Фишинг давно вышел за рамки простых писем с подозрительными ссылками и ошибками в тексте. Теперь письма выглядят аккуратно, написаны без орфографических ошибок и часто полностью повторяют стиль реальной переписки.
Атаки строятся на персонализации, подмене доменов и знании деталей о компании. Сотруднику приходит письмо «от коллеги», бухгалтеру — «от банка», руководителю — «от партнера» или «от члена совета директоров». Домен отличается на один символ, а цепочка переписки выглядит правдоподобно.
В таких условиях фильтры и базовые инструкции уже не дают нужного уровня защиты.
Простые фильтры не ловят сложный фишинг
Обычные антиспам-системы хорошо блокируют волну мошеннических рассылок, но пропускают адресные атаки.
Сложный фишинг работает иначе:

используется новый домен, зарегистрированный за день до атаки;
подмена происходит через визуально похожий адрес;
письмо не содержит вредоносного файла — только просьбу;
атака строится на текущем контексте компании.

В 2025–2026 годах подмена доменов стала одним из главных инструментов: визуально незаметные изменения символов, микро-опечатки вроде micros0ft.com или цепочки перенаправлений.
Письмо приходит от «знакомого» отправителя, текст идеально подогнан под стиль компании, часто с упоминанием реальных событий или имен. Руководители получают запросы на переводы или доступы, сотрудники — «срочные» задачи. На мобильных экранах такие подмены еще сложнее заметить.
Почему сотрудники попадаются на фишинг
Сотрудники ежедневно обрабатывают десятки писем: от коллег, клиентов, систем уведомлений. В потоке проверка каждого домена кажется лишней тратой времени. Добавьте усталость, многозадачность или работу на ходу — и внимательность людей падает.
В гибридной работе риск усиливается: почту проверяют дома, в поездках, на личных устройствах, без офисных напоминаний о рисках. Подмененное письмо может прийти в личный ящик, замаскированное под рабочее. Дома нет коллеги или ИБ-специалиста, который скажет «проверь домен». Люди реже думают о рисках в расслабленной обстановке, отвечают на «срочное» письмо за ужином или в транспорте.
Отдельная зона риска — руководители
Руководители — главная цель в BEC-атаках. Они имеют доступ к финансам, контрактам и чувствительным данным, поэтому мошенники маскируют письма под запросы от топ-менеджмента, партнеров или аудиторов.
Статистика показывает, что в 2025–2026 годах количество атак на топ-менеджмент выросло, при этом злоумышленники все чаще используют ИИ для персонализации и дипфейки в голосовых звонках.
Часто используется давление по времени и статусу. Чем выше позиция, тем меньше вероятность, что кто-то будет перепроверять распоряжение.
Типовые сценарии:

срочный перевод средств;
согласование договора с новой версией реквизитов;
запрос конфиденциальной информации;
просьба «не распространять информацию» внутри компании.

При этом руководители редко проходят регулярные тренировки наравне с сотрудниками.
Почему одной технической защиты недостаточно
SPF, DKIM, DMARC и почтовые фильтры — необходимая база. Но они не закрывают все сценарии.
Подмена доменов может быть:

визуальной (похожее написание домена);
через скомпрометированный реальный аккаунт подрядчика;
через легальный сервис рассылок;
через пересланную цепочку реальной переписки.

С точки зрения почтовой системы письмо может выглядеть корректно, а решение о безопасности будет принимать человек.
Ошибка: считать, что проблема решается инструкцией
Во многих компаниях защита от фишинга сводится к трем действиям:

разослать памятку;
делать упор на технические меры без акцента на человеческий фактор;
добавить пункт в регламент.

Через неделю сотрудники перестают думать о правилах, через месяц инструкция теряется в почте, а через полгода происходит инцидент.
Что действительно снижает риск
Организационные меры:

единый чек-лист для проверки отправителя и домена (независимо от должности);
обязательная пауза перед кликом по ссылке или подтверждением платежа;
отдельные сценарии для руководителей, например, двойное подтверждение финансовых запросов;
регулярные напоминания о типичных признаках подмены домена.

Технические меры:

фильтры, распознающие визуально похожие домены;
автоматическая проверка ссылок перед открытием (с расширением коротких URL);
DMARC с жесткой политикой + SPF/DKIM для блокировки спуфинга;
многофакторная аутентификация после подозрительного действия;
инструменты, выделяющие в письме подозрительные элементы (отправитель, домен, необычное время).

Отработка сложных фишинговых писем
Если сотрудники видят только примитивный фишинг, они привыкают искать грубые ошибки.
Тренировки должны включать:

подмены домена на один символ;
письма без ссылок и вложений;
реалистичные цепочки переписки;
обращения от имени руководства.

Отдельная программа для руководителей

короткие разборы реальных атак на топ-менеджмент;
отработка сценариев срочных финансовых решений;
правила делегирования и подтверждения платежей;
персональная обратная связь по тренировкам.

Понятный способ сообщить о подозрительном письме
Если процесс сложный или требует отдельного письма в ИБ, сообщения о подозрительных письмах будут редкими. Простая кнопка в почте и быстрая обратная связь повышают вовлеченность и позволяют ловить атаки на ранней стадии.
Почему жесткие фильтры и тотальный контроль дают обратный эффект
Если система блокирует слишком много легитимных писем, сотрудники жалуются и обходят фильтры: используют личную почту, отключают предупреждения. Доверие к защите и ИБ падает, а риски растут.
Жесткие ограничения и публичные разборы ошибок создают обратный эффект:

сотрудники скрывают инциденты;
растет формальное отношение к правилам;
ИБ воспринимается как карательная функция.

Баланс между защитой и работой
Эффективная защита не должна тормозить бизнес-процессы. Она строится на простых принципах:

меры не мешают повседневным задачам;
правила объясняют через реальные примеры;
ошибки разбираются без наказаний;
техника дополняется обучением и обратной связью.

Обучение как основа защиты
Большинство попаданий на фишинг — это результат невнимательности. Сотрудники сосредоточены на задачах и не видят угрозы в «обычном» письме. Для повышения осведомленности сотрудников работают практичные форматы обучения:

короткие примеры подмен доменов из реальной жизни компании;
разбор типичных писем, которые кажутся безопасными;
симуляции атак на сотрудников и руководителей;
чек-листы для быстрой проверки (отправитель, домен, срочность);
регулярные тренировки и памятки вместо редких больших курсов.

Все эти меры помогут сформировать привычки, снизить количество инцидентов и уменьшить нужду в тотальном контроле.