Один неудачный клик сотрудника всё чаще становится началом крупного инцидента. В 2026 году злоумышленники используют генеративный ИИ, чтобы делать фишинговые письма почти неотличимыми от рабочей переписки, а первый заражённый ноутбук за минуты превращается в плацдарм для атаки на всю компанию.

«Нулевой пациент»: почему первый ноутбук решает судьбу атаки

В медицине «нулевым пациентом» называют первого заражённого человека, с которого начинается вспышка болезни. В кибербезопасности так же описывают первое устройство, куда попал злоумышленник: ноутбук бухгалтера, смартфон менеджера, домашний компьютер сотрудника на удалёнке.

После заражения атака редко остаётся на одном устройстве. Преступники ищут сохранённые пароли, рабочие чаты, файлы с доступами, подключённые сетевые диски и резервные копии. Если компания не ограничивает права пользователей и не делит сеть на изолированные участки, один компрометированный компьютер быстро открывает путь к критичным системам.

Главная проблема — не только техника, но и скорость. Пока служба безопасности разбирает тревогу, злоумышленник уже может скачать документы, выпустить вредоносный код дальше по сети или подготовить шифрование файлов.

ИИ делает фишинг менее заметным

Фишинг (от англ. phishing — выуживание) давно перестал выглядеть как письмо с ошибками и нелепым обещанием выигрыша. Генеративный ИИ помогает преступникам писать сообщения в стиле конкретной компании, учитывать должность адресата и подделывать тон деловой переписки.

Такое письмо может выглядеть как просьба от руководителя, уведомление от кадрового отдела, приглашение на вебинар или ссылка на документ по проекту. Текст не режет глаз, тема письма выглядит рабочей, а отправитель похож на знакомого контрагента.

Фильтры хорошо ловят массовые и уже известные вредоносные рассылки. Сложнее с письмами, которые собрали под одну организацию или даже под одного сотрудника. Похожую логику используют атаки через поддельные инструменты и страницы загрузки: мы уже писали, как фальшивый репозиторий OpenAI на Hugging Face раздавал стилер.

Пять минут, которые решают исход инцидента

Первые минуты после заражения часто важнее долгого расследования через несколько дней. Если устройство быстро отключили от корпоративных ресурсов, сбросили сессии и заблокировали учётную запись, ущерб можно ограничить одним рабочим местом.

Если тревогу пропустили, атакующий начинает двигаться дальше. Он проверяет почту, ищет токены доступа, пробует войти в облачные сервисы, изучает общие папки. Затем в ход идут инструменты для закрепления в сети и поиска более ценных целей.

Для бизнеса это означает простой вывод: план реакции должен лежать не в презентации, а в понятной инструкции для дежурной смены, ИТ-отдела и руководителей подразделений. Кто отключает устройство, кто звонит сотруднику, кто блокирует доступы, кто проверяет резервные копии — все роли лучше распределить заранее.

Сбой сервиса или признак заражения

Сотрудники часто ищут быстрый ответ в интернете, когда мессенджер, почта или рабочая платформа ведут себя странно. Запросы вроде «is discord down», «discord сбой» или «почему не работает телеграмм через мобильный интернет» сами по себе нормальны: люди пытаются понять, проблема у сервиса, у оператора связи или на их устройстве.

Этим пользуются мошенники. Они создают страницы с поддельными инструкциями, предлагают скачать «исправляющую» утилиту, обновить клиент или ввести рабочие учётные данные на похожем сайте. Для компании такая ситуация опасна тем, что поиск решения превращается в новую точку входа для атаки.

Безопаснее проверять статус сервисов через официальные каналы, не ставить программы из случайных обсуждений и не вводить корпоративный пароль после перехода из поисковой выдачи. Если проблема возникла на рабочем устройстве, лучше сразу написать в ИТ-поддержку, а не экспериментировать с файлами и расширениями.

«Нулевое доверие» без лозунгов

Zero Trust (англ. — «нулевое доверие») часто звучит как модный термин, но на практике речь идёт о понятных правилах. Пользователь получает только те права, которые нужны для работы. Устройство не считается безопасным только потому, что подключено к корпоративной сети. Любой подозрительный вход, новый регион, странное поведение или попытка массового доступа к файлам требуют проверки.

Такой подход не отменяет антивирусы и почтовые фильтры, а дополняет их. Даже если сотрудник перешёл по вредоносной ссылке, у атакующего не должно быть прямой дороги к бухгалтерии, CRM, хранилищу исходного кода и резервным копиям.

Отдельная тема — поток тревог в центрах мониторинга. Когда аналитики получают слишком много сигналов, важное легко теряется среди второстепенного. О проблеме перегруженных SOC мы подробно рассказывали в материале «Почему новые аналитики не спасают SOC от потока тревог».

Что сделать уже сейчас

  • Проведите короткую инвентаризацию: какие сотрудники имеют доступ к критичным системам и почему.
  • Уберите права локального администратора у тех, кому они не нужны для ежедневной работы.
  • Включите многофакторную проверку входа для почты, облачных сервисов, CRM и админ-панелей.
  • Настройте быстрый сценарий изоляции устройства: отключение от сети, блокировка учётной записи, сброс активных сессий.
  • Проверьте, что резервные копии отделены от основной сети и не доступны обычным пользователям на запись.
  • Объясните сотрудникам: странное письмо, просьба срочно открыть файл или установить «обновление» — повод обратиться в ИТ-поддержку.
  • Запретите установку программ из случайных ссылок, форумов и чатов, особенно на рабочих ноутбуках.
  • Для работы из кафе, отеля или аэропорта используйте сервис безопасного интернет-соединения, который помогает защитить соединение и приватность данных в публичных сетях.
  • Раз в квартал тренируйте реакцию на «нулевого пациента»: кто звонит сотруднику, кто отключает доступы, кто проверяет журналы событий.
  • После любого подозрительного клика не ругайте сотрудника, а быстро собирайте факты. Страх перед наказанием часто задерживает сообщение об инциденте — и играет на стороне атакующих.
Поделиться: