«Голосуй за лучший отдел»: фишинг Telegram на производстве 47 РМ за 6 часов

14:22 во вторник позвонил начальник кадров производственной компании 47 РМ из Балашихи (фасонное литьё, обслуживают трубопроводный сектор): «У нас в Telegram пришло сообщение про корпоративное голосование, ссылка не открывается, и сейчас уже несколько человек жалуются на странные SMS. Что-то идёт не так». За следующие 6 часов мы вместе с моим напарником прошли путь от первого клика до полной чистки: декомпиляция фишинг-страницы, выявление C2-сервера в Праге, блокировка трафика на MikroTik офиса, и массовый перевыпуск 2FA для всех 47 сотрудников. Этот материал — почасовая реконструкция работы и чек-лист, который мы оставили клиенту.

Что произошло до звонка

В 13:54 в новый Telegram-чат «Корпоративное голосование 2026» были разом добавлены 38 сотрудников этой компании. Чат создан 27 апреля за два дня до атаки, единственный администратор — аккаунт @HR_SovetKorp_2026 (Telegram-username, зарегистрированный за неделю до инцидента). Аватарка — стилизованный логотип компании, скачанный с её сайта. Имя профиля совпадало с фамилией реальной начальницы кадров. Это уже не «массовый фишинг» — это таргетированная атака с подготовкой.

В 14:00 в чате появилось сообщение от лица «HR-СоветКорп»: «Дорогие коллеги! С прошлой пятницы у нас идёт ежегодное корпоративное голосование за лучший отдел года. По итогам победителю — премия 50 000 рублей на каждого. Голосование до 17:00 сегодня, проголосуйте по ссылке: t.me/login_review/vote2026. После голосования вам нужно подтвердить личность через код Telegram — это для исключения накруток».

Знаете, тут сразу сработали два очень мощных крючка. Первый — это премия в 50 000 ₽. Сумма очень конкретная, для литейщика, например, это примерно месячная зарплата, и, конечно, желание её получить, «успеть» очень сильное. Второй триггер — это формулировка «подтверждение личности через код Telegram». Это классический приём социальной инженерии, когда злоумышленники пытаются перехватить ваш код для входа. Ведь как это работает? Если вы вводите код, который приходит вам в Telegram при попытке залогиниться с другого устройства, атакующий моментально получает доступ к вашему аккаунту.

За 22 минуты до моего звонка кликнули 7 сотрудников. Из них 3 дошли до ввода кода. Из этих 3 — один ввёл код, успев это сделать за 23 секунды (то есть атакующий уже зашёл с другого устройства в его аккаунт, прежде чем владелец это заметил). У одного не получилось из-за того, что Telegram попросил пароль 2FA, которого он не знал. У третьего — код не пришёл вообще, потому что одновременно с этим у него с телефона дрожала рука и он несколько раз вводил неверные данные.

14:22-14:37: первая реакция и блокировка C2

Когда мне позвонили в 14:22, я сразу же связался с начальником кадров. Она, кстати, сама получила это сообщение и почувствовала неладное, поэтому кликать не стала. Да и в чате уже звенели голосовые сообщения от недоумевающих коллег. Я попросил её сделать две вещи: а) собрать всех, кто получил подозрительное сообщение, в актовом зале и б) немедленно прислать мне URL-адрес этой фишинговой ссылки.

В 14:24 у меня уже была ссылка: https://login-review.ru/vote2026?id=XXXXX. То, что в чате выглядело как t.me/login_review/..., на самом деле было ссылкой, которая в десктопном клиенте Telegram отображалась превью с поддельным фавиконом Telegram и текстом «Telegram: голосование». При нажатии — открывалась страница на стороннем домене, а не на t.me.

Я немедленно приступил к анализу. Чтобы атакующий не успел заметить наш IP-адрес и не свернул свою инфраструктуру до того, как мы её зафиксируем, я открыл ссылку через изолированную VM с Tor.

