Фишинг: как обучить сотрудников не попадаться
Почему фишинг — угроза №1 в 2026 году
Фишинг — не новая угроза. Но именно поэтому его так легко недооценить. Десятилетия спустя после появления первых фишинговых писем этот вектор по-прежнему остаётся точкой входа в большинстве корпоративных взломов. По данным Verizon DBIR 2025, фишинг участвует в более чем 36% всех подтверждённых инцидентов. Причина проста: атаковать человека дешевле и эффективнее, чем взламывать периметр.
В 2025–2026 годах фишинг стал значительно сложнее. AI-инструменты позволяют генерировать персонализированные письма без грамматических ошибок, имитировать стиль конкретного руководителя и создавать deepfake-аудио для вишинга. Стандартный совет «проверяй орфографию» больше не работает как основной критерий. Нужно учить сотрудников распознавать контекстные и поведенческие сигналы — а это другое обучение.
💡 Средняя стоимость инцидента, начавшегося с фишинга, — $4,76 млн по данным IBM Cost of a Data Breach 2024. Для сравнения: годовой бюджет на Security Awareness в компании среднего размера — в сотни раз меньше.
Виды фишинговых атак: от массовых до целевых
Массовый фишинг (mass phishing)
Самый распространённый тип: одно письмо рассылается миллионам адресов в расчёте, что небольшой процент среагирует. Классические приёмы — письма от «банка», «налоговой», «службы доставки» с требованием перейти по ссылке и ввести данные. Сотрудники компаний в зоне риска, потому что корпоративные адреса часто утекают в базы и попадают в массовые рассылки.
Целевой фишинг (spear phishing)
Атака на конкретного человека или организацию с использованием персональной информации. Письмо обращается к получателю по имени, упоминает коллег, текущие проекты или недавние события — всё это атакующий собирает через OSINT из открытых источников. Whale phishing — разновидность spear phishing, направленная на топ-менеджмент и финансовых директоров. BEC (Business Email Compromise) — атака с компрометацией или имитацией корпоративной почты для перевода средств.
Вишинг, смишинг и QR-фишинг
Вишинг (voice phishing) — телефонные звонки с имитацией IT-поддержки, службы безопасности банка или коллег. С появлением deepfake-аудио вишинг вышел на новый уровень: голос руководителя можно клонировать по нескольким минутам записи. Смишинг — фишинг через SMS: «ваша посылка задержана, перейдите по ссылке». QR-фишинг (quishing) — QR-коды в письмах или физических носителях, ведущие на поддельные страницы. QR-коды обходят большинство email-фильтров, потому что сканер видит изображение, а не URL. Подробнее о техниках социальной инженерии — в статье «Социальная инженерия: что это и как защититься».
Как работает фишинг: анатомия атаки
Фишинговая атака эксплуатирует не техническую уязвимость, а когнитивную. Понимание механики помогает выстроить обучение, которое бьёт точно в нужное место.
Срочность. «Ваш аккаунт будет заблокирован через 24 часа» — это отключает аналитическое мышление и провоцирует импульсивное действие. Авторитет. Письмо от «генерального директора» или «службы безопасности банка» снижает критическую оценку: мы склонны подчиняться фигурам авторитета. Доверие через контекст. Упоминание реальных коллег, проектов или событий создаёт ощущение, что письмо «своё». Страх последствий. Угроза штрафа, утраты доступа или юридических последствий форсирует реакцию до того, как человек успевает проверить отправителя.
💡 Обучение сотрудников эффективнее всего, когда оно объясняет не «как выглядит фишинг», а «почему я реагирую, не думая». Психологические триггеры — срочность, авторитет, страх — работают одинаково на всех. Знание о них уже снижает вероятность ошибки.
Как распознать фишинговое письмо: чек-лист для сотрудника
Конкретный инструмент, который можно включить в обучение как раздаточный материал.
