Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Новая волна фишинга бьет по ИТ-отделам: целевые атаки на системных администраторов

Дата публикации: 07-07-2026 06:26:03

Злоумышленники все чаще атакуют не рядовых сотрудников, а администраторов, имеющих широкие полномочия. Используются письма ...

Основное содержимое страницы с новостью.

 

Новая волна фишинга бьет по ИТ-отделам: целевые атаки на системных администраторов

Федор Гришаев, ведущий специалист группы исследования фишинговых угроз департамента киберразведки Positive Technologies | 07.07.2026

Злоумышленники все чаще атакуют не рядовых сотрудников, а администраторов, имеющих широкие полномочия. Используются письма с поддельными уведомлениями от службы поддержки, запросами на смену пароля, фальшивыми обновлениями ПО. При этом традиционные тренировки уже не защищают ИТ-персонал от таких атак на 100%. Рассмотрим, как строить комплексную защиту от мошенников для ИТ-отделов.

Почему злоумышленники переключились на ИТ-отделы

По данным исследования Positive Technologies, в половине успешных кибератак в 2025 году применялись методы социальной инженерии. В среднем 35% сотрудников переходят по фишинговым ссылкам, 21% — вводят свои учетные данные, и всего 2% сообщают о своих подозрениях в службу ИБ.

При этом еще несколько лет назад фишинговые рассылки были в основном нацелены на специалистов, далеких от ИТ — бухгалтерию, секретарей или рядовых менеджеров. С одной стороны, их было проще ввести в заблуждение. С другой — полезный эффект от атак не всегда был высоким, ведь у рядовых сотрудников обычно сильно ограничены права доступа.

Поэтому в последние годы злоумышленники активнее переключились на ИТ-отделы. Обмануть технических специалистов сложнее, но в случае успеха мошенников последствия для компании куда серьезнее. Один скомпрометированный сотрудник с правами администратора домена или доступом к критическим сервисам может дать ключ ко всей инфраструктуре компании.

Кто в группе риска внутри ИТ-отдела

Чтобы обмануть рядового сотрудника не из ИТ-департамента, может хватить обычной массовой рассылки со стандартными сценариями. Например, их просят срочно перейти по ссылке, иначе их рабочий аккаунт удалят или заблокируют.

При таком массовом фишинге ИТ-специалисты сталкиваются с теми же базовыми триггерами. Обычно это стандартные уведомления о проблемах с аккаунтами или доступностью сервисов: требуют срочно сменить пароль либо предупреждают о том, что почтовое или локальное хранилище переполнено.

Однако, как правило, такие методы малоэффективны для работы с ИТ-сотрудниками — они уже готовы к стандартным сценариям мошенников. Поэтому основной упор злоумышленников теперь смещается на таргетированные атаки, тщательно адаптированные под профиль конкретного сотрудника, его поведение и контекст работы. При этом не все администраторы привлекательны для атак с точки зрения хакера. Среди самых уязвимых категорий сотрудников можно выделить:

  • Администраторов домена и идентичности — у них полный контроль над всеми сотрудниками и системами.
  • Администраторов облачных сервисов (M365, AWS, Google Workspace).
  • Системных администраторов, отвечающих за резервные копии и мониторинг. Через них можно легально отключить защиту или восстановить доступ к зашифрованным данным.

Зная внутреннюю структуру компании, хакеры могут переписать текст письма под конкретные обязанности человека — это логичный шаг при подготовке атