Не так велик бюджет, как издержки от кибератак: чек-лист для МСБ по защите от социальной инженерии

За период с января по апрель текущего года около 8 500 представителей малого и среднего бизнеса пострадали от поддельных приложений и ресурсов. Одна из причин — низкая защищенность МСБ, считает Алексей Власов, партнер и коммерческий директор ИT-компании Notamedia, одной из лидеров в области заказной ИТ-разработки и интеграции.

Пассивность многих организаций в вопросах информационной безопасности — одна из причин роста кибератак: большая часть фирм повышает уровень защиты исключительно под влиянием правовых норм, в то время как лишь половина планирует повышение бюджета на киберзащиту. Однако уже сейчас кибермошенники выходят на новый уровень атак, в том числе, с применением искусственного интеллекта.

Главные киберугрозы бизнесу

В первом полугодии 2025 года фишинговых атак на отечественный бизнес стало больше на 30–32%, APT-атак — на 25–28%. При этом по-прежнему чаще всего хакеры использовали supply chain и DDoS-атаки, распространение вирусов-вымогателей, а сейчас сделали упор на социальную инженерию.

В последнее время участилось использование таких способов фишинга, как:

1. Голосовые дипфейки — технология синтеза речи на основе искусственного интеллекта. Это метод, позволяющий подделывать голос конкретного человека. Используя продвинутые алгоритмы анализа текста и цифровой обработки звуковых файлов, технология способна создавать реалистичную озвучку, воспроизводящую индивидуальные особенности голоса. Например, злоумышленники использовали голосовой дипфейк, чтобы обмануть топ-менеджера энергетической компании: они подделали голос финансового директора и в голосовом сообщении запросили перевод крупной суммы денег на фиктивный счет. В результате организация понесла существенные материальные издержки.
2. Поддельные счета/договоры — применяются мошенниками для фальсификации сделок или незаконного оформления налоговых льгот и расходов.

Способы создания фальшивых документов с применением искусственного интеллекта разнообразны. К примеру, злоумышленники чаще стали использовать полностью фейковые документы. Нейросети способны формировать целые пакеты фиктивных бумаг, вроде договоров, актов выполненных работ, накладных и счетов, хотя реальных операций вообще не существовало.

Еще один подход — редактирование настоящих документов. ИИ способен изменять содержание оригиналов, меняя суммы, реквизиты, печати и подписи, сохраняя стилистику исходного документа. Один из примеров — изготовление поддельных счетов-фактур. Мошенник рассылает поддельные документы с незначительно отличающихся электронных адресов, предлагая приобрести товары или услуги по завышенным ценам от имени проверенного контрагента. Внешне подобные бумаги выглядят достоверно, но тщательная проверка выявляет их подделку.

Ещё одна схема — формирование ложных изображений платежных поручений. С помощью ИИ создается картинка банковского перевода с указанием точной суммы, дат и реквизитов, создаётся впечатление настоящей транзакции. Пользователь доверяет подобному изображению и отгружает товар, не дожидаясь реального подтверждения оплаты.

• Мошеннические объявления в мессенджерах — эта схема подразумевает использование фиктивных рекламных объявлений в популярных сервисах. К примеру, злоумышленники активно рекламируют дрейнеры — программы для кражи криптовалюты. Они регистрируются на площадках с возможностью размещения рекламы либо применяют официальные сервисы оплаты с использованием токенов TON. Жертва замечает привлекательное объявление, обещающее бесплатную раздачу ценных активов, а перейдя по ссылке, пользователь оказывается на странице дрейнера, и при попытке подтвердить транзакцию средства мгновенно исчезают с его счета.

• Фейковые голосования и розыгрыши призов — еще один популярный у мошенников метод — фейковые голосования и розыгрыши призов. Мошенники организуют фиктивные опросы и конкурсы, часто используя тематику детских мероприятий, таких как конкурс детского рисунка. Для участия в таком якобы честном голосовании жертву направляют на фишинговую площадку, где требуют указать личные данные: телефон и код подтверждения. После ввода информация попадает к мошенникам, позволяя совершать несанкционированные операции.

• Фишинг с LLM-персонализацией — свежий способ кибермошенничества, принцип которого заключается в применении больших языковых моделей (LLM) для автоматического создания персонализированного контента, маскирующегося под официальные ресурсы популярных компаний или платформ. Его задача — обмануть пользователей, заставив их раскрыть личные данные, пароли или получить несанкционированный доступ к нужным ресурсам.