1. Проверь адрес отправителя. Не отображаемое имя, а реальный адрес. support@sberbank.com и support@sberbank-secure.com — разные адреса. 2. Наведи курсор на ссылку. Настоящий URL должен соответствовать организации. Ссылка bit.ly/... или случайный домен — красный флаг. 3. Оцени срочность. Если письмо требует немедленных действий под угрозой последствий — это классический триггер фишинга. Подлинные сервисы редко требуют реакции «прямо сейчас». 4. Не открывай вложения с неожиданных адресов. Особенно .exe, .zip, .iso, .docm — форматы с активным содержимым. 5. Проверяй нестандартными каналами. Если «генеральный» просит срочно перевести деньги — позвони ему лично. Не отвечай на то же письмо.
💡 Важнейший навык, который стоит внедрить в культуру: сообщать о подозрительных письмах. Не удалять, не игнорировать — а нажать кнопку «Сообщить о фишинге» и уведомить ИБ-команду. Это ключевой поведенческий индикатор зрелой SA-программы.
Как выстроить антифишинговое обучение
Симуляции фишинга: как проводить правильно
Регулярные симуляции — основа антифишинговой защиты. Их эффективность зависит от нескольких параметров: частоты (не реже раза в квартал), разнообразия сценариев (не повторять одни и те же шаблоны), нарастающей сложности (начинать с простых, постепенно переходить к персонализированным) и немедленной обратной связи (обучающий экран сразу после «попадания»).
Важно помнить об этике симуляций. Использование в сценариях тем, эксплуатирующих страх (болезни, увольнения, трагедии) — спорная практика, которая подрывает доверие. Лучше работают нейтральные деловые сценарии: «счёт на оплату», «обновление политики», «приглашение на встречу». О том, как встроить симуляции в комплексную программу — читайте в статье «Как построить программу Security Awareness с нуля».
Контент для обучения: что работает
Короткие видеоролики (2–3 минуты) с реальными сценариями работают лучше длинных текстовых инструкций. Интерактивные модули с симуляцией «что вы сделаете?» закрепляют поведение лучше, чем пассивное чтение. Разборы реальных инцидентов — особенно из той же отрасли — создают эффект «это могло случиться с нами» и повышают вовлечённость. Короткие pop-up напоминания в момент выполнения рискованных действий (переход по внешней ссылке, открытие вложения) — самый своевременный формат обратной связи.
Метрики антифишинговой программы
Три ключевых показателя, которые нужно отслеживать в динамике:
Click Rate — процент сотрудников, перешедших по фишинговой ссылке в симуляции. Для зрелой программы — цель ниже 5%. Credential Submission Rate — процент тех, кто не только кликнул, но и ввёл данные. Это уже критическая метрика: реальная атака в этом случае завершена успешно. Report Rate — процент сотрудников, которые не просто не попались, но и сообщили о симуляции в ИБ-команду. Рост этого показателя — признак зрелой культуры безопасности, а не просто обученности.
💡 Компании с зрелой SA-программой фиксируют снижение click rate с 30–40% (начальный уровень) до 3–5% в течение 12–18 месяцев систематического обучения и симуляций.
Курсы по Security Awareness и социальной инженерии
Профессиональный курс для ИБ-специалистов и тех, кто выстраивает SA-программу в компании: от психологии обучения и создания контента до симуляций фишинга, Evil Twin, USB-атак и построения дорожной карты с метриками.
«Фишинг — тебе пишут мошенники»
SberCyberSecurity School — практический курс о том, как распознавать фишинговые письма, сообщения и звонки. Подходит для сотрудников любого уровня подготовки.
Академия Айспринг — вводный курс по основным техникам социальной инженерии и методам защиты. Удобный формат для корпоративного обучения.
«Курс по противодействию социальной инженерии и мошенничеству»
Data Secure на Stepik — углублённый курс с практическими сценариями. Подойдёт ИБ-специалистам и тем, кто выстраивает SA-программу в компании.