# Снимаем фишинг-страницу для анализа
mkdir analysis-2026-04-29 && cd analysis-2026-04-29

# Загружаем страницу + ресурсы (через Tor)
torsocks wget --mirror --convert-links --page-requisites \
   --no-parent --domains=login-review.ru \
   https://login-review.ru/vote2026?id=test

# DNS-резолв с разных резолверов (атакующие иногда отдают разные IP региональным DNS)
dig +short login-review.ru @8.8.8.8
dig +short login-review.ru @77.88.8.8        # Яндекс
dig +short login-review.ru @1.1.1.1
dig +short login-review.ru @9.9.9.9
dig +short login-review.ru @193.187.92.67    # наш собственный

# WHOIS домена и AS-инфо
whois login-review.ru | head -50
whois 5.180.45.XXX | head -30
mtr -r -c 30 5.180.45.XXX

# Проверка через VirusTotal API
curl -s "https://www.virustotal.com/api/v3/domains/login-review.ru" \
  -H "x-apikey: ${VT_API_KEY}" | jq '.data.attributes.last_analysis_stats'

Получилось: домен зарегистрирован 11 дней назад через REG.RU, владелец скрыт через privacy-сервис. IP 5.180.45.XXX — Прага, провайдер «Master Internet s.r.o.», AS204603. На том же IP крутятся ещё 14 доменов вида tg-login-XXXX.ru, review-vote-YYYY.com, poll-corp-ZZZZ.ru — типичная фишинг-ферма. VirusTotal на 14:28 показал 0 детектов (домен слишком свежий), но через 4 часа уже было 9 детектов после моей отправки IoC в OSINT-каналы.

Уже в 14:33 я сидел за SSH-консолью MikroTik в офисе клиента. У нас, кстати, есть постоянный VPN-туннель до их CCR2004 для оперативной поддержки. И я сразу заблокировал C2.

# MikroTik RouterOS 7.16 — блокировка фишинг-инфраструктуры
/ip firewall address-list add list=phishing-c2-2026-04-29 \
   address=5.180.45.0/24 comment="login-review.ru C2 Prague"
/ip firewall address-list add list=phishing-c2-2026-04-29 \
   address=login-review.ru comment="resolve-on-demand"
/ip firewall address-list add list=phishing-c2-2026-04-29 \
   address=tg-login-2026.ru
# Ещё 13 доменов с того же IP

# Правило в forward-chain
/ip firewall filter add chain=forward dst-address-list=phishing-c2-2026-04-29 \
   action=reject reject-with=icmp-network-unreachable \
   comment="phishing block 2026-04-29 incident"
/ip firewall filter move [find comment="phishing block 2026-04-29 incident"] 1

# Дополнительно — DNS-блокировка через наш AdGuard
ssh -p 2202 root@adguard.itfresh.ru "adguardhome-cli rule add 'login-review.ru'"
ssh -p 2202 root@adguard.itfresh.ru "adguardhome-cli rule add '*.login-review.ru'"
ssh -p 2202 root@adguard.itfresh.ru "adguardhome-cli rule add 'tg-login-2026.ru'"

# Проверка
ssh -p 2202 root@mikrotik.balashikha.local "/log print where message~\"phishing\""

В 14:37 любой компьютер из офисной сети, который пытался обратиться к login-review.ru, получал TCP-reject. К этому моменту в фишинг-страницу уже больше никто из коллег не успел зайти — потому что начальник кадров параллельно бегала по цеху и предупреждала всех «не нажимайте». В 14:42 атакующий, видимо, заметил, что трафик из этой подсети пропал, и начал менять IP в DNS-записях своего домена. Я добавил все его новые IP в address-list автоматически через скрипт, который запускался каждые 5 минут.

Декомпиляция фишинговой страницы

Параллельно со всеми этими действиями я детально изучил саму страницу. Это был обычный HTML + JavaScript, который, на первый взгляд, использовал официальный Telegram Login Widget — механизм авторизации через Telegram. Но там был один интересный 'поворот'.

Что я увидел на странице? Красивый дизайн, якобы для «голосования», список из 7 «отделов» (причём это были реальные названия отделов компании — значит, атакующие явно где-то раздобыли их оргструктуру), переключатели, кнопка «Проголосовать». И вот когда ты нажимаешь эту кнопку, выскакивает модальное окно «Подтвердите личность через Telegram» со встроенным, но поддельным виджетом авторизации.

Настоящий виджет Telegram, после того как вы пройдёте капчу на стороне Telegram, возвращает только ваши публичные данные: id, имя, username. Атакующий при этом не получает никакого доступа к вашему аккаунту. Но этот фейковый виджет работал совершенно иначе! Он сначала просил ввести номер телефона, потом — код из SMS (на самом деле, это был тот самый код из Telegram «Login attempt from desktop»). И одновременно с этим, на сервере атакующего запускался скрипт, который использовал этот код для входа в реальный Telegram через MTProto-протокол.

