Журнал "Information Security/ Информационная безопасность" #6, 2025

Учебный фишинг – безопасная и эффективная модель имитации атак, позволяющая проверить сотрудников на умение распознавать поддельные пись- ма и правильно реагировать на подо- зрительные сообщения. Этот подход выявляет слабые места в знании правил информационной гигиены, помогает минимизировать риски потери реальных данных и компрометации инфраструк- туры компании. Для реализации этого метода специалистам требуется тща- тельная подготовка и детальное пони- мание влияния человеческого фактора на безопасность. Зачем компаниям учебные фишинговые рассылки? Человеческий фактор остается одним из наиболее уязвимых элементов в орга- низации системы кибербезопасности. Сотрудники переходят по подозритель- ным ссылкам, вводят логины и пароли на мошеннических сайтах или пересы- лают письма с сомнительными вложе- ниями. Такие ошибки необязательно связаны с некомпетентностью – часто это последствия усталости, спешки или недостатка знаний о современных угро- зах. Учебный фишинг помогает выявить эти уязвимости и понять, где требуется дополнительное обучение и поддержка. В Бастионе тестовые фишинговые рассылки проводятся не только с целью проверки сотрудников компании на зна- ния правил цифровой гигиены, но и для того, чтобы команда защиты могла рас- познавать подозрительную активность и вовремя на нее реагировать. Наша практика подтверждает, что даже опыт- ные специалисты ошибаются, если устают или торопятся. DIY-фишинг: что нужно знать? DIY-фишинг – метод проведения учеб- ных рассылок собственными силами организации, чаще всего с акцентом на внутреннюю аудиторию. В отличие от классического фишинга, такой подход направлен на оценку реакции сотрудни- ков и проверку работы средств защиты в безопасной среде, а не с целью похи- тить данные или нанести вред. Тесты выполняются с ограничением доступа к реальным данным и с мерами по сни- жению риска компрометаций. Практическая часть учебных рассылок требует внимательной настройки, в том числе правильного выбора инструментов для их запуска и отслеживания резуль- татов. Использование корпоративной почты безопаснее, так как не затраги- вает внешние системы, но слабо имити- рует условия настоящей атаки. Рассылка со сторонних адресов поз- воляет создавать более правдоподобные ситуации: письма выглядят как обраще- ния от независимых источников. Для этого нужно зарегистрировать домен, настроить имитируемые ресурсы и учесть условия срабатывания спам- фильтров. Эффективнее отправлять сообщения небольшими партиями – так рассылка не создаст лишнего шума и недопони- мания среди сотрудников. Письма стоит адаптировать под конкретный отдел или должность, чтобы тест выглядел макси- мально правдоподобно и дал точные результаты. Ключевые фигуры, включая CISO и руководителя отдела монито- ринга, должны быть в курсе проведения учебного взлома, чтобы предотвратить ложные срабатывания систем безопас- ности и конфликтные ситуации внутри коллектива. При проектировании теста важно настроить сбор действий участников, чтобы тщательно обрабатывать данные и вести учет. Для анализа поведения применяют IP-логгер и продуманную логику форм для ввода учетных данных. Ошибки в фиксации событий, работе форм или спам-фильтров, а также воз- можные ложные срабатывания SIEM, могут исказить статистику и снизить качество проверки. Важно настроить все элементы теста, чтобы получить достоверные данные и повысить кибер- грамотность команды. Психология и сценарии атак Эффективность атаки во многом зави- сит от человеческой психологии. Наша практика показывает, что люди чаще доверяют письмам от коллег. Атаки от лица представителя соседнего отдела, в которых сохраняется неформальный стиль переписки, – самые убедительные. Доверие повышают детали фишинго- вого письма: общие подписи от лица организации, традиционный корпора- тивный формат и принятое оформление сообщения. Использование шаблона реальных переписок делает рассылку максимально похожей на рабочую ком- муникацию. При разработке тестов важно соблю- дать юридические и этические требо- вания, а также руководствоваться внут- ренней политикой компании. Ограниче- ние содержания тестовых рассылок рамками корпоративной информации и прозрачное документирование про- цедур помогают снизить риски инци- дентов. Как создавать сценарии фишинговых атак? Даже при тщательной подготовке теста возможны ошибки в настройках, которые влияют на точность сбора дан- ных и качество моделирования атаки. Наши специалисты опираются на опыт SOC и наблюдения за киберпреступни- ками. Техники атак постоянно меняются, но в основе остаются психологические принципы воздействия на человека. Простая схема: сотруднику приходит письмо с новостью о ключевой фигуре компании и просьбой ознакомиться с 74 • СПЕЦПРОЕКТ Как белый фишинг спасает компании от утечек чебные фишинговые рассылки моделируют реальные угрозы, чтобы выявить слабые места в правилах безопасности и натренировать сотрудников. Организуем учебный фишинг правильно: повышаем правдоподобность с помощью психоло- гических приемов, учитываем юридические и этические ограничения. У Всеволод Овчинников, специалист группы социально-технического тестирования Бастион Фото: Бастион