Практическое руководство для тех, кто не хочет стать следующей жертвой
Представьте: утро понедельника, вы приходите в офис, а вся IT-инфраструктура компании заблокирована. На экранах — требование выкупа в криптовалюте. Бухгалтерия не работает, клиентская база недоступна, производство остановлено. Это не сценарий фильма — это реальность, с которой в 2025 году столкнулись тысячи компаний по всему миру.
Сегодня я запланировал рассказать вам простым языком: как именно злоумышленники попадают внутрь корпоративных сетей и что с этим делать.
Главное изменение: хакеры больше не взламывают — они входят
Ещё три года назад типичная атака выглядела так: сотрудник открывал заражённое письмо, на компьютер устанавливался вирус, и дальше начиналась «классическая» работа хакеров.
В 2025 году всё изменилось. В 79% случаев злоумышленники вообще не используют вредоносные программы. Они просто входят в систему как легитимные пользователи — с настоящими логинами и паролями ваших сотрудников.
Почему так произошло? Компании научились ловить вирусы. Антивирусы стали умнее, системы мониторинга — внимательнее. Но украденный пароль системой безопасности не распознаётся как угроза — ведь это «свой» пользователь.
Четыре главных способа проникновения
1. Уязвимости в программах, доступных из интернета (30% атак)
Что это значит простыми словами: у вашей компании есть сайт, корпоративная почта, система для удалённой работы или другие сервисы, доступные через интернет. В программном обеспечении этих сервисов периодически находят «дыры» — ошибки, через которые можно проникнуть внутрь.
Проблема: когда о такой «дыре» становится известно, у компаний есть в среднем две недели, чтобы установить обновление. После этого готовые инструменты для взлома появляются в открытом доступе, и любой желающий может ими воспользоваться.
Реальный пример 2025 года: в популярной системе SAP (которую используют тысячи крупных компаний для управления бизнесом) нашли критическую уязвимость. За несколько недель было скомпрометировано более 3400 серверов по всему миру.
Что делать:
- Убедитесь, что в компании есть процесс быстрого обновления программ — не «когда-нибудь», а в течение двух недель после выхода критических обновлений
- Проведите инвентаризацию: какие именно системы вашей компании «смотрят» в интернет? Часто о некоторых из них IT-отдел просто забыл
2. Украденные пароли (30% атак)
Что это значит простыми словами: существует целая индустрия кражи и продажи корпоративных паролей. Работает это так: сотрудник где-то «подхватывает» программу-шпион (часто даже не замечая этого), она тихо собирает все пароли с его компьютера и отправляет злоумышленникам. Те выставляют их на продажу на специальных площадках.
Масштаб проблемы: на чёрном рынке сейчас продаётся более 16 миллиардов украденных учётных записей. Количество программ-шпионов выросло на 180% за последние два года. Доступ в корпоративную сеть средней компании стоит от 500 до 50 000 долларов — в зависимости от размера и отрасли.
Особая угроза для облачных сервисов: если ваша компания использует Microsoft 365, Google Workspace или другие облачные решения, украденный пароль даёт доступ сразу ко всему — почте, документам, корпоративным чатам. 35% всех инцидентов в облаке начинаются именно с украденных учётных данных.
Что делать:
- Внедрите двухфакторную аутентификацию везде, где это возможно. Это когда помимо пароля нужно подтвердить вход кодом из SMS или специального приложения
- Рассмотрите мониторинг утечек: существуют сервисы, которые отслеживают появление ваших корпоративных данных на чёрном рынке
3. Социальная инженерия — атаки на людей (25-50% атак)
Что это значит простыми словами: вместо того чтобы взламывать технику, злоумышленники «взламывают» людей — обманом заставляют их сделать то, что нужно хакерам.
Классические письма с вирусами никуда не делись, но стали гораздо изощрённее. Однако главный тренд 2025 года — это атаки через телефон и живое общение.
Голосовой фишинг (рост на 442% за год!):
Схема выглядит так: сначала на почту сотрудника приходят сотни спам-писем. Затем звонит «специалист техподдержки» и говорит: «Мы видим, что ваш компьютер атакован спамом. Давайте я помогу решить проблему — установите программу удалённого доступа, и я всё почищу». Сотрудник, измученный спамом, соглашается. Через четыре минуты хакеры уже внутри сети.
Атаки на службу поддержки:
Злоумышленник звонит в IT-отдел вашей компании, представляется сотрудником (информацию о нём нашёл в LinkedIn) и просит сбросить пароль или отключить двухфакторную аутентификацию. «Я в командировке, телефон украли, срочно нужен доступ к системе для важной сделки». Под давлением и из желания помочь коллеге IT-специалист выполняет просьбу.
Новая угроза — ClickFix:
Сотрудник заходит на сайт и видит окно: «Подтвердите, что вы не робот». Но вместо обычной капчи — инструкция: «Нажмите Win+R, вставьте этот код, нажмите Enter». Человек выполняет — и сам запускает вредоносную программу. В России с мая 2025 года таким способом атаковано минимум 30 организаций.
