Почему фишинг через внутренние письма успешен

Разбираем, почему фишинг через внутренние письма работает: свежая статистика 2025, типовые приёмы HR/IT-симуляций и чек-лист защиты для бизнеса.
ноутбук с интерфейсом почты и ярким предупреждением о фишинге — nicetry.blog

Короткий ответ: потому что «внутренним» письмам мы доверяем почти автоматически. В 2025-м мошенники маскируют атаки под HR/IT-объявления и рабочие рутины, усиливая правдоподобие ИИ-генерацией текста. В статье — свежая статистика, реальные сценарии, понятные признаки подделки и чек-лист защиты. Разберём, почему фишинг через внутренние письма работает и что делать бизнесу, чтобы не попасться.


Ключевые цифры 2025

98,4%
топ-кликов — письма «изнутри» (HR/IT) в Q2’25
60%+
HR/IT-темы доминируют в кликабельных симуляциях (Q1’25)
+160%
скачок кражи учётных данных в 2025 году
99%
атак на идентичность — про пароли

Свежие отчёты подтверждают тренд: имитация внутренней переписки даёт наибольшеe число ошибок со стороны сотрудников, а общий всплеск компрометации логинов подпитывается ИИ-фишингом. Источники: отчет о симуляциях фишинга за Q2’25 и новость о том, что «внутренние темы — главная ловушка», а также Q1’25 по доминированию HR/IT-тем, плюс рост кражи учётных данных и выводы Microsoft о паролях как основной цели.


Почему «внутренние» письма так хорошо работают

  1. Доверие по умолчанию. Мы привыкли быстро исполнять «поручения» от HR/IT/финансов — обновить пароль, подписать политику, проверить отпускные. Это снижает критичность мышления и повышает скорость клика. В 2025-м такие темы возглавляют рейтинги симуляций.

  2. Претекстинг и социальная инженерия. Атакующие строят правдоподобный сюжет: «срочная проверка доступа», «несоответствие в платёжной ведомости», «обновление MFA». DBIR-2025 фиксирует фишинг и претекстинг среди ключевых причин инцидентов.

  3. ИИ-усиление правдоподобия. Грамотные тексты без ошибок, тон HR-шаблонов, даже клон-голоса для вишинга — всё это теперь доступно в пару кликов. Журналисты и исследователи предупреждают: ИИ делает социальную инженерию более массовой и убедительной.

  4. Пароли как «приз» атаки. Большинство атак на идентичность по-прежнему вертится вокруг паролей; значит, письма, которые ведут на ложные страницы входа/ADFS/SSO, остаются сверхэффективными.


Типовые «внутренние» сюжеты приманок

  • HR: пересогласование политики, e-подпись оффера/бенефитов, проверка отпускных/больничных.

  • IT/Безопасность: «сброс пароля», «MFA истекает», «новые правила доступа к VPN/SharePoint».

  • Финансы: «расхождение в ведомости», «доплата/бонус», «срочный счёт». (Общая практика претекстинга в отчётах-2025.)


Разбор приёмов: что именно цепляет (и как парировать)

Сценарий Почему срабатывает «внутренний» фишинг Контрмера
«Сброс пароля в ADFS/SSO» Ожидаем увидеть фирменный домен и кнопку; злоумышленники имитируют лендинги входа и редиректы Зайти в SSO вручную из закладки; не переходить по кнопке из письма
«HR: обновление политики/бенефитов» HR-тон, внутренний жаргон, дедлайн «сегодня до 17:00» Проверять запрос в официальном портале HRIS; задавать вопрос в общем HR-канале
«IT: MFA истекает» Страх потерять доступ; срочность + ссылка «Обновить сейчас» Открывать приложение MFA напрямую; уведомлять IT о любых письмах с дедлайнами
«Финансы: доплата/расхождение» Деньги = максимальная мотивация к клику; часто вложен PDF Не открывать вложения из неожиданных писем; сверять тикет/номер платежа
«Команда безопасности: инцидент/проверка устройства» Авторитет источника, «проверка AGENT/MDM» Перезвонить по внутреннему номеру из справочника; не запускать вложенные .exe/.pkg
Источник: симуляции KnowBe4 (Q1—Q2 2025), Verizon DBIR-2025, Microsoft DDR-2024, обзор атак на кражу учетных данных в 2025.

Почему мы акцентируем PDF и «кнопки входа»? Симуляции показывают рост кликов именно на такие приманки; кроме того, кампании по краже Microsoft-логинов активно мимикрируют страницы входа и редиректы.


