Более 90% успешных кибератак начинаются с электронного письма. Фишинг в 2025 году больше не выглядит как примитивные письма с грубыми ошибками — теперь он использует ИИ, чтобы обмануть даже опытных сотрудников. Как и чем защитить бизнес в эпоху умного фишинга — разберёмся вместе с экспертами.
- Введение
- Какие типы атак на электронную почту наиболее актуальны в 2025 году?
- Блиц: ошибки при организации защиты электронной почты
- Можно ли отказаться от электронной почты?
- Работа на уровне администрирования почтовой инфраструктуры
- Базовый комплект средств защиты корпоративной почты
- Облачная почтовая инфраструктура
- Оценка защищённости почтовой инфраструктуры
- Прогнозы и советы экспертов по защите корпоративной почты
- Выводы
Введение
В эпоху стремительного развития искусственного интеллекта киберугрозы становятся всё более изощрёнными. Фишинг, который раньше можно было распознать по грубым ошибкам и подозрительным ссылкам, теперь использует генеративный ИИ для создания идеально стилизованных писем, имитирующих коллег, партнёров и даже руководство. Атаки на корпоративную электронную почту приводят к утечкам данных, финансовым потерям и репутационным рискам, а традиционные методы защиты уже не справляются с новыми вызовами. Как защитить корпоративную инфраструктуру, когда злоумышленники применяют машинное обучение и социальную инженерию?
Рисунок 1. Эксперты в студии AM Live
Участники эфира, справа налево:
- Дмитрий Черников, бизнес-руководитель департамента детектирования и предотвращения угроз, F6.
- Шаих Галиев, руководитель экспертизы PT Sandbox антивирусной лаборатории PT ESC, Positive Technologies.
- Александра Савельева, исполнительный директор компании «АВ Софт».
- Дмитрий Царёв, руководитель управления облачных решений кибербезопасности, BI.ZONE.
Ведущий и модератор эфира — Илья Шабанов, генеральный директор «АМ Медиа».
Какие типы атак на электронную почту наиболее актуальны в 2025 году?
Дмитрий Черников объяснил, что хотя корпоративная почта — традиционный механизм, в котором всё стабильно и почти ничего не меняется, она всё же подвержена рискам из-за появления новых видов кибератак. Приходят технологии с использованием моделей ИИ, которые позволяют написать убедительное письмо, выдав себя за кого-то хорошо знакомого. Постоянно расширяется арсенал атак через вложения. Увеличилось количество случаев, когда взламывают небольшого подрядчика, с которым работает большая компания: злоумышленники пользуются тем, что таких собеседников часто добавляют в белые списки.
Популярны различные техники, связанные с QR-фишингом. Используются и гибридные атаки, в которых почта выступает одним из элементов, например, отправляют письмо с просьбой перевести оплату и подтверждают это звонком через мессенджер с подменой лица с помощью технологии дипфейка.
Ярким примером может послужить случай, произошедший в западной компании, когда злоумышленники взломали почту финансового директора, обучили на его переписке LLM-модель, написали письмо бухгалтеру от его имени с просьбой оплаты, после чего подтвердили просьбу фейковым звонком. В результате компания потеряла 8 млн евро.
Дмитрий Черников, бизнес-руководитель департамента детектирования и предотвращения угроз, F6
Дмитрий Царёв добавил, что злоумышленники ищут более сложные варианты доставки вредоносной нагрузки: из-за повышения цифровой грамотности пользователей базовые атаки с помощью простого письма становятся малоэффективными. Злоумышленники используют технические возможности по сокрытию вложений, добавлению в письма «спящих ссылок», которые изначально не содержат никакой нагрузки, но активизируются в определённый момент, например, когда получатель открывает письмо.
В первом опросе зрители AM Live поделились, насколько защищённой они считают почтовую инфраструктуру своей организации: достаточно защищена — 45%, хорошо защищена — 25%, недостаточно защищена — 19%, плохо защищена — 2%.
Рисунок 2. Насколько защищенной вы считаете почтовую инфраструктуру своей организации?
Блиц: ошибки при организации защиты электронной почты
Дмитрий Царёв:
«Все берут защиту электронной почты и не смотрят на другие каналы, через которые открываются ссылки, как файл попадает на конечные рабочие станции, как с ними работают сотрудники, что разрешено и запрещено в компании. Белые списки — бич современности: нужно понимать, как правильно с ними работать. Стоит учитывать работу с карантином — возможность пользователя самостоятельно писать правила, доставать из карантина вредоносные файлы».
Александра Савельева:
«Самая распространённая проблема — не делать бэкапы или не проверять их. Часто сотрудники не до конца понимают, как реагировать на инциденты. Другие ошибки компаний: используют устаревшие средства защиты, не занимаются политиками безопасности почтового агента, не используют весь его арсенал — антивирус, шифрование».
Шаих Галиев:
«Не используются средства митигации, которые позволяют уменьшить масштаб проблем (например, двухфакторная аутентификация). Большое доверие внутренней почте, отсутствие средств защиты».
Дмитрий Черников:
«Главная ошибка — думать, что отдельно взятой компании угроза не коснётся. Сейчас есть тенденция взлома подрядчиков, средний бизнес под ударом. Большая ошибка — не обновлять почтовые серверы».
Илья Шабанов подытожил, что задача состоит в обеспечении комплекса мер, в который входит защита самой инфраструктуры почтового сервера, укрепление (харденинг). Также нужно правильно администрировать почтовик, следить за его настройками, уметь грамотно установить и настроить средства защиты.
Илья Шабанов, генеральный директор «АМ Медиа»
Можно ли отказаться от электронной почты?
Шаих Галиев считает, что от уменьшения количества почтовых ящиков есть определённая польза — меньше людей, которых можно атаковать. Вопрос в том, какой мессенджер будут использовать сотрудники взамен. Если общедоступный, то получится замена шила на мыло.
Дмитрий Царёв предложил посмотреть на опыт западных коллег, которые научились работать в других системах. Здесь вопрос в развитости инструментов — если они есть, можно отказаться от электронной почты, оставив её только для тех случаев, когда она необходима.
Дмитрий Черников добавил, что нужно смотреть на потребности бизнеса. Если почтовый ящик сотрудникам не нужен, можно банально сэкономить на лицензии. С другой стороны, если не использовать почту, потребуется другой канал связи, например, Microsoft Teams, который также успешно используется злоумышленниками.
Работа на уровне администрирования почтовой инфраструктуры
Шаих Галиев напомнил, что есть базовые настройки, которые позволяют отключить автовоспроизведение мультимедийных вложений. Другие меры — обновления, сегментация, белые списки только из тех, кто может присылать письма. В некоторых случаях небезопасным излишеством является веб-интерфейс почты с внешним доступом.
Дмитрий Черников уверен, что важная мера — двухфакторная аутентификация. Немаловажно использование криптозащиты: все каналы между клиентами и серверами должны использовать как минимум TLS 1.2. По умолчанию желательно настроить SPF, DKIM, DMARC.
Александра Савельева добавила, что сейчас популярны разные сервисные надстройки, которые позволяют шифровать почту между клиентами. Сектор сервисов шифрования развивается на рынке, но важно понимать, можно ли доверять выбранному сервису.
Во втором опросе зрители ответили, что является главной ошибкой при защите электронной почты: некорректная настройка почтового сервера — 31%, отсутствие проверок защиты, незакрытые уязвимости — 23%, недостаточное обучение сотрудников — ещё 23%, отсутствие специализированных средств защиты — 15%, отсутствие MFA, слабая парольная политика — 5%, отсутствие резервного копирования — 3%.
Рисунок 3. Что, по вашему мнению, является главной ошибкой при защите электронной почты?
Базовый комплект средств защиты корпоративной почты
Шаих Галиев рассказал, что в базовый комплект входит антифишинг и антиспам. Должны присутствовать проверки SPF, DKIM и DMARC, статические проверки письма на несоответствие заголовков, поиск признаков фишинга, анализ ссылок. Будет полезен динамический проход по ссылкам с получением всех перенаправлений. Также в набор должны входить почтовый антивирус, индикаторы компрометации и репутационные списки.
Шаих Галиев, руководитель экспертизы PT Sandbox антивирусной лаборатории PT ESC, Positive Technologies
Александра Савельева добавила, что хорошо, когда есть центр Threat Intelligence или поставщик потоков данных об угрозах. Важно, чтобы была возможность ретроспективного анализа почтового трафика. В идеале нужно иметь песочницу.
Дмитрий Царёв считает, что помимо средств на периметре должны быть хостовые средства. Важно, чтобы события отовсюду попадали в Security Operations Center, систему класса SIEM.
Дмитрий Черников предложил оценивать тексты писем с помощью моделей с машинным обучением (ML), которые можно натренировать на большом количестве вредоносных сообщений. Далее модель сможет определять, что письмо с большой долей вероятности является мошенническим — призывает к срочным действиям или имеет содержание, характерное для вредоносной корреспонденции.
Облачная почтовая инфраструктура
Александра Савельева уверена, что для малого и среднего бизнеса использование облачной почты экономически целесообразно — в том числе потому, что можно не нанимать дорогих специалистов по ИБ, а передать эту работу провайдеру. Вопрос в том, насколько можно доверять провайдеру и готов ли он гарантировать необходимую защиту. Крупные заказчики все свои почтовые серверы держат внутри и не отдают посредникам. Это сложный выбор — хотя почтовые системы сильно продвинулись в развитии, нельзя быть уверенным в полной конфиденциальности, имеет место человеческий фактор.
Александра Савельева, исполнительный директор компании «АВ Софт»
Дмитрий Царёв считает, что можно рассматривать облачную почту как сервер на аутсорсинге — со всеми плюсами и минусами, которые из этого вытекают. У большинства крупных провайдеров есть интеграции и используются решения российских вендоров, которые выявляют угрозы. Они используют механизмы, которые собирают статистику с большой аудитории и передают эти данные моделям ML, что даёт преимущества при обнаружении определённых угроз. Использование внешних систем защиты также обоснованно.
Шаих Галиев предупредил, что если использовать облачного провайдера почты, при добавлении своих средств защиты могут возникнуть проблемы — большинство облачных провайдеров не поддерживают интеграцию с другими средствами защиты и не обязаны этого делать.
Илья Шабанов привёл комментарий зрителя: всё, что находится в облаке, пользователю не принадлежит и говорить о конфиденциальности не приходится. В какой-то мере это правда: если компания не готова принять эти риски, стоит выбирать решение формата on-premise.
Третий опрос показал, какие средства защиты почтовой инфраструктуры больше всего используются в организациях: антивирус, антиспам и антифишинг — 34%, всё перечисленное + песочница — 27%, только антивирус — 14%. Делегировали защиту провайдеру 19%, а 3% ничего не используют.
Рисунок 4. Что используется для защиты почтовой инфраструктуры в вашей организации?
Оценка защищённости почтовой инфраструктуры
Шаих Галиев объяснил, что для анализа защищённости эффективно использовать средства автоматизированной проверки. Как проходит процесс: берутся различные вложения, которые имитируют вредоносную нагрузку, добавляются показатели фишинга и спама, в сообщения вставляются ссылки — всё это проверяется. Есть один нюанс: если сегодня проверка прошла успешно, нет гарантии, что завтра ситуация не изменится. Поэтому мониторинг должен быть автоматизированным и непрерывным.
Дмитрий Царёв добавил, что сканирование одного-единственного почтового ящика может оказаться неэффективной мерой. Нужно смотреть, насколько широки настройки политик безопасности, проверять весь пул адресов, которые есть в компании, в автоматическом режиме.
Дмитрий Царёв, руководитель управления облачных решений кибербезопасности, BI.ZONE
Дмитрий Черников упомянул такой класс решений, как автопентест: сначала проверяются технические средства в автоматическом режиме, после этого стоит перейти к человеческому фактору. Ручная верификация также рекомендуется.
Александра Савельева уверена, что важно чётко выстроить процессы аудита и киберучений, они должны быть формализованы. Различные средства, в том числе опенсорсные, позволяют автоматизировать процесс проверки. Он должен быть на постоянной основе и с улучшениями. Каждый человек должен понимать, что он в этом процессе делает. Все, кто не прошел проверку, должны отправляться на обучение и снова проверяться. Кроме того, должно быть распределение зон ответственности.
В четвёртом опросе зрители ответили, проводят ли они анализ защищённости корпоративной почты: иногда, по особому случаю — 26%, никогда не проводили — 20%, регулярно — 17%, проводили после инцидента — 7%. Большинство участников опроса затруднились ответить — 30%.
Рисунок 5. Проводите ли вы анализ защищенности корпоративной почты?
Прогнозы и советы экспертов по защите корпоративной почты
Дмитрий Черников:
«Ничто не стоит на месте — атакующие меняют инструменты, используют LLM-модели. Нужно, чтобы защитники их тоже использовали, чтобы не отставать. В первую очередь нужно обращать внимание на базовые средства — антиспам, антифишинг, проверки SPF, DKIM и DMARC. Если позволяет бюджет, рекомендуется использовать песочницу. Нельзя забывать про веб-интерфейс, который нужно обновлять или прятать. Возможно, стоит задуматься об эшелонированной защите».
Шаих Галиев:
«Тема защиты почты актуальна, появляются новые хакерские техники. Это база в обеспечении кибербезопасности организации, главные компоненты которой — харденинг, средства защиты, автоматизированная проверка».
Александра Савельева:
«ИИ будут позволять быстрее упаковывать, создавать и доставлять вредоносный контент, будет битва ИИ-моделей с обеих сторон. Стандарты коммуникации будут меняться, постепенно будет переход в мессенджеры — это неизбежно. Нужно начать разрабатывать для них средства защиты».
Дмитрий Царёв:
«Среди трендов в развитии защиты можно выделить детектирование нечётких сигналов — то, что не лежит на поверхности, затрагивает психологию человека. Хочется верить, что технологии, связанные с изоляцией, будут развиваться — пользователю не будет безусловно предоставляться доступ к определённым страницам, использование многофакторной аутентификации снизит количество векторов атак через кражу логинов».
Илья Шабанов сделал вывод, что тема оказалась шире и серьёзнее, чем могло показаться на первый взгляд. Проблема многогранна — инфраструктура, человеческий фактор, средства защиты — всё это сложно обслуживать с точки зрения ИБ. Отключить электронную почту в ближайшее время не получится.
В пятом опросе выяснилось, что думают зрители о технологиях защиты электронной почты после эфира. Поняли, что есть над чем работать — 57%, убедились, что всё делают правильно — 18%, готовы тестировать и следовать рекомендациям экспертов — 11%.
Рисунок 6. Что вы думаете о технологиях защиты электронной почты после эфира?
Выводы
В эпоху ИИ-фишинга защита корпоративной почты требует не только технологических решений, но и постоянного обучения сотрудников. Внедрение многофакторной аутентификации, систем мониторинга аномалий и регулярных тренировок по кибербезопасности значительно снизят риски.
Главное — оставаться настороже, ведь даже самые совершенные технологии бессильны, если человек случайно попадётся на идеально составленное мошенническое письмо. Безопасность — это непрерывный процесс, и только комплексный подход поможет избежать дорогостоящих последствий.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
