Как защитить бизнес от фишинга: практическое руководство 2026

Ваш бухгалтер получил письмо от «ПриватБанка» с просьбой срочно подтвердить реквизиты. Письмо выглядит идеально — логотип, подпись, даже ссылка похожа на настоящую. Один клик — и злоумышленники уже имеют доступ к учётным данным.

Это не гипотетический сценарий. Это реальный инцидент, который мы в IT-Premium расследовали в прошлом месяце.

Фишинг в 2026: почему это проблема №1

Фишинг остаётся самым распространённым вектором кибератак в мире. По данным Verizon Data Breach Investigations Report, 36% всех утечек данных начинаются с фишингового письма. Для малого и среднего бизнеса ситуация ещё хуже — у них редко есть выделенная команда безопасности.

В Украине проблема обострилась с 2022 года. Война создала идеальные условия для фишеров:

  • Эмоциональное давление — письма о «мобилизации», «эвакуации данных», «срочных выплатах» работают безотказно
  • Переход на удалённую работу — меньше контроля, больше личных устройств
  • Новые сервисы — Дія, еПідтримка, Резерв+ стали мишенями для поддельных сайтов

По данным CERT-UA, в 2025 году зафиксировано более 4000 фишинговых кампаний, направленных на украинские организации. И это только зарегистрированные случаи.

Анатомия фишинговой атаки: как это работает

Понимание механики помогает распознать угрозу. Типичная фишинговая атака состоит из нескольких этапов:

1. Разведка

Злоумышленник собирает информацию: имена сотрудников из LinkedIn, структуру компании, формат email (имя.фамилия@компания.ua). Чем больше открытой информации — тем убедительнее письмо.

2. Подготовка приманки

Создаётся письмо или сообщение, имитирующее доверенный источник: банк, налоговую, поставщика, коллегу, руководителя. В 2026 злоумышленники активно используют ИИ для создания идеальных копий.

3. Доставка

Письмо попадает в почтовый ящик. Современные фишинговые письма обходят базовые спам-фильтры, так как не содержат классических признаков спама.

4. Эксплуатация

Жертва нажимает ссылку, вводит данные на поддельном сайте или скачивает файл. Часто достаточно одного клика.

5. Закрепление

Получив доступ, злоумышленник действует быстро: скачивает данные, устанавливает вредоносное ПО или готовит шифрование серверов.

5 типов фишинга, с которыми сталкивается украинский бизнес

Email-фишинг (массовый)

Классический вариант: массовая рассылка от имени банков, государственных сервисов, популярных платформ. Низкое качество, но берёт количеством.

Пример: Письмо «от Укрпочты» о недоставленной посылке со ссылкой на отслеживание. Ссылка ведёт на сайт-копию, где нужно ввести данные карты.

Спирфишинг (целевой)

Атака на конкретного человека или компанию. Злоумышленник знает имя, должность, контекст работы. Гораздо опаснее массового фишинга.

Пример: Письмо «от директора» бухгалтеру с просьбой срочно оплатить счёт нового поставщика. Email выглядит как внутренний, тон соответствует стилю руководителя.

BEC (Business Email Compromise)

Взламывается реальный почтовый ящик сотрудника или партнёра. Письма идут с легитимного адреса — распознать практически невозможно.

Пример из практики IT-Premium: У торговой компании взломали email менеджера поставщика. От его имени отправили новые банковские реквизиты. Компания перечислила 280 000 грн на счёт мошенников.

Вишинг (телефонный фишинг)

Звонок от «службы безопасности банка», «техподдержки Microsoft», «налоговой». В Украине особенно распространён после начала полномасштабного вторжения.

Фишинг в мессенджерах

Viber, Telegram, WhatsApp — новые каналы для фишеров. Сообщения от «Дія», «еВорога», «волонтёров» со ссылками на вредоносные сайты.

Как распознать фишинг: чек-лист для каждого сотрудника

Распечатайте этот список и повесьте возле каждого рабочего места:

🔴 Срочность. «Немедленно!», «В течение 24 часов!», «Ваш аккаунт будет заблокирован!» Настоящие организации редко давят на срочность.

🔴 Незнакомый отправитель. Проверьте email-адрес полностью. [email protected] и [email protected] — разница в одной букве.

🔴 Ссылка не совпадает. Наведите курсор на ссылку (не нажимайте!) и проверьте реальный URL внизу браузера.

🔴 Запрос конфиденциальных данных. Пароль, номер карты, код из SMS — ни одна легитимная организация не запрашивает это по электронной почте.

🔴 Вложения от неизвестных. Особенно .exe, .zip, .docm файлы. Даже PDF может содержать вредоносный код.

🔴 Грамматические ошибки. Хотя с ИИ это становится менее надёжным признаком, но всё ещё встречается.

🟡 Несоответствующий тон. Если «директор» вдруг пишет не в своём стиле — проверьте другим каналом связи.

🟡 Необычная просьба. Смена реквизитов, срочная оплата, доступ к системе — всегда подтверждайте голосом.