Этот скрипт у атакующих написан на Python с использованием библиотеки telethon или pyrogram. Алгоритм был типичный:

1. Пользователь вводит свой номер на фейковой странице.
2. Скрипт атакующего инициирует auth.sendCode в Telegram через MTProto API на этот номер.
3. Telegram присылает SMS или код в само приложение «Login attempt».
4. Пользователь, думая, что это «подтверждение для голосования», вводит код на фейковой странице.
5. Скрипт получает код и через auth.signIn входит в аккаунт жертвы.
6. Если у жертвы включено 2FA — Telegram запрашивает пароль 2FA, и фейковая страница показывает поле «введите пароль голосования». Здесь часть жертв спотыкаются.

# Извлечённый псевдокод сервера атакующего (по результатам анализа сетевого
# трафика через mitmproxy при тестовом прохождении страницы)

POST /api/vote-init
{"phone": "+79991234567"}
→ серверная часть:
   from telethon import TelegramClient
   client = TelegramClient('victim_session', API_ID, API_HASH)
   await client.send_code_request("+79991234567")
   → SMS отправляется реальным Telegram на номер жертвы

POST /api/vote-confirm
{"phone": "+79991234567", "code": "12345"}
→ серверная часть:
   try:
       await client.sign_in(phone="+79991234567", code="12345")
       # успех — атакующий внутри аккаунта
   except SessionPasswordNeededError:
       # требуется 2FA — возвращаем фейковое поле
       return {"need_2fa": True, "message": "Введите пароль для голосования"}

POST /api/vote-2fa
{"phone": "+79991234567", "password": "kotik2024"}
→ серверная часть:
   await client.sign_in(password="kotik2024")
   # если пароль угадан — полный доступ к аккаунту жертвы

Очень изящная схема. Если бы у одного из жертв пароль 2FA был «kotik2024» или другой простой — атакующий бы получил постоянный доступ к его Telegram-аккаунту до тех пор, пока сам пользователь не заметил бы и не отозвал сессию.

Что атакующий делает с захваченным аккаунтом

По нашим данным, которые мы получаем из открытых OSINT-расследований (мы, кстати, регулярно отслеживаем Have I Been Pwned, Telegram Insights и различные форумы, например, BreachForums), атакующие обычно поступают с украденным корпоративным Telegram-аккаунтом следующим образом:

• Читают историю чатов — особенно групповых рабочих чатов, ищут платёжные документы, пароли, ссылки на внутренние системы.
• Пишут от лица жертвы её контактам с просьбой «срочно одолжить 50-100 тысяч», переслать платёжку, скачать «договор» (на самом деле — следующий загрузчик).
• Используют аккаунт как трамплин для следующего этапа атаки на компанию (например, написать гендиректору от лица главбуха и попросить срочно подписать платёж).
• Перепродают сам аккаунт в Telegram-каналах за 500-3000 рублей в зависимости от качества.

Никакого «голосования за лучший отдел», конечно же, не было и в помине. Это была чистейшая ловушка, созданная исключительно для сбора Telegram-аккаунтов сотрудников компании.

14:50-17:30: разбор того, что произошло с каждым жертвой

К 14:50 я уже был на связи с начальницей кадров, и вместе мы быстро определили список из 7 сотрудников, которые успели кликнуть по ссылке. Мы пригласили каждого из них в актовый зал для личной беседы. От каждого мы собрали подробную историю того, что именно он делал на этой фишинговой странице. Это дало нам полную картину происходящего:

Сотрудник 1, рабочий цеха №2, 26 лет — открыл страницу, посмотрел список отделов, не стал тыкать кнопку «Проголосовать», закрыл. Жертвой не стал. Хорошо.

Сотрудник 2, мастер участка, 41 год — открыл, нажал «Проголосовать», увидел поле «введите номер», засомневался, закрыл. Жертвой не стал.

Сотрудник 3, бухгалтер, 38 лет — открыл, нажал, ввёл номер, получил SMS-код в Telegram, прочитала текст «Login attempt from desktop», поняла подвох, не стала вводить, закрыла. Жертвой не стала, но Telegram уже знал, что её номер пытался зайти неавторизованный клиент.

