Обзор новостей социальной инженерии

1
Обучение по безопасности снижает клики по фишингу на 86% — отчет KnowBe4
По данным нового отчета компании KnowBe4 обучение сотрудников по вопросам информационной безопасности снижает глобальный уровень подверженности фишинговым атакам на 86% всего за 12 месяцев.

В ежегодном Сравнительном отчете по фишингу за 2025 год KnowBe4 оценила процент подверженности фишингу (PPP) — долю сотрудников, кликнувших на фишинговую ссылку в имитационных тестах. Средний базовый показатель PPP составил 33,1%, что говорит о высокой уязвимости: почти каждый третий сотрудник был готов взаимодействовать с потенциально вредоносным контентом до прохождения обучения.

Однако после внедрения программы повышения осведомленности по безопасности (SAT) ситуация существенно изменилась:
— Через 3 месяца PPP снизился на 40%
— Через 12 месяцев — на 86%

Это подчеркивает эффективность регулярного и релевантного обучения в изменении поведения сотрудников и формировании культуры кибербезопасности.

Исследование охватывало 67,7 миллионов фишинговых симуляций, проведённых среди 14,5 миллионов пользователей из 62 400 организаций по всему миру.

В тройку отраслей с самым высоким базовым уровнем уязвимости вошли:

- Здравоохранение и фармацевтика — 41,9%

- Страхование — 39,2%

- Розничная и оптовая торговля — 36,5%

Кроме того, более крупные организации оказались уязвимее:

- Компании с более чем 10 000 сотрудников имели базовый PPP 40,5%

- Для небольших организаций (до 250 сотрудников) этот показатель составил 24,6%

Географически наиболее высокий уровень уязвимости был зафиксирован в:

- Южной Америке — 39,1%

- Северной Америке — 37,1%

- Австралии и Новой Зеландии — 36,8%

«Мы часто видим: даже зрелые компании продолжают инвестировать в технологии, игнорируя человеческий фактор. Но цифры не врут — больше трети сотрудников ведутся на фишинг до обучения. Это не слабость, это реальность. Именно поэтому системный подход к обучению — с имитациями, практикой и актуальными сценариями — сегодня уже не опция, а необходимость». —

Владимир Мусихин, руководитель направления консалтинга, StopPhish

2
Эта фишинговая кампания Microsoft 365 может обойти MFA
Воспользуйтесь бесплатными материалами от StopPhish для проверки и обучения сотрудников.
Недавно исследователи из Check Point описали масштабную фишинговую кампанию, в которой злоумышленники использовали легитимный сервис Microsoft — Dynamics 365 Customer Voice. С его помощью компании обычно собирают обратную связь от клиентов, но на этот раз инструмент стал оружием в руках мошенников.

Атака построена очень грамотно: письма отправляются с уже взломанных аккаунтов, в теме — вполне рутинные деловые вещи вроде платежей, отчетов, документов. Внутри — ссылка, якобы ведущая на опрос или форму от Dynamics 365. Открываешь — сначала CAPTCHA, потом форма для ввода логина и пароля. Всё выглядит как надо. Только это не Microsoft, а копия, которая собирает корпоративные учетные данные. А иногда — и одноразовые коды MFA.

Да, даже многофакторная аутентификация не спасает. Исследователи не раскрыли технические детали, но сообщили, что перехват возможен. Это уже серьезно.

Тревожно то, что атака идет через настоящую инфраструктуру Microsoft. Такие письма проходят фильтры, вызывают доверие, и часто не вызывают подозрений даже у тех, кто обучен «распознавать фишинг». Всё выглядит слишком нормально. Достоверно. Привычно. А значит — особенно опасно.

Именно поэтому такие инциденты — не исключение, а новая реальность. В ней уже недостаточно просто напоминать сотрудникам о правилах цифровой гигиены. Этого по-прежнему важно, но фишинг давно вышел за рамки «наивных» писем с орфографическими ошибками. Сегодня он встраивается в рабочие процессы, маскируется под то, с чем мы работаем каждый день, и действует тихо, точно, профессионально.

Такие атаки показывают: технические меры защиты должны идти вровень с повседневной логикой коммуникации. Иначе даже очень осведомленный сотрудник может просто сделать свою работу — и стать жертвой.

3

Утечка в Insight Partners: как хакеры вышли на владельцев миллиардов
В начале 2025 года стало известно о серьёзной утечке данных из Insight Partners — одной из крупнейших венчурных компаний мира, которая инвестировала в такие компании, как Twitter, SentinelOne, Wiz, Recorded Future и многие другие. Хотя инцидент произошёл ещё в январе, его последствия становятся заметны только сейчас. Утечка затронула не только сотрудников и компании в портфеле фонда, но и инвесторов, включая лиц, владеющих миллиардами долларов.

Insight Partners официально подтвердила, что причиной атаки стала сложная схема социальной инженерии. Это означает, что хакеры не просто использовали техническую уязвимость: они внедрились через человеческий фактор. Возможно, это был фишинг, взлом аккаунтов или банальное обольщение персонала. После обнаружения утечки компания привлекла экспертов по кибербезопасности. Анализ показал, что злоумышленники могли получить доступ к внутренней переписке, банковской информации, данным о фондах и инвесторах, а также персональным данным бывших и текущих сотрудников. Особенно ценными оказались имена и контакты ограниченных партнёров, так называемых LP, которые владеют большими долями в венчурных фондах.

Хакеры стремятся не просто похитить информацию — они используют её в дальнейших атаках, в том числе в схемах типа BEC (Business Email Compromise). Эти атаки строятся на доверии и имитации деловой переписки. Представьте себе: финансовый директор получает письмо от якобы CEO с просьбой срочно перевести деньги новому поставщику. Визуально всё выглядит достоверно: подпись, стиль общения, даже тема похожа на те, что они обсуждали раньше. Когда у злоумышленников есть настоящие документы, имена, должности и примеры переписки, уровень реалистичности выходит на опасный уровень. Вот почему BEC считается одной из самых дорогостоящих форм киберпреступности. По данным ФБР, глобальный ущерб от таких атак уже превысил 55 миллиардов долларов.

Дополнительный уровень угрозы создают технологии дипфейков. Это не гипотетическая угроза — в прошлом году в Гонконге был случай, когда сотрудника убедили перевести 25 миллионов долларов, показав ему видеозвонок с участием якобы его руководства. На деле это были поддельные изображения, созданные нейросетями. Граница между правдой и фальсификацией стирается. Простого звонка или Zoom уже недостаточно, чтобы убедиться, что на другом конце тот, за кого себя выдают.

Случай с Insight Partners — это не просто частная проблема одного фонда. Это тревожный симптом для всего делового сообщества. Сегодня объектом атаки становится не инфраструктура, а доверие. Хакеры охотятся за информацией о людях и процессах: кто кому подчиняется, как принимаются решения, кто имеет доступ к деньгам. Даже если компания не управляет миллиардными активами, у неё есть подрядчики, клиенты, поставщики — и утечка может стать точкой входа в целую цепочку компрометаций.

Кроме того, масштаб и сложность современных организаций только увеличивают уязвимость. Чем больше людей и внешних связей, тем больше шансов, что кто-то окажется слабым звеном — и даже не по злому умыслу, а по невнимательности, усталости или привычке доверять. Поэтому сегодня защита — это не только антивирусы и шифрование. Это культура осознанности, критического мышления и внутренней цифровой гигиены.

Источник: SecurityLab
Мы в социальных сетях