Злоумышленники все чаще атакуют не рядовых сотрудников, а администраторов, имеющих широкие полномочия. Используются письма с поддельными уведомлениями от службы поддержки, запросами на смену пароля, фальшивыми обновлениями ПО. При этом традиционные тренировки уже не защищают ИТ-персонал от таких атак на 100%. Рассмотрим, как строить комплексную защиту от мошенников для ИТ-отделов.

Почему злоумышленники переключились на ИТ-отделы

По данным исследования Positive Technologies, в половине успешных кибератак в 2025 году применялись методы социальной инженерии. В среднем 35% сотрудников переходят по фишинговым ссылкам, 21% — вводят свои учетные данные, и всего 2% сообщают о своих подозрениях в службу ИБ.

При этом еще несколько лет назад фишинговые рассылки были в основном нацелены на специалистов, далеких от ИТ — бухгалтерию, секретарей или рядовых менеджеров. С одной стороны, их было проще ввести в заблуждение. С другой — полезный эффект от атак не всегда был высоким, ведь у рядовых сотрудников обычно сильно ограничены права доступа.

Поэтому в последние годы злоумышленники активнее переключились на ИТ-отделы. Обмануть технических специалистов сложнее, но в случае успеха мошенников последствия для компании куда серьезнее. Один скомпрометированный сотрудник с правами администратора домена или доступом к критическим сервисам может дать ключ ко всей инфраструктуре компании.

Кто в группе риска внутри ИТ-отдела

Чтобы обмануть рядового сотрудника не из ИТ-департамента, может хватить обычной массовой рассылки со стандартными сценариями. Например, их просят срочно перейти по ссылке, иначе их рабочий аккаунт удалят или заблокируют.

При таком массовом фишинге ИТ-специалисты сталкиваются с теми же базовыми триггерами. Обычно это стандартные уведомления о проблемах с аккаунтами или доступностью сервисов: требуют срочно сменить пароль либо предупреждают о том, что почтовое или локальное хранилище переполнено.

Однако, как правило, такие методы малоэффективны для работы с ИТ-сотрудниками — они уже готовы к стандартным сценариям мошенников. Поэтому основной упор злоумышленников теперь смещается на таргетированные атаки, тщательно адаптированные под профиль конкретного сотрудника, его поведение и контекст работы. При этом не все администраторы привлекательны для атак с точки зрения хакера. Среди самых уязвимых категорий сотрудников можно выделить:

● Администраторов домена и идентичности — у них полный контроль над всеми сотрудниками и системами.

● Администраторов облачных сервисов (M365, AWS, Google Workspace).

● Системных администраторов, отвечающих за резервные копии и мониторинг. Через них можно легально отключить защиту или восстановить доступ к зашифрованным данным.

Зная внутреннюю структуру компании, хакеры могут переписать текст письма под конкретные обязанности человека — это логичный шаг при подготовке атаки. Но на практике выяснить, за какую именно систему отвечает конкретный сотрудник, удается крайне редко. Такая информация стоит дорого, поэтому мошенники почти не подбирают индивидуальные триггеры под каждый тип администратора.

Как выглядит реальный сценарий атаки на системного администратора

Сегодня типичная атака состоит из нескольких этапов::

1. Разведка. Хакеры собирают цифровые следы ИТ-специалистов в компании, чтобы понять их зоны ответственности и права доступа. Они ищут утечки токенов и ключей в репозиториях кода, вычисляют имена тестовых серверов и аккаунты сервисов. Возможны сценарии, когда специалисты сами оставляют зацепки: на конференциях случайно рассказывают об особенностях своей инфраструктуры, а на форумах и в каналах в мессенджерах делятся защищаемыми активами инфраструктуры.

2. Подготовка инфраструктуры. Для писем хакеры регистрируют домены, запускают почтовые узлы и верстают фишинговые страницы. Иногда используют ресурсы крупных провайдеров — открытые серверы рассылок и IPFS-хранилища. Средства защиты информации более лояльно обрабатывают подобные сервисы, поэтому чаще рискуют пропустить фишинговый контент.