Сотрудник 4, экономист, 45 лет — ввёл код. У него был 2FA-пароль, на фейковой странице открылось поле «введите пароль голосования». Он попытался ввести пароль 2FA, не подошло (видимо, он сам забыл точный пароль). После трёх попыток страница выдала ошибку «Попробуйте позже». Жертвой не стал, но атакующий теперь знал номер телефона и сам факт включённого 2FA.

Сотрудник 5, ведущий инженер, 33 года — ввёл код, 2FA-пароль не запрашивался (его не было). Атакующий зашёл в аккаунт. Через 18 секунд жертва получила push «Активная сессия с iPhone, Прага» в реальном Telegram, открыла «Активные сессии», увидела чужой логин, успела нажать «Завершить сессию». Аккаунт был под контролем атакующего около 23 секунд. За это время атакующий успел: открыть список чатов (но не скачивать историю), и попытаться написать пробное сообщение в чат с генеральным директором «Здравствуйте, нужна срочная подпись по договору». Сообщение ушло, но мы потом удалили его из чата ГД.

Сотрудник 6, сотрудник склада, 29 лет — ввёл код, 2FA не было, атакующий зашёл. Никаких уведомлений жертва не увидела (телефон был в кармане). Атакующий писал в чаты от его имени около 12 минут — успел отправить 4 фишинг-сообщения коллегам с просьбами «глянь файл, отчёт у меня не открывается» (со ссылкой на следующий этап). Один из коллег его сразу спросил голосом «ты что, нормально?». Атака свернулась после того, как мы сменили пароль 2FA в Telegram через сервис восстановления.

Сотрудник 7, водитель, 51 год — кликнул, страница не открылась (компьютер был с моим AdGuard-фильтром уже после блокировки в 14:37). Жертвой не стал.

17:30-20:50: перевыпуск 2FA для 47 сотрудников

После того как мы всё разобрали по полочкам, приняли решение: несмотря на то, что реально «захвачены» были всего 2 человека, нужно было перевыпустить 2FA-пароль для всех 47 сотрудников. И вот почему: а) мы не могли знать, кто из них уже попадался на другой фишинг на той же неделе, б) нам было неизвестно, насколько надёжные 2FA-пароли у людей, и в) это был отличный повод, чтобы всех обучить правильной настройке.

В 17:30 в актовом зале собрались все 47 человек. Производство у них, кстати, работает 24/7, но нам повезло поймать смену, которая трудится с 15:00 до 23:00. У меня был помощник, который раздавал всем листочки с инструкциями, а я работал с каждым сотрудником лично, уделяя примерно по 5 минут.

Процедура для каждого сотрудника:

# Шаги настройки на телефоне (Android/iOS, Telegram актуальной версии)
1. Открыть Telegram → Настройки → Конфиденциальность и безопасность
2. Войти в «Активные сеансы» — удалить все сеансы кроме текущего
3. Включить 2FA, если не включён:
   Двухэтапная аутентификация → Установить пароль
   - Минимум 12 символов, обязательно цифра и заглавная
   - Email recovery — на корпоративную почту (наш Zimbra)
   - Hint — что-то, что подскажет только владельцу

4. Если 2FA был включён — сменить пароль:
   Двухэтапная аутентификация → Изменить пароль

5. Установить Aegis (Android) или Yubico OTP (iOS) для дополнительного слоя:
   - F-Droid → IzzyOnDroid → Aegis Authenticator
   - В Telegram → 2FA → Резервная электронная почта
   - Сохранить backup-коды в Aegis-хранилище с паролем

6. Проверка: выйти из Telegram (Настройки → Завершить все сеансы кроме текущего)
   и снова войти, убедиться, что 2FA запрашивается.

На 47 человек ушло 4 часа (с перерывами по 10 минут после каждых 12 человек). У 12 из 47 — 2FA вообще не было настроено. У 19 — был слабый пароль (даты рождения, имена детей, простые «12345»). У 6 — пароль был такой, что они сами не помнили и пришлось его пересоздавать с пометкой «hint = первая буква имени». 10 человек уже всё имели в правильном виде — им мы только сменили пароль и проверили активные сессии.

