Как за одно собрание научить сотрудников не кликать по фишинговым ссылкам

Три года назад один наш клиент потерял 340 000 рублей за один день. Бухгалтер открыла письмо «от банка», ввела логин и пароль в очень убедительную форму — и час пыталась дозвониться до IT-отдела. IT-отдел тогда — это я. С тех пор я провёл больше восьмидесяти антифишинговых собраний и выработал формат, который реально работает даже в небольших командах без собственной службы безопасности.

Почему фишинг — это не про хакеров, а про людей

Когда говорят «взломали», воображение рисует что-то из кино: чёрный экран, зелёные буквы, парень в капюшоне. Реальность скучнее. В девяти из десяти случаев взлом начинается с того, что кто-то из сотрудников просто кликнул по ссылке. Или открыл вложение. Или ввёл пароль на поддельном сайте. Никакой магии. Только социальная инженерия.

У меня есть клиент — небольшая юридическая фирма, восемнадцать человек. В прошлом году им пришло письмо якобы от «Росреестра» с требованием срочно обновить сертификат КриптоПро. Ссылка вела на сайт, визуально неотличимый от настоящего. Один из юристов перешёл по ссылке, скачал «обновление». Оказалось — стилер, программа для кражи паролей. Вытащили всё: пароли от почты, от 1С, от банк-клиента. Хорошо, что успели вовремя заблокировать счёт. Но нервов потратили — не передать.

Антивирус не поможет, если сотрудник сам устанавливает вредоносный файл и жмёт «Разрешить» на все предупреждения Windows. Файрвол не поможет, если человек вводит пароль на фишинговом сайте. Единственная реальная защита — это голова. Которую нужно правильно настроить. И это, кстати, дешевле любого программного решения.

Что происходит после одного клика — разбираем по секундам

Давайте пройдём весь путь. Сотрудник получает письмо. Отправитель — «support@sberbank-online.ru». Тема — «Ваш счёт заблокирован, требуется подтверждение». Внутри — убедительный текст, логотип банка, ссылка «Войти в личный кабинет». Человек кликает. Открывается страница, один в один похожая на Сбербанк Онлайн. Вводит логин, пароль, код из СМС. Готово. С этого момента у злоумышленников полный доступ к счёту.

Это сценарий классического фишинга. Но есть и сложнее. Целевой фишинг, или спиэр-фишинг: атакующие изучают компанию, узнают имена сотрудников, руководителей, поставщиков — и присылают письмо от имени директора с распоряжением срочно перевести оплату. Или от имени знакомого поставщика с «обновлёнными реквизитами». Несколько таких случаев у меня в практике. Один закончился переводом 180 000 рублей на чужой счёт. Деньги не вернули.

Ещё есть фишинг через мессенджеры. WhatsApp, Telegram. «Привет, это Игорь из бухгалтерии, у меня проблема со входом, можешь скинуть свой пароль на минуту?» Звучит глупо. Но люди ведутся. Особенно если перед этим злоумышленники уже взломали аккаунт «Игоря» и пишут действительно с его номера. Видел такое дважды. Один раз — в медклинике, где сотрудники друг другу полностью доверяли и привыкли помогать без лишних вопросов.

Как провести антифишинговое собрание: формат на 45 минут

Формат, который я использую, занимает ровно сорок пять минут. Лучше — не лекция, а разбор кейсов. Приглашаю всех: бухгалтерию, менеджеров по продажам, юристов, секретарей. Особенно — руководителей. Именно они часто нажимают «принять» на всё подряд, уверенные в собственной опытности. Это неприятная, но важная правда.

Первые десять минут — показываю реальные примеры. Скриншоты фишинговых писем, которые получали именно наши клиенты. Не абстрактные картинки из интернета. Настоящие письма, пришедшие бухгалтерам в похожих компаниях из той же отрасли. Показываю, как выглядит адрес отправителя: «sberbank@sberbank-service.online» вместо «@sberbank.ru». Объясняю, что имя отправителя — то, что видно в списке входящих, — можно написать абсолютно любое. Это бесплатно и занимает двадцать секунд. А вот настоящий адрес скрыт за ним, и его большинство людей просто никогда не смотрят.