До внедрения LLM многие подобные рассылки содержали грубые ошибки и шаблонные тексты, что облегчало выявление подделок. Теперь же, используя мощные алгоритмы обработки естественного языка, письма и страницы злоумышленников становятся неотличимыми от настоящих, повышая вероятность успеха мошеннической операции. Например: письмо от официальных структур вроде службы безопасности предприятия, IT-поддержки либо HR-отдела, подражающее корпоративному стилю общения. Образец: «Для вашей безопасности мы осуществляем обновление входа в VPN-сеть. Просьба подтвердить вашу учетную запись до конца рабочего дня».

Выстраиваем систему защиты

Чтобы защититься от подобных атак, компании постепенно инвестируют в такие меры защиты, как:

1. Создание актов и руководств по вопросам информационной безопасности, охватывающих правила обращения с персональными данными, принципы пользования сетевыми ресурсами, требования к созданию надежных паролей и другие аспекты;
2. Организация обязательных регулярных курсов обучения и тестирования сотрудников, направленных на повышение осведомленности о правилах поведения в виртуальном пространстве, включая проведение учебных мероприятий по выявлению признаков фишинга и социальных инженерных атак;
3. Создание алгоритма реагирования на инциденты информационной безопасности и порядка получения оповещений от сотрудников о любых подозрительных действиях, таких как получение сомнительных электронных писем или звонок от неизвестных лиц;
4. Разработку строгой политики создания сложных и уникальных паролей для учетной записи каждого члена команды;
5. Применение двухэтапной проверки подлинности (MFA) при доступе к важным информационным системам и корпоративным ресурсам;
6. Предоставление минимального набора прав (PoLP), согласно которому сотрудники получают доступ только к той информации и инструментам, которые требуются для выполнения должностных обязанностей;
7. Регулярный аудит и внутренний контроль прав доступа, своевременное лишение уволившихся работников или сотрудников, сменивших должность, доступов к корпоративной информации.

Вместе с ростом числа атак, бизнес стал активнее выделять бюджеты на кибербезопасность, так как устранить последствия нанесенного ущерба выходит дороже. Так, только прямые убытки крупных компаний составляют до 2 млрд рублей, а штрафы за утечку персональных данных, к примеру, до 5 млн рублей. Но злоумышленники регулярно придумывают новые способы навредить представителям МСБ в России.

Что в фокусе

Особое внимание я рекомендую обратить именно на регулярное обучение персонала цифровой гигиене и выборе сотрудников с начальным (а лучше — продвинутым) уровнем киберграмотности. Это важно потому, что 80% кибератак происходит из-за халатности или умышленных действий сотрудников. Небрежное отношение персонала к нормам кибербезопасности и допущенные ими ошибки открывают широкие возможности для действий преступников. Именно поэтому большинство компаний уделяет большое внимание обучению команды методикам выявления мошеннических угроз. Или подбирает сотрудников уже с имеющимися навыками.

Определяем уровень кибеграмотности соискателя

Можно включить в обязательный список вопросов рекрутера несколько коротких кейсов. В зависимости от должности соискателя они могут разниться по сложности, но минимум включает пару из следующих вопросов:

• Вспомните случай подозрительного письма или звонка, например, когда вам в мессенджер написал ваш «руководитель» с нетипичной просьбой. Что вы сделали по шагам?

Ожидание: проверяет личность «руководителя» по второму каналу (звонок или пишет в рабочий чат). Ссылки/вложения не открывает, коды/пароли не передает. Сообщает об инциденте в ИТ/ИБ.

• Вы потеряли телефон с рабочей почтой/мессенджером. Ваши действия?

Ожидание: Сообщает в ИТ/ИБ, по возможности удаленно блокирует устройство, блокирует SIM у оператора. С другого устройства выходит из всех сессий (почта/портал/VPN/мессенджеры), меняет пароли, перевыпускает MFA/ключи доступа.

• Как вы создаете, храните, и как часто меняете пароли от рабочих сервисов?

Ожидание: использует менеджер паролей (Bitwarden, 1Password и т. п.), генерирует через специальные системы уникальные длинные пароли; по возможности использует многофакторную аутентификацию (MFA).

• Вам нужно отправить отчет с персональными данными внешним контрагентам, ваши действия?

Ожидание: не отправляет через мессенджеры, использует шифрование/защищенную ссылку, устанавливает ограниченный срок доступа и минимум прав.

• Вы работаете удалённо из кафе. Как подключитесь к корпоративным ресурсам?

Ожидание: использует корпоративный VPN (защищенный канал), избегает общественного Wi-Fi без VPN, не оставляет устройство без присмотра.

Однако, даже если удастся подобрать 100% команды с такими навыками, не стоит пренебрегать советами выше. Действия кибермошенников постоянно совершенствуются, и МСБ должны быть готовыми к вызовам. Так именно в этом сегменте наибольшие риски банкротства из-за последствий кибератак.

Автор: Алексей Власов, партнер и коммерческий директор ИT-компании Notamedia