Кибермошенничества: почему их становится больше и как защититься

От /

Рост кибермошенничеств объясняется сочетанием доступных инструментов атак, утечек данных и привычки людей доверять цифровым каналам. Защита от кибермошенничества строится на трёх слоях: гигиена учётных записей и платежей, технические контрмеры (почта, endpoints, резервные копии), и чёткие процессы проверки запросов и реагирования на инциденты.

Краткий обзор трендов и ключевые выводы

  • Мошенники всё чаще бьют не по "взлому", а по поведению людей: доверие, спешка, отсутствие проверки.
  • Фишинг эволюционирует в персонализированные сценарии и цепочки сообщений, где один "клик" - лишь часть атаки.
  • Для компаний критичны процессы: согласование платежей, контроль доступов, реагирование, а не только "поставить защиту".
  • Техническая база (MFA, DMARC/SPF/DKIM, EDR, бэкапы) снижает риск, но не заменяет обучение и регламенты.
  • Вопрос "как защититься от мошенников в интернете" решается быстрее, если заранее определить, что делать до, во время и после инцидента.
  • Покупка инструмента по принципу "антивирус купить и забыть" обычно закрывает лишь часть угроз и создаёт ложное ощущение безопасности.

Распространённые мифы о кибермошенничестве и их опровержение

Миф 1: "Меня не тронут, я неинтересен". Современные атаки масштабируются: рассылки, автоподбор паролей, массовая проверка утёкших учёток, шаблонные легенды "службы безопасности". Ваша "неинтересность" не защищает, потому что отбор целей часто автоматический.

Миф 2: "Если стоит антивирус, значит безопасно". Антивирус важен, но не контролирует платежные согласования, не проверяет просьбы "срочно оплатить" и не гарантирует защиту от фишинга в почте/мессенджерах. Когда пользователь сам вводит код из SMS или подтверждает вход, вредонос может не понадобиться.

Миф 3: "Кибербезопасность для бизнеса - это задача айтишников". На практике уязвимость чаще в процессах: кто и как подтверждает платежи, выдаёт доступы, меняет реквизиты, реагирует на подозрительные письма. ИТ внедряет инструменты, но бизнес должен закрепить правила и ответственность.

Миф 4: "Достаточно один раз обучить сотрудников". Схемы быстро меняются, а навыки без регулярной практики деградируют. Нужны короткие повторения, проверочные упражнения и понятная линия поддержки: куда переслать сомнительное письмо и что считать инцидентом.

Факторы роста: экономические, технические и социальные детерминанты

  1. Низкий порог входа для атак. Готовые наборы для фишинга, аренда инфраструктуры, шаблоны писем, поддельные страницы и боты резко упрощают запуск кампаний.
  2. Монетизация стала "производственной". Деньги выводятся через цепочки переводов, дроп-сети, криптообмен и подставные счета - атаки проектируются сразу под обналичивание.
  3. Цифровая зависимость процессов. Платежи, кадровые заявки, документооборот, поддержка клиентов - всё уходит в онлайн, и у мошенников больше точек входа.
  4. Утечки и повтор паролей. Компрометированные логины/пароли позволяют атаковать без "взлома" - достаточно проверить, где ещё они подходят.
  5. Социальная инженерия усилилась. Подмена номеров, копии бренд-страниц, убедительные легенды, давление срочностью, имитация "руководителя" или "банка".
  6. Размытая ответственность. Когда нет владельца процесса безопасности (кто утверждает правила, кто отвечает за контроль), даже хорошие средства защиты работают несистемно.

Современные схемы мошенничества: фишинг, BEC, автоматизированные атаки и новые векторы

  • Фишинг (email/SMS/мессенджеры). Ссылки на "доставку", "штраф", "подтверждение аккаунта", "обновление пароля". Часто ведёт к краже данных или установке вредоносного ПО.
  • BEC (Business Email Compromise). Переписка от имени руководителя/партнёра: "срочно оплатить", "поменялись реквизиты", "подпиши документ". Ключевой риск - прямые финансовые потери.
  • Захват аккаунта (ATO). Вход по утёкшим паролям или через выманивание одноразовых кодов, затем смена пароля, привязок, реквизитов выплат.
  • Автоматизированные атаки на доступ. Password spraying, перебор по API/порталам, массовые попытки входа "слабым" паролем по многим пользователям.
  • Вредоносные вложения и "документы". Архивы, PDF/Office-файлы, "счета" и "акты", которые запускают цепочку заражения или крадут сессии.
  • Новые векторы через сторонние сервисы. Компрометация подрядчика, подмена ссылок на общий диск, доступ к почтовым правилам/переадресации, атаки через интеграции.
Схема Типичный "крючок" Что проверять в первую очередь Быстрые меры защиты
Фишинг Срочно войдите/подтвердите/получите Домен отправителя, URL, неожиданные вложения MFA, фильтрация почты, обучение распознаванию ссылок
BEC Оплатить/поменялись реквизиты/конфиденциально Второй канал подтверждения, реквизиты, цепочка переписки Регламент платежей, запрет смены реквизитов без верификации
Захват аккаунта Код из SMS/"подтвердите вход" Необычные входы, новые устройства, правила переадресации MFA (приложение/ключ), оповещения входа, менеджер паролей
Автоматизированные попытки входа Массовые логины Логи аутентификации, география, скорость попыток Rate limiting, блокировки, парольные политики, SSO

Где пробоины: уязвимости систем и роль человеческого фактора

Технические слабые места, которые часто остаются незакрытыми

Хроника происшествий: почему растёт число кибермошенничеств и как защититься - иллюстрация
  • Отсутствие MFA на почте, VPN, административных панелях и облачных сервисах.
  • Единые или слабые пароли, повтор паролей между сервисами, отсутствие менеджера паролей.
  • Неправильная настройка почтовой аутентификации (SPF/DKIM/DMARC) и слабая фильтрация входящей почты.
  • Редкие обновления, устаревшие плагины/расширения, "забытые" внешние сервисы и тестовые аккаунты.
  • Нет устойчивых резервных копий (или бэкапы доступны из той же сети/учёток, что и рабочие системы).

Поведенческие и процессные уязвимости, на которые целятся мошенники

  • Срочность без проверки: "нужно прямо сейчас", "никому не говори", "я на совещании".
  • Платежи и смена реквизитов без двухканального подтверждения (звонок по известному номеру, запрос в тикет-системе).
  • Смешение личных и рабочих устройств/почты, пересылка документов в личные мессенджеры.
  • Отсутствие простого маршрута эскалации: сотрудник не знает, куда отправить сомнительное письмо или кому показать скрин.
  • Избыточные права: доступ "на всякий случай", общие учётные записи, отсутствие периодической ревизии доступов.

Практическая защита: конкретные меры для компаний и продвинутых пользователей

Ниже - меры, которые дают практический эффект, если внедрять их как систему. Они отвечают и на бытовой запрос "как защититься от мошенников в интернете", и на корпоративный контур "кибербезопасность для бизнеса", где важны процессы и контроль.