Следующие двадцать минут — интерактив. Показываю письмо на проекторе и спрашиваю: «Это фишинг или нет?» Люди голосуют руками. Потом разбираем вместе. Это работает лучше любой лекции. Когда человек сам ошибся — ответил «нормальное письмо» на очевидно подозрительное — это запоминается. Без стресса, без публичного стыда. Просто живой урок, который не забудешь. Оставшиеся пятнадцать минут — вопросы и раздача чек-листа.

Симуляция фишинговой атаки своими руками — пошаговая инструкция

Самый эффективный инструмент — учебная фишинговая атака. Вы сами отправляете сотрудникам фишинговое письмо и смотрите, кто кликнул. Звучит жёстко. Но это лучший способ понять реальный уровень риска. И лучший способ объяснить людям, почему это важно — не абстрактно, а на их собственном примере. Один раз увидеть свою фамилию в колонке «ввёл пароль» — и это запоминается навсегда.

Для этого существует бесплатный инструмент — GoPhish. Устанавливается на любой Linux-сервер, документация подробная. Мы обычно поднимаем его на небольшом VPS — 300–400 рублей в месяц. Создаёте шаблон письма, имитирующего что-то привычное: уведомление от 1С о необходимости обновить лицензию, письмо «от IT-отдела» с просьбой сменить пароль, счёт от знакомого поставщика с изменёнными реквизитами. Добавляете список адресов сотрудников. Запускаете. GoPhish показывает подробную статистику: кто открыл письмо, кто кликнул по ссылке, кто ввёл данные на поддельной странице. Всё в удобном интерфейсе.

Важный момент: делаете это с ведома руководства, но без предупреждения самих сотрудников. После — проводите то самое собрание. Начинаете с результатов: «Из двадцати двух человек семнадцать открыли письмо, одиннадцать перешли по ссылке, пятеро ввели пароль». Имена не называете. Это не для того, чтобы пристыдить. Это чтобы показать масштаб. После такого начала аудитория слушает очень внимательно. Можете доверять моему опыту.

Пять правил для сотрудника — то, что реально работает

Я раздаю распечатку на одном листе. Пять пунктов, никаких длинных инструкций. Первое — проверяй адрес отправителя, а не отображаемое имя. Имя в письме можно написать любое. Адрес сложнее. «Сбербанк» с адреса «info@sberbank-help.ru» — не Сбербанк. Второе — не переходи по ссылкам в письмах, если не ждал этого письма. Зашёл в банк? Открой браузер и набери адрес вручную. Или через закладку. Просто.

Третье — никаких вложений от незнакомых. И даже от знакомых — если это неожиданный файл с расширением .exe, .bat, .scr или .js. Четвёртое — срочность и угрозы — красный флаг. «Срочно», «ваш аккаунт заблокирован», «действуйте немедленно» — стандартные приёмы давления. Нормальные организации так не общаются. У меня был клиент — небольшая торговая компания — которому пришло письмо якобы от налоговой с требованием «немедленно погасить задолженность до конца рабочего дня иначе блокировка». Очень убедительно. Один звонок реальному инспектору снял вопрос. Пятое — если сомневаешься, позвони. Получил странное письмо якобы от директора с просьбой перевести деньги? Позвони директору. Тридцать секунд. Вопрос закрыт.

Отдельно проговариваю каждый раз: ошибиться не стыдно. Стыдно промолчать. Если сотрудник кликнул по подозрительной ссылке — должен сразу сообщить в IT. Не через два часа, не «может, само рассосётся». Сразу. Чем быстрее мы узнаем — тем меньше ущерб. В нашей практике были случаи, когда вовремя позвонивший сотрудник помог остановить атаку за двадцать минут до того, как что-то успело зашифроваться или утечь. Были и случаи, когда молчали до утра. Это разные истории с разными последствиями.

Техническая подстраховка: что настроить параллельно с обучением

Обучение — хорошо. Но техника должна подстраховывать. Первое, что советую настроить — DNS-фильтрацию. Cloudflare for Teams в базовом варианте бесплатен. Более функциональные корпоративные решения — от 3 000 до 8 000 рублей в год на пользователя. Сервис блокирует обращения к известным фишинговым доменам прямо на уровне DNS — ещё до того, как браузер откроет страницу. Даже если сотрудник кликнул — ничего страшного не произойдёт.

Второе — настройка почтового фильтра. В большинстве корпоративных почт, будь то Яндекс 360, Microsoft 365 или собственный сервер на Postfix, есть инструменты для проверки SPF, DKIM и DMARC. Это технические стандарты, которые не дают злоумышленникам отправлять письма якобы от вашего домена. Настройка занимает час, стоит ноль рублей. Делают единицы. А зря — это один из самых эффективных барьеров при минимальных усилиях.