Параллельно с настройкой я каждому давал распечатанный двусторонний листок, разделённый на две части. На первой было написано «Признаки фишинга в Telegram» с наглядными примерами: сообщения о премии, голосования, обновления, срочные ссылки. На второй — «Что делать при подозрении», где чётко говорилось: положить телефон, ничего не нажимать, написать мне в Element X (у меня там корпоративный аккаунт). Этот бумажный артефакт, кстати, часть людей даже повесила у себя в шкафу.

Чек-лист, который остался клиенту

После завершения этого инцидента я подготовил для производственной компании чек-лист из 14 пунктов. В нём я расписал, что абсолютно любая компания должна сделать после фишинговой атаки и какие меры нужно предпринимать на постоянной основе.

Реактивная часть (в течение 6 часов после инцидента):

1. Получить URL фишинговой ссылки и реальное содержимое (не вытаскивать через рабочий браузер!).
2. Через изолированную VM или Tor — разобрать страницу: DNS-резолв, WHOIS, AS, ip, ssl-сертификат, контент.
3. Заблокировать IP/домен на корпоративном файрволе и в DNS-резолвере.
4. Передать IoC в OSINT (URLhaus, Abuse.ch, VT, Whois XML) — другие компании это спасёт.
5. Собрать список потенциальных жертв и опросить каждого индивидуально.
6. Для каждой жертвы: проверить активные сессии Telegram, перевыпустить 2FA, проверить логи на компьютере на следы RAT.
7. Записать всё для будущего разбора (даже мелочи — что именно жертва нажала, в какое время, что увидела на экране).

Профилактическая часть (постоянно):

8. Корпоративный DNS-резолвер с регулярным обновлением блок-листа.
9. Файрвол с IoC-feed (ежечасно обновляемый список от Abuse.ch + наш собственный).
10. 2FA включен у всех с финансовым или административным доступом, проверка раз в квартал.
11. Phishing-симуляции через GoPhish раз в месяц.
12. Обучение новых сотрудников при найме (30 минут разговора и распечатанный листок).
13. Прямой канал связи с IT (Element X, не Telegram) для случаев подозрения.
14. Регламент работы с финансовыми операциями (двух-факторное подтверждение крупных платежей).

Стоимость работы и финансовая сторона

Работа по этому инциденту заняла у меня и моего напарника 6 часов активного времени, и ещё 12 часов ушло на подробный анализ и подготовку отчёта на следующий день. По нашему стандартному тарифу incident-response, это 4500 ₽/час за инженера, работающего в режиме «срочно». Итого за смену получилось вот что:

• 6 часов реактива × 2 инженера × 4500 ₽ = 54 000 ₽
• 12 часов анализа × 1 инженер × 3500 ₽ (обычный тариф) = 42 000 ₽
• Материалы (распечатки, листки инструкций для 47 человек, организация актового зала) = 4 000 ₽
• Итого = 100 000 ₽ за инцидент

Дополнительно, для профилактики, компания заказала у нас: пакет phishing-симуляций GoPhish на 12 месяцев (это обошлось в 40 000 ₽), внедрение Element X на своём собственном Matrix-сервере (за 60 000 ₽) и разработку регламента работы с финансовыми операциями (15 000 ₽). Общие инвестиции в эту сферу за квартал составили 215 000 ₽. И это, поверьте, гораздо меньше, чем стоимость одного платежа, выведенного через социальную инженерию.

Чтобы вы понимали масштаб: если бы атакующий захватил Telegram бухгалтера и через него убедил генерального директора подписать какой-нибудь «срочный» платёж на 1-2 млн рублей на сторонний адрес, то шансы вернуть эти средства были бы всего около 5%. Так что, как видите, вложиться в защиту всегда дешевле, чем потом расхлёбывать последствия.

FAQ: что чаще всего спрашивают клиенты

Откуда атакующие узнали список сотрудников и в какие чаты их добавлять?

В ходе нашего расследования мы выяснили, что источник утечки — это корпоративный список контактов, который ушёл через одно из сторонних HR-приложений. Мы подозреваем, что это было мобильное расширение к учётной программе для работы с резюме, которое сотрудники устанавливают сами. Сами Telegram-аккаунты можно было найти через поиск по @username, ведь многие сотрудники указывают их в LinkedIn и в открытых профилях на HH. Атакующие за две недели собрали список из 38 username сотрудников этого производства, выгрузили его в скрипт и через TDLib массово добавили в новый чат под названием «Корпоративное голосование 2026». Такой вектор атаки — очень типичный для целевых компаний.