3. Атака. Используя собранные данные, злоумышленники отправляют подготовленные письма и вредоносные файлы.

4. Закрепление и развитие. Скомпрометировав права, хакеры прописывают новые правила доступа, оставляют бэкдоры. Если захваченный аккаунт быстро заблокируют, у них все равно останется лазейка для входа.

5. Результат. Дальше все зависит от целей хакеров. Они могут украсть данные, потребовать выкуп, сохранить доступы для следующих атак.

Как это выглядит на практике, показывают результаты недавних киберучений в одной из компаний. Организаторы отправили тестовую фишинг-рассылку и так собрали у невнимательных сотрудников логины, пароли и коды второго фактора от почт. Они зашли в аккаунты и разослали в службу поддержки архивы с вредоносным кодом и припиской: «Посмотри, пожалуйста, почему архив не распаковывается».

Сотрудники хелпдеска пытались открыть файл, но видели ошибку и пересылали его коллегам с той же просьбой. Так как у техподдержки есть права отключать антивирус, специалисты пытались это сделать, чтобы все-таки запустить содержимое. В итоге из-за одной ошибки под угрозой оказалась практически вся инфраструктура компании. И хорошо, что это были всего лишь киберучения! В случае реальной кибератаки такие действия привели бы к необратимым последствиям.

Другой показательный случай произошел также во время киберучений, когда проверяли реакцию сисадминов на популярную у пентестеров тактику «низко висящих фруктов». На парковке офиса раскидали флешки с вредоносным ПО. Один из администраторов подобрал устройство и, понимая опасность, не стал включать ее на рабочем месте. Он принес флешку домой и подключил к домашнему ПК. Но админ не учел, что на его личном компьютере запущен VPN для удаленной работы. В результате пентестеры без труда проникли во внутренний периметр организации.

Как защитить ИТ-отдел

Одним из ключевых элементов эффективной защиты компании традиционно считается обучение персонала практикам кибербезопасности. По данным KnowBe4, треть (33%) сотрудников также взаимодействуют с имитацией фишинга перед тем, как пройти обучение. После внедрения обучения процент сотрудников, которые могут стать жертвами социальной инженерии или фишинговых атак, за год снижается сразу на 86%. Важно разбирать именно практические кейсы и ошибки — для этого можно использовать специальные онлайн-полигоны, на которых имитируются реальные атаки на инфраструктуру.

При этом само по себе обучение не может полностью исключить человеческий фактор. Часть людей все равно перейдет по ссылке или скачает вредоносный файл — в спешке или по невнимательности. Для доставки вредоносного ПО мошенники используют различные коммуникационные каналы: электронную почту, сайты, мессенджеры и социальные сети. Поэтому первый шаг для снижения вероятности утечек — минимизировать саму возможность успешной доставки вредоносного ПО (ВПО). Для этого можно:

● использовать почтовые шлюзы и песочницы, проверяющие вложения и ссылки в электронных письмах в режиме реального времени;

● внедрить NGFW и прокси-сервисы с функцией категоризации сайтов и фильтрацией трафика;

● контролировать каналы обмена файлами внутри организации, включая мессенджеры, где возможна доставка ВПО с использованием социальной инженерии;

● регулярно тестировать параметры шлюзов и фильтров с помощью специализированных решений, имитирующих реальные сценарии доставки ВПО.

Также нужно отметить, что число атак с распространением ВПО через легитимные сервисы продолжает расти. Поэтому разработчикам нужно внимательно относиться к используемым репозиториям и менеджерам пакетов в своих проектах и внедрять инструменты безопасной разработки и контроля цепочки поставок.

Кроме того, важно следить за всеми возможными точками входа в инфраструктуру, включая давно неиспользуемые. Забытые сервисы, неучтенные устройства, теневые системы и устаревшие компоненты — все это становится потенциальными источниками уязвимости, которые нужно своевременно обновлять или отключать.

Федор Гришаев, ведущий специалист группы исследования фишинговых угроз департамента киберразведки Positive Technologies