Техническая защита: что должно быть в каждой компании

Обучение сотрудников — это только половина решения. Вторая половина — технические средства, которые блокируют фишинг до того, как он доберётся до человека.

1. Настройка email-аутентификации (SPF, DKIM, DMARC)

Эти три протокола — основа защиты корпоративной почты:

  • SPF — определяет, какие серверы имеют право отправлять письма от имени вашего домена
  • DKIM — добавляет цифровую подпись к каждому письму
  • DMARC — указывает, что делать с письмами, не прошедшими проверку

По нашим данным, только 23% украинских МСБ имеют правильно настроенный DMARC. Остальные — открытая мишень для email-спуфинга.

2. Многофакторная аутентификация (MFA)

Даже если фишер получил пароль — без второго фактора он не войдёт. MFA снижает риск компрометации аккаунта на 99,9% (данные Microsoft).

Минимум: MFA на почте, VPN, бухгалтерских системах, облачных сервисах.

Рекомендация: Используйте аппаратные ключи (YubiKey) или приложения-аутентификаторы. SMS-коды — лучше, чем ничего, но уязвимы для SIM-swapping.

3. Фильтрация email и веб-трафика

Современные решения анализируют:

  • Ссылки в реальном времени (sandbox-проверка)
  • Вложения на наличие вредоносного кода
  • Репутацию отправителя
  • Аномалии в заголовках писем

4. Endpoint Detection and Response (EDR)

Антивируса уже недостаточно. EDR-решения отслеживают подозрительное поведение на устройстве: необычные подключения, попытки эскалации привилегий, массовое копирование файлов.

5. Резервное копирование по правилу 3-2-1

Если фишинг привёл к шифрованию — резервная копия спасает бизнес:

  • 3 копии данных
  • 2 разных носителя
  • 1 копия вне офиса (облако или другая локация)

Что делать, если кто-то кликнул

Инцидент произошёл. Сотрудник понял, что нажал не то. Теперь каждая минута на счету.

Первые 5 минут:

  1. Отключить устройство от сети (Wi-Fi, Ethernet)
  2. Не выключать компьютер (сохраняем улики в RAM)
  3. Сообщить IT-отделу или IT-провайдеру

Первый час:

  1. Сменить пароли скомпрометированных аккаунтов с другого устройства
  2. Проверить журналы входа — не было ли несанкционированных сессий
  3. Заблокировать подозрительные IP-адреса на файрволе

Первые 24 часа:

  1. Просканировать все устройства в сети
  2. Проверить наличие бокового перемещения (lateral movement)
  3. Сообщить в CERT-UA (если инцидент серьёзный)
  4. Задокументировать инцидент

Обучение сотрудников: как сделать это правильно

Одноразовая лекция не работает. Эффективная антифишинговая программа включает:

Регулярные симуляции. Отправляйте тестовые фишинговые письма раз в месяц. Отслеживайте, кто нажимает. Обучайте тех, кто попадается.

Короткие микро-тренинги. 5-10 минут раз в две недели. Реальные примеры из украинского контекста работают лучше абстрактных слайдов.

Положительное подкрепление. Хвалите тех, кто сообщил о подозрительном письме. Создайте культуру, где сообщить — это хорошо, а не признак паранойи.

Простой канал для сообщений. Кнопка «Сообщить о фишинге» в почтовом клиенте или отдельный чат в мессенджере.

Сколько стоит защита vs сколько стоит инцидент

Типичные затраты на базовую антифишинговую защиту для компании на 20-50 сотрудников:

Мера Ориентировочная стоимость
Настройка SPF/DKIM/DMARC 2 000 - 5 000 грн (разово)
MFA для всех аккаунтов 0 грн (встроено в большинство сервисов)
Email-фильтрация (облачная) 500 - 2 000 грн/мес
Обучение персонала 3 000 - 8 000 грн/квартал
Итого за год ~30 000 - 60 000 грн

Средняя стоимость одного фишингового инцидента для украинского МСБ (по нашим данным): 150 000 - 500 000 грн. Это включает простой, восстановление, потерянные данные и репутационные убытки.

Математика простая: защита стоит в 3-10 раз дешевле одного инцидента.

Как IT-Premium помогает с защитой от фишинга

Мы предлагаем комплексный подход:

  1. Аудит текущего состояния — проверяем email-аутентификацию, настройки безопасности, осведомлённость персонала
  2. Внедрение технических средств — настраиваем SPF/DKIM/DMARC, MFA, фильтрацию почты
  3. Обучение сотрудников — проводим тренинги и регулярные симуляции фишинга
  4. Мониторинг и реагирование — отслеживаем угрозы 24/7 и реагируем на инциденты

За 17 лет работы мы защитили более 100 компаний от киберугроз. Среднее время реагирования на инцидент — 15 минут.

Не ждите, пока ваш бухгалтер нажмёт на ту самую ссылку. Закажите бесплатный аудит email-безопасности — мы проверим ваш домен и покажем, где есть уязвимости.

Проконсультируйтесь сейчас