Можно ли поставить технические блоки, чтобы пользователи не могли кликать на фишинг?

Знаете, полностью предотвратить все клики, к сожалению, невозможно. Клиент-приложение Telegram открывает ссылки в своём собственном in-app браузере, который мы никак не можем контролировать. Но что можно сделать, так это сильно снизить возможный ущерб. Первое, что мы рекомендуем — это корпоративный DNS-резолвер с постоянно обновляемой базой заблокированных доменов (наш, например, AdGuard Home, содержит 4.7 млн записей). Второе — MikroTik-файрвол с ежечасно обновляемым списком IoC от Abuse.ch и URLhaus. И третье — обязательная Telegram 2FA для всех, у кого есть финансовый или административный доступ. Почему? Потому что 2FA надёжно защищает от перехвата сессии. Эти три меры, по нашему опыту, закрывают около 85% всех реалистичных фишинг-атак на корпоративные Telegram-аккаунты.

Сколько времени нужно, чтобы перевыпустить 2FA для всех сотрудников?

На 47 человек у нас ушло 4 часа, и это при том, что у 12 сотрудников 2FA вообще не было настроено. Процедура была такой: 1) сначала мы централизованно собрали всех в одном помещении (производственный цех для этого, конечно, не подходил, поэтому мы использовали актовый зал офиса), 2) каждый сотрудник со своим телефоном устанавливал приложение для 2FA на отдельном устройстве (мы рекомендовали Aegis для Android, а для тех, у кого были ключи — Yubico), 3) затем логинился в Telegram и отзывал все активные сессии через «Конфиденциальность → Активные сессии», 4) включал или менял свой 2FA пароль, и 5) в конце мы выдавали новые backup-коды и проверяли синхронизацию. В среднем на человека уходило около 5 минут, при условии, что была очередь и работал один наш инженер в роли куратора.

Что делать, если кто-то всё-таки ввёл код в фишинговую страницу?

Если вы всё-таки ввели код, который пришёл в Telegram с пометкой «Login attempt», знайте: атакующий получает доступ к вашему аккаунту буквально за 30-60 секунд. Что делать дальше? 1) Немедленно зайдите в Telegram с другого устройства, откройте «Активные сессии» и удалите все, кроме своей. 2) Смените пароль 2FA, если он у вас был. 3) А если 2FA не было — то, скорее всего, атакующий уже зашёл и сразу же его сменил. В таком случае нужно срочно писать в @SmsLogin или @notoscam с подтверждением личности (потребуется паспорт + видео-селфи), но восстановление может занять от 2 до 7 дней. Именно поэтому мы всегда требуем от наших клиентов, чтобы у них был включён 2FA пароль — без него атакующий полностью забирает аккаунт буквально за минуту.

Стоит ли вообще пользоваться Telegram в корпоративных целях?

По моему опыту, да, можно использовать Telegram для работы, но с определёнными ограничениями. Telegram очень удобен для координации — быстрые сообщения, голосовые, можно отправлять документы до 2 ГБ. И, честно говоря, попытка перевести 30-50 сотрудников на какой-то корпоративный мессенджер обычно встречает сильное сопротивление. Что мы делаем в таких случаях? Для критически важной деловой переписки — с клиентами, по сделкам, по финансам — мы используем Element X на собственном Matrix-сервере. Там есть end-to-end шифрование, и всё под нашим контролем. А для оперативной координации внутри отделов — Telegram, но с обязательной 2FA, регулярным отзывом старых сессий раз в квартал и строгим запретом на передачу платёжных документов и паролей. Это, на мой взгляд, разумный компромисс между удобством и безопасностью.

Итог

Всего за 6 часов мы прошли путь от первого клика до полной защиты компании. Мы заблокировали C2 на MikroTik, разобрали фишинговую страницу, перевыпустили 2FA для 47 человек, разработали чек-лист и провели обучение. Стоимость этого инцидента составила 100 000 рублей и одну очень напряжённую смену для двух инженеров. А вот стоимость бездействия была бы существенно выше — захваченные Telegram-аккаунты обычно используют для следующего этапа атаки на генерального директора, и ущерб от неё может измеряться миллионами. Зато теперь производство в Балашихе спокойно работает, профилактика действует, и за 4 последующих месяца там не было зафиксировано ни одного клика на фишинг.