Журнал "Information Security/ Информационная безопасность" #6, 2025

материалом через корпоративный пор- тал. Ссылка ведет на окно авториза- ции, имитирующее знакомую систему. Если письмо адаптировано под кон- кретный отдел или должность, оно выглядит как обычная рабочая пере- писка, и пользователь может не заме- тить, что данные перехватываются. Для повышения эффективности используют дополнительные каналы, такие как звонок или сообщение в мес- сенджере. Еще один пример: сотрудник отпра- вил автоответ об уходе в отпуск, оста- вив контакты команды, включая их номера телефонов. В настоящей атаке эта информация могла бы стать источ- ником сбора косвенных сведений об организации и отделах. В белом фишинге такие ситуации имитируют, чтобы показать, что даже без прямых вторжений можно случайно раскрыть важную информацию. Нередко вос- производятся сценарии, в которых зло- умышленники рассылают вложения с вредоносными файлами, например под видом отчетов или списков участ- ников конференций. Технологии и методы фишинга Учебный фишинг развивается вместе с технологиями. Профессиональные команды по проверке безопасности адаптируют методы киберпреступников под контролируемые тесты: l Обфускация и переписывание нагру- зок. Ранее атаки часто опирались на относительно простые и легко детекти- руемые векторы – макросы, PowerShell- скрипты и загрузчики, включая реали- зации на C#. Сегодня подобные приемы используют и атакующие, и пентестеры: они переписывают полезную нагрузку на других языках, применяя обфускацию и упаковку, чтобы обходить фильтры и EDR. В учебных тестах такие техники используются в контролируемой среде с мерами по снижению рисков компро- метаций. l HTML Smuggling. Подход, позволяю- щий скрывать скрипты внутри HTML- кода так, чтобы они срабатывали только на конкретном устройстве и в нужный момент. Этот прием используется уже шесть-семь лет и остается эффективным в тестовых сценариях. l Туннелирование, стеганография и проброс шелла. Современные RedTeam-команды осваивают туннели- рование трафика, стеганографию для передачи скрытых данных и техники проброса шелла для дальнейшего рас- пространения в сети. l Современные приемы. Среди новых инструментов – замена ссылок на QR- коды и использование дипфейков. Ком- бинации синтезированного голоса и под- мененных визуальных материалов делают механики максимально правдо- подобными и приближают учебные рас- сылки к настоящим атакам. DIY или профессиональные команды? Выбор стратегии фишинга зависит от размера компании и уровня компетенций сотрудников. В небольших организациях достаточно простого DIY-подхода: рас- сылка с корпоративной почты помогает собрать статистику о реакции сотрудни- ков и выявить базовые ошибки. В крупном бизнесе такие методы чаще всего не сработают: полноценная проверка требует разработки сайта, контента, дизай- на и функционала, а только администратор или специалист по безопасности спра- виться с этим в одиночку не сможет. Для регулярных и качественных тестов ком- пании формируют отдельные команды или привлекают внешних экспертов. Про- фессионалы моделируют атаки, макси- мально приближенные к реальным рис- кам, и собирают детальную статистику – кто и как реагирует, какие сценарии рабо- тают лучше. Это позволяет оценить уро- вень киберграмотности персонала и соот- нести результаты со средними по рынку. Альтернативой могут быть специ- альные программные решения, которые автоматизируют создание и отправку писем, сбор статистики и базовый ана- лиз. Они подходят и для небольших, и для крупных организаций, где важно масштабировать учебные рассылки без перегрузки внутренних ресурсов. Часто оптимальным вариантом стано- вится комбинированный подход: регу- лярные тренировки с помощью программ- ного обеспечения и периодические про- верки внешними экспертами. Так компа- ния поддерживает устойчивость к угрозам и рационально использует ресурсы. Заключение Учебный фишинг – это не разовая проверка внимательности сотрудников, а полноценный инструмент управления человеческим фактором, который поз- воляет не только фиксировать ошибки, но и системно снижать вероятность реальных инцидентов. В отличие от фор- мального обучения или разовых инструк- тажей, имитация атак дает измеримый результат: кто открыл письмо, кто пере- шел по ссылке, кто ввел учетные данные, а кто сообщил в службу безопасности. Практика показывает, что уровень зре- лости компании в вопросах защиты от фишинга определяется не сложностью сценариев, а регулярностью и качеством обратной связи. Стартапам и небольшим командам достаточно простых рассылок или специализированных платформ, чтобы выявить базовые проблемы с циф- ровой гигиеной. Для крупного бизнеса этого уже недостаточно: там требуется комплексный подход с участием SOC, социальной инженерии, Red Team и четко выстроенных процедур реагирования. Важно понимать, что цель учебного фишинга – не поймать сотрудника на ошибке и тем более не сформировать культуру страха. Эффективные програм- мы строятся вокруг обучения, прозрач- ных правил и корректной интерпретации результатов. Ошибка пользователя – это не провал, а сигнал о том, где про- цессы, интерфейсы или коммуникации создают избыточную нагрузку и повы- шают риск компрометации. Ключевым фактором остается регуляр- ность. Разовые учения дают эффект лишь на короткое время и быстро забываются. Только системные тренировки, обновле- ние сценариев и адаптация под реальные тактики злоумышленников позволяют закрепить навыки распознавания угроз и выработать правильную модель пове- дения. При таком подходе учебный фишинг станет не дополнительной мерой защиты, а частью устойчивой архитектуры безопасности, где человек рассматрива- ется не как слабое звено, а как управляе- мый и обучаемый элемент системы. l • 75 БЕЛЫЕ ИССЛЕДОВАТЕЛИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рисунок: ГРОТЕК