выявлять подозрительную активность по событиям из почты, VPN, AD/LDAP, рабочих станций и облаков. Полезен в сценариях с нетипичными входами, массовыми скачиваниями и рассылками от имени пользователя.Как работает SIEM и что она видит в инфраструктуре, читайте в нашем разборе

DLP контролирует передачу чувствительных данных через почту, облака и мессенджеры. При корректных политиках DLP фиксирует и блокирует часть попыток вывода информации наружу.

Эти сигналы должны уходить в ИТ/ИБ сразу, чтобы успеть завершить сессии, отключить пересылку и остановить выгрузку данных.

Защита в момент действия пользователя

Часть фишинга проходит через браузер: сотрудник открывает ссылку и вводит пароль на поддельной странице. Здесь помогают маркировка писем и контроль ссылок в браузере, которые работают прямо в момент действия пользователя.

Практический минимум выглядит так:

• маркировка внешних писем и предупреждения при переходе по ссылкам из почты;
• проверка URL в браузере и блокировка фишинговых страниц;
• запрет ввода корпоративных паролей на внешних доменах, если платформа это поддерживает.

Эти решения не дают сотруднику случайно перейти по поддельному адресу или ввести пароль на фейковом сайте.

Реагирование на фишинг: практический плейбук для компании

Скорость реакции определяет масштаб ущерба. Отработайте плейбук заранее, чтобы сотрудники действовали по одному сценарию.

Сценарий 1: сотрудник получил подозрительное письмо

Цель — остановить атаку до первого клика.

Действия сотрудника:

• не открывать вложения, не переходить по ссылкам;
• не отвечать, не продолжать переписку;
• сообщить в ИТ/ИБ через кнопку в почте или Service Desk;
• не удалять письмо до команды ИТ/ИБ.

Действия ИТ/ИБ:

• проверить домен отправителя, заголовки письма, ссылки и вложение;
• заблокировать домен и URL на уровне почтового шлюза;
• найти и удалить аналогичные письма у других сотрудников;
• предупредить подразделения, если рассылка массовая.

Сценарий 2: сотрудник перешёл по ссылке или ввёл пароль на фишинговом сайте

Цель — не допустить захвата учётной записи и закрепления в почте.

Действия сотрудника:

• закрыть страницу и сразу сообщить в ИТ/ИБ;
• сменить пароль с доверенного устройства;
• проверить, включён ли второй фактор.

Действия ИТ/ИБ:

• завершить активные сессии пользователя в почте и облаках;
• проверить входы по устройствам, времени и географии;
• проверить подключённые приложения и доступы через OAuth;
• проверить пересылку и правила обработки почты в ящике.

Сценарий 3: сотрудник открыл вложение или запустил файл

Цель — локализовать заражение и не допустить распространения по сети.

Действия сотрудника:

• отключить устройство от сети (кабель/Wi-Fi);
• не перезагружать компьютер без команды ИТ/ИБ;
• сообщить в ИТ/ИБ, что было открыто и откуда пришло.

Действия ИТ/ИБ:

• изолировать хост через EDR или физически;
• собрать события и определить цепочку запуска;
• проверить соседние узлы и учётные записи на попытки распространения;
• обновить блокировки на почте и веб-фильтре.

Что проверить после инцидента

После фишинга атакующий часто закрепляется в инфраструктуре. Проверьте признаки закрепления:

• пересылку и правила обработки писем;
• подключённые приложения и доступы через OAuth;
• активные сессии и новые устройства;
• массовые выгрузки данных из облаков и корпоративных систем.

Главное: что нужно знать о фишинге в организации в 2026 году

Фишинг в компании — это входная точка атак, первая ступень многоходовой атаки для внедрения вирусов-шифровальщиков и промышленного шпионажа.

Главная цель — люди, а не софт. Злоумышленники используют социальную инженерию, имитируя письма коллег, чтобы обойти антивирусы через легитимную авторизацию.

BEC-атаки — самый дорогой риск. Компрометация деловой переписки и подмена реквизитов приводят к немедленным финансовым потерям, которые сложно оспорить в банке.

Технологии защиты стали стандартом. Для выживания бизнеса необходимы двухфакторная аутентификация (MFA), настройка протоколов SPF/DKIM/DMARC и мониторинг аномалий через SIEM.

Реакция важнее предотвращения. С готовым плейбуком реагирования и системой EDR вы локализуете инцидент за минуты, минимизируя ущерб и утечку данных.