Журнал "Information Security/ Информационная безопасность" #1, 2026

Рассмотрим пять кейсов из практики команды BI.ZONE Digital Risk Protection 1 , которые иллюстрируют, что именно угро- жает бизнесу за пределами корпора- тивной инфраструктуры. Кейс 1. Ghost Invoice Случай произошел с агрокомпанией. Организации из агро- и химической про- мышленности часто становятся целями мошеннических схем, не требующих пря- мого доступа к инфраструктуре. Их биз- нес построен на широкой сети партне- ров, поставщиков и дилеров, а значи- тельная часть коммуникаций проходит по электронной почте. Это создает бла- гоприятные условия для атак социальной инженерии. Одна из таких схем – Ghost Invoice (фиктивный счет), при которой злоумышленники имитируют деловую переписку и подменяют реквизиты для оплаты. Ситуация. Злоумышленники регистри- ровали доменные имена, визуально похожие на официальный домен агро- компании, и создавали на их основе ресурсы, имитирующие корпоративный сайт. На этих страницах размещались поддельные контактные данные: адреса электронной почты, формы обратной связи и иногда номера телефонов. С помощью этих контактов мошенники вступали в переписку с клиентами и партнерами компании. Общение строи- лось так, чтобы максимально походить на обычные деловые коммуникации: обсуждались условия поставки, сроки оплаты и другие детали сделки. Когда клиент был готов к оплате, злоумыш- ленники направляли ему счет с под- ставными банковскими реквизитами. После перевода средств мошенники пре- кращали общение и переставали отве- чать на сообщения. Финансовый ущерб в подобных схемах может быть значительным. Поскольку речь часто идет о B2B-контрактах, суммы счетов достигают сотен тысяч и мил- лионов рублей. Например, в одном из кейсов злоумышленники выставили жертве счет на 14 млн руб. При этом пострадавшей стороной оказывается не только клиент, который переводит деньги мошенникам, но и компания, чьим брен- дом прикрывается атака. На нее ложится репутационный ущерб: партнеры начи- нают сомневаться в надежности комму- никаций, а службе поддержки прихо- дится разбираться с большим количе- ством обращений. Решение. Чтобы выявлять подобные угрозы на ранней стадии, мы настроили мониторинг регистрации новых домен- ных имен, содержащих варианты напи- сания бренда компании. Дополнительно проводилась проверка наличия MX-запи- сей, которые используются для приема электронной почты. Такой подход позволял выделять домены, потенциально предназначенные для мошеннической переписки. Даже если на них еще не был размещен пол- ноценный фишинговый сайт, наличие почтовой инфраструктуры указывало на подготовку к атаке. Благодаря этому подозрительные ресурсы можно было обнаружить еще до начала массовых рассылок или переписки с клиентами. Результат. Все выявленные домены опе- ративно передавались компании. На осно- ве этой информации она могла вносить их в корпоративные черные списки, иниции- ровать процедуру блокировки у регистра- торов и предупреждать партнеров о воз- можных мошеннических схемах. Такой проактивный подход позволил существенно сократить время между регистрацией мошеннического домена и его нейтрализацией. В результате сни- зились репутационные риски для бренда и уменьшилась вероятность того, что клиенты успеют столкнуться с поддель- ными ресурсами и перевести деньги злоумышленникам. Кейс 2. Массовый фишинг, нацеленный на конкретных пользователей Другой случай произошел с банком. Финансовые организации регулярно ста- новятся целями фишинговых атак, поскольку злоумышленники могут напря- мую монетизировать такие инциденты. При этом классические фишинговые кампании с одним доменом или ограни- ченным числом ссылок достаточно быстро выявляются и блокируются. Поэтому мошенники все чаще исполь- зуют более скрытые и масштабируемые методы. Ситуация. В данном случае злоумыш- ленники применяли тактику массовой генерации уникальных фишинговых ссы- лок. Для каждого пользователя созда- вался отдельный URL, ведущий на стра- ницу, имитирующую интерфейс банка. Такие ссылки распространялись через личные сообщения в социальных сетях. Поскольку каждая ссылка была уни- кальной, традиционные механизмы обна- ружения срабатывали хуже: блокировка одного адреса не влияла на остальные элементы кампании. В результате атака могла оставаться незаметной до тех пор, пока пострадавшие клиенты не начинали обращаться в банк. Это при- водило к финансовым потерям и уве- личивало нагрузку на службы безопас- ности и поддержки. 28 • СПЕЦПРОЕКТ DRP на практике: как BI.ZONE защищает бизнес вне периметра а пределами корпоративного периметра формируется множе- ство рисков для бизнеса. Только за 2025 г. специалисты BI.ZONE Digital Risk Protection обнаружили 179 тыс. фишинговых ссылок – и это лишь часть ландшафта угроз. Злоумышленники все чаще распространяют вредоносные мобильные приложения, наращивают объем мошеннического контента в мессенджерах и соцсетях, используют персонали- зированный фишинг. Посмотрим на самые распространенные сценарии, с которыми сталкиваются организации, и о том, как защищаться от угроз вне периметра. З Григорий Бершацкий, руководитель группы аналитиков BI.ZONE DRP Фото: BI.ZONE 1 https://bi.zone/catalog/products/digital-risk-protection/