Что изменилось в 2024–2025

  • Ставка на «правдоподобие» вместо массовости. ИИ убрал ломаный язык из писем и добавил персонализацию.

  • Больше «живых» сценариев. Претекстинг стал тоньше: помощь хелпдеска, обновления доступа, корпоративные анонсы. DBIR-2025 относит это к топ-категориям социнженерии.

  • Итог — лавина краж учёток. В 2025-м зафиксирован рост на 160%, что напрямую связано с успехом фишинга и развитием stealer-экосистем.


Частые ошибки сотрудников

  • Верят «дедлайнам сегодня», не сверяя запрос в портале/системе тикетов.

  • Кликают по кнопке «Sign in» из письма вместо входа из закладки.

  • Смотрят на имя отправителя, а не на реальный адрес/домен.

  • Открывают вложения (особенно PDF) из неожиданных писем.


Мини-чек-лист защиты (встроить в онбординг и ежеквартальные тренинги)

Подкрепляйте чек-лист симуляциями раз в квартал: отчёты 2025 показывают, что именно упражнения на «внутренние» темы лучше всего снимают слепые зоны сотрудников.


Заключение

Фишинг через внутренние письма успешен, потому что попадает в самую человеческую «автозону» — доверие к коллегам и процессам. В 2025-м к этому добавился ИИ, который довёл правдоподобие до уровня рутины. Первые шаги: стандартизируйте «вход только из закладок», проверьте каналы в HRIS/ITSM и запустите квартальные симуляции на HR/IT-темы. Так вы быстро снимете самые массовые риски и сократите клики.


Часто задаваемые вопросы

Это правда, что ИИ «убил» кривой фишинг?
Почти. Тексты стали заметно грамотнее и персональнее — поэтому полагаться на «плохую орфографию» больше нельзя. Проверьте источник и домен, а не стиль письма.
PDF часто используется как «переходник» на фишинговую страницу или для запуска макросов/эксплойтов. Симуляции фиксируют рост кликов по PDF-приманкам.
MFA сильно снижает риск, но не всемогущ: есть схемы обхода через прокси-страницы/токены и социальная инженерия хелпдесков. Держите фокус на доменах входа и политике выдачи сессий.
Доля репортов на 100 пользователей, время реакции на фишинг-письмо, снижение кликов по HR/IT-темам в симуляциях, доля проверок в HRIS/ITSM перед действием. (Методические рекомендации, согласующиеся с DBIR-2025 — борьба с социнженерией как приоритетом.)

Полезно? Поделись!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

А это читали?

От автокатализаторов к новой энергетике: есть ли будущее у палладия - nicetry.blog

Палладий в новой энергетике: от катализаторов к «зелёному» росту

Палладий в новой энергетике: водород, солнечные панели и Li-S батареи. Цифры, риски, кейсы — понятно и по делу.
Что такое ШОС и для чего она России — реалистичный натюрморт на светлом фоне — nicetry.blog

ШОС: состав, цели и значение для России

ШОС: что это такое, состав, цели и итоги саммита-2025. Почему ШОС важна для России и бизнеса. Индия и заявка Азербайджана.
Как поддерживать ментальное здоровье школьников - реалистичный натюрморт на светлом фоне - школьный рюкзак - открытый блокнот — nicetry.blog

Как поддерживать ментальное здоровье школьнико

Ментальное здоровье школьников: как распознать токсичную школу, снизить риски и выстроить поддержку дома и в классе — цифры и решения.
Почему сериалы так популярны и как они меняют общество - nicetry.blog

Почему популярность сериалов растёт и как это меняет общество

Популярность сериалов растёт: как меняются производство, привычки зрителей и общественные нормы — цифры 2024–2025 и живые примеры.
Стопка реалистичных коробок iPhone 17 на нейтральном фоне - nicetry.blog

iPhone 17 в России: цены и доступность — что показывают первые прайсы

iPhone 17 в России: цены, предзаказ и поставки. Когда ждать снижение цен и какие версии SIM выбирать.
Вьетнам запускает пилот легального крипторынка - вне лицензированных площадок торговля запрещена — реалистичный натюрморт с смартфоном с графиком - монетами BTC/ETH nicetry.blog

Пилот крипторынка Вьетнама: правила и сроки

Пилот крипторынка Вьетнама на 5 лет: только донг, 10 трлн VND для бирж, лимит долей иностранцев. Что меняется к 2026?