Третье — двухфакторная аутентификация везде, где возможно. Почта, 1С в облачной версии, RDP-доступ к офисным компьютерам, VPN, банк-клиент. Если пароль утёк — злоумышленнику всё равно нужен второй фактор. Обычно это останавливает. Настройка двухфакторки на Microsoft 365 — бесплатно, двадцать минут. На корпоративный RDP через Windows Server — чуть сложнее. Мы используем Duo Security или собственный TOTP-сервер — смотрим по размеру клиента и его бюджету. Резервные копии через Veeam тоже не будут лишними: если всё же зашифровали — есть что восстанавливать.

Как не дать людям забыть: повторение и культура безопасности

Одно собрание — это старт, не финиш. Через три месяца люди забывают половину. Через полгода — почти всё. Я рекомендую проводить учебную симуляцию раз в квартал и короткое напоминание раз в месяц. Не длинная лекция. Достаточно разослать один реальный пример фишингового письма с пояснением: «Вот что сейчас ходит, вот на что смотреть». Пять минут на прочтение. Люди привыкают держать голову включённой, а не отключаться после первого инструктажа.

Ключевой момент культуры безопасности — отсутствие наказания за ошибку. Если сотрудник боится признаться, что кликнул по подозрительной ссылке — он промолчит. И атака будет развиваться незамеченной несколько часов или дней. Политика должна быть другой: сообщил сразу — молодец, помог предотвратить ущерб. Не сообщил — вот это уже проблема. Такой подход я внедрял постепенно у нескольких клиентов, и разница видна: люди перестают стесняться и начинают звонить при малейшем сомнении. Это важнее любого антивируса.

Ещё один приём — назначить «амбассадора безопасности» внутри команды. Не обязательно айтишника. Любой внимательный человек, которому тема интересна. Он собирает вопросы коллег, помогает разобраться в сомнительных письмах, напоминает про правила. Мы называем это «человек-детектор». Работает на удивление хорошо, особенно в командах, где IT-специалист приходящий и не всегда доступен в моменте. В одной торговой компании такой человек за квартал остановил три попытки фишинга — просто потому что коллеги привыкли к нему обращаться вместо того, чтобы думать в одиночку.

Частые вопросы

Что делать, если сотрудник всё-таки кликнул по фишинговой ссылке?
Немедленно сообщить в IT — это главное. Если есть подозрение на загрузку вредоносного ПО — отключить компьютер от сети (вытащить сетевой кабель или отключить Wi-Fi), но не выключать полностью: это может уничтожить следы для анализа. Если вводились учётные данные — немедленно менять пароль с другого устройства и звонить в банк. Скорость здесь критична: первые двадцать минут часто решают всё.

GoPhish — это законно? Могу ли я тестировать своих сотрудников без их предупреждения?
Да, законно — если вы тестируете своих собственных сотрудников с ведома руководства компании. Это стандартная практика в кибербезопасности, называется пентестингом социальной инженерии. Хорошей практикой будет прописать такое тестирование во внутренней политике информационной безопасности или хотя бы зафиксировать решение письменно. Главное — не тестировать чужих сотрудников и не использовать инструмент для реальных атак.

Сколько стоит нормальная защита от фишинга для небольшой компании?
Базовый уровень — почти бесплатно. Настройка SPF, DKIM и DMARC, включение двухфакторной аутентификации, базовый DNS-фильтр через Cloudflare — это несколько часов работы IT-специалиста и ноль рублей лицензий. Полноценный пакет с мониторингом, корпоративным антифишинговым шлюзом и регулярными симуляциями для компании в двадцать человек обходится в 15 000–40 000 рублей в год — в зависимости от выбранных инструментов и провайдера.

Нужно ли обучать руководителей отдельно от остальных сотрудников?
Обязательно. Руководители — самая ценная цель для атакующих: у них больше прав в системах и больше полномочий на переводы денег и подписание документов. При этом они часто считают себя достаточно опытными и невнимательно слушают общий инструктаж. Для директоров и финансовых руководителей я провожу отдельную короткую встречу с акцентом на CEO fraud — это когда злоумышленники имитируют самого директора и от его имени просят сотрудников срочно перевести деньги или раскрыть данные.