  1. Сделать MFA обязательной. В первую очередь: почта, облако, финсервисы, админки. При возможности используйте приложение-аутентификатор или аппаратный ключ, а не SMS.
  2. Задать "железное правило платежей". Любая смена реквизитов и любой нетипичный платёж подтверждаются вторым каналом связи по заранее известным контактам.
  3. Закрыть почтовую подмену домена. Настроить SPF/DKIM/DMARC, включить строгие политики для ключевых доменов, отладить карантин/отбрасывание.
  4. Навести порядок с паролями. Менеджер паролей, уникальные длинные пароли, запрет повторов, контроль утечек (внутренние проверки, оповещения).
  5. Выстроить резервное копирование и восстановление. Бэкапы должны быть проверяемыми: периодически делайте тест восстановления и храните копии так, чтобы злоумышленник не мог их удалить теми же учётками.
  6. Планировать поддержку заранее. Если нужны услуги по кибербезопасности (аудит, SOC, реагирование), выбирайте провайдера до инцидента и фиксируйте SLA, каналы связи и порядок подключения.
  • Типичная ошибка: "антивирус купить" как единственную меру. Правильнее - набор: защита конечных точек + фильтрация почты + контроль доступов + процессы платежей.
  • Типичная ошибка: обучать "вообще про фишинг", но не обучать конкретной внутренней процедуре проверки реквизитов и эскалации.
  • Типичная ошибка: хранить критичные пароли в переписках/заметках без контроля доступа и истории изменений.

После атаки: пошаговый план реагирования, расследования и восстановления

Ключевая цель в первые часы - остановить ущерб, сохранить следы и вернуть управляемость. Действуйте по заранее согласованному чек-листу, даже если инцидент "кажется мелким".

  1. Зафиксировать факт и канал атаки. Сохраните письма, заголовки, ссылки, номера, скриншоты, отметьте время и вовлечённые учётные записи.
  2. Ограничить доступ. Сбросить сессии, сменить пароли, включить/усилить MFA, отключить подозрительные правила пересылки в почте.
  3. Изолировать устройства. Если есть признаки заражения - отключить от сети, не "лечить на месте", передать на анализ.
  4. Проверить деньги и обязательства. Остановить/отозвать платежи (если возможно), связаться с банком и контрагентом по известным каналам, зафиксировать коммуникации.
  5. Провести внутреннее расследование. Логи входов, изменения настроек, перечень затронутых данных, первопричина (фишинг, утечка, слабый пароль, ошибка процесса).
  6. Восстановить и укрепить. Восстановление из бэкапа (при необходимости), ротация ключей/паролей, закрытие уязвимостей, обновление регламентов.
if (подозрение_на_BEC_или_фишинг):
  заморозить_платежи()
  зафиксировать_артефакты()
  сбросить_сессии_почты_и_SSO()
  проверить_правила_переадресации()
  подтвердить_вторым_каналом_все_запросы_на_оплату()
  собрать_логи_и_таймлайн()
  обновить_процедуры_и_обучение()

Ответы на типичные сомнения и практические сценарии

Можно ли ограничиться одним инструментом защиты?

Нет: единый продукт не закроет социальную инженерию и ошибки процессов. Минимум нужен набор: MFA, почтовая защита, контроль доступов и регламент подтверждений.

Как быстро понять, что письмо - часть BEC, а не реальный запрос?

Смотрите на нетипичность просьбы и давление срочностью, а проверку делайте вторым каналом по известному контакту. Любая смена реквизитов без верификации - красный флаг.

Что важнее для дома: антивирус или MFA?

MFA на почте и ключевых аккаунтах обычно снижает риск захвата учётки сильнее. Антивирус полезен, но как дополнение, а не замена базовой гигиены.

Какие первые шаги, если уже ввёл код или пароль на подозрительном сайте?

Сразу смените пароль, сбросьте активные сессии, включите MFA и проверьте привязки (почта, телефон, резервные коды). Если это рабочий аккаунт - сообщите в ИБ/ИТ и зафиксируйте детали.

Нужно ли малому бизнесу думать про кибербезопасность для бизнеса, если "у нас немного денег"?

Да, потому что BEC и захват почты бьют по платежам и репутации независимо от размера компании. Начните с MFA, платежного регламента и резервного копирования.

Когда имеет смысл привлекать услуги по кибербезопасности?

Когда нет компетенций на аудит, мониторинг и реагирование, или простои критичны. Лучше выбирать провайдера заранее и закрепить порядок экстренного подключения.

Related Posts

Прокрутить вверх