Искусственный интеллект на службе мошенников:
Фишинговые письма, написанные ИИ, открывают 54% получателей. Письма, написанные людьми — только 12%. ИИ пишет грамотнее, убедительнее и без характерных ошибок, по которым раньше можно было распознать мошенничество.
Уже зафиксированы случаи, когда с помощью deepfake (поддельное видео) преступники имитировали видеозвонок от генерального директора и убеждали финансистов перевести деньги. Один такой случай обошёлся компании в 25,6 миллиона долларов.
Что делать:
- Проводите регулярные тренинги для сотрудников. Не формальные лекции, а практические упражнения с имитацией атак
- Установите чёткие процедуры для службы поддержки: как проверять личность звонящего, в каких случаях требуется дополнительное подтверждение
- Введите правило: любые финансовые операции по запросу из письма или звонка подтверждаются через другой канал связи
4. Легитимные программы удалённого доступа (21% атак)
Что это значит простыми словами: TeamViewer, AnyDesk, Quick Assist — это легальные программы, которые IT-специалисты используют для удалённой помощи пользователям. Проблема в том, что антивирусы их не блокируют (это же не вирусы!), а хакеры активно этим пользуются.
Убедив сотрудника установить такую программу (см. пункт про социальную инженерию), злоумышленник получает полный доступ к компьютеру — и при этом не вызывает никаких срабатываний систем безопасности.
Что делать:
- Определите, какие программы удалённого доступа разрешены в компании, и заблокируйте остальные
- Настройте мониторинг: система должна оповещать, когда на компьютере появляется новая программа удалённого доступа
Российская специфика: что атакуют у нас
Россия имеет свои особенности ландшафта угроз. Вот ключевые цифры за первое полугодие 2025 года:
Главные цели атак:
- Госсектор — 21% всех атак (максимум за пять лет). Цель — шпионаж и остановка деятельности
- Промышленность — 13% атак. Цель — вымогательство и саботаж
- Оборонно-промышленный комплекс — особый интерес со стороны профессиональных группировок. Цель — кибершпионаж
- Финансовый сектор — около 8% атак. Цель — прямое хищение денег
Взрывной рост программ-шпионов: доля атак с использованием программ для кражи паролей выросла на 15 процентных пунктов и достигла 35,5%. Это главная угроза для российских организаций прямо сейчас.
Атаки на подбор паролей выросли в 6 раз: злоумышленники массово «прощупывают» российские серверы, пытаясь найти системы со слабыми или стандартными паролями.
Скорость — новая реальность
Ещё один критически важный факт: среднее время от первого проникновения до начала «горизонтального движения» (когда хакер начинает захватывать другие компьютеры в сети) составляет 48 минут. Рекорд — 51 секунда.
Это означает, что у вашей службы безопасности есть меньше часа, чтобы обнаружить атаку и остановить её. Если реакция занимает дни или недели — злоумышленники успеют захватить всю инфраструктуру.
Практические рекомендации для руководителей
Вопросы, которые стоит задать своему IT-директору:
- Как быстро мы устанавливаем критические обновления безопасности? Правильный ответ: в течение двух недель. Если «когда получится» или «раз в квартал» — это риск.
- Где у нас внедрена двухфакторная аутентификация? Правильный ответ: везде, где есть доступ к критичным данным и системам. Особенно — для удалённого доступа и облачных сервисов.
- Как быстро мы можем обнаружить, что кто-то проник в сеть? Если ответ «не знаю» или «когда заметим что-то странное» — это проблема.
- Когда последний раз проводили тренинг по безопасности для сотрудников? Если больше года назад — пора повторить.
- Есть ли у нас план действий на случай инцидента? Кто принимает решения? Кого оповещать? Как изолировать заражённые системы?
Минимальный набор мер защиты:
- Двухфакторная аутентификация — самая эффективная мера против украденных паролей
- Регулярные обновления — процесс, а не разовое мероприятие
- Обучение сотрудников — люди должны уметь распознавать атаки
- Мониторинг — нужно видеть, что происходит в сети, в реальном времени
- Резервное копирование — и регулярные проверки, что из бэкапов действительно можно восстановиться
- Сегментация сети — чтобы взлом одного компьютера не означал доступ ко всему
Заключение
Кибербезопасность перестала быть чисто технической темой. Это бизнес-риск, который должен находиться на радаре каждого руководителя.
Хорошая новость: большинство успешных атак используют не какие-то сверхсложные методы, а эксплуатируют базовые недостатки — необновлённые программы, слабые пароли, необученных сотрудников. Это означает, что грамотно выстроенная базовая защита отсекает основную массу угроз.
Плохая новость: злоумышленники становятся быстрее, умнее и используют искусственный интеллект. Защита, которая работала вчера, может не сработать завтра.
Инвестиции в кибербезопасность — это не расходы, а страховка. Стоимость предотвращения атаки всегда меньше, чем стоимость её последствий.
Статья подготовлена на основе отчётов IBM X-Force 2025, CrowdStrike Global Threat Report 2025, Positive Technologies H1 2025, Solar 4RAYS Q1-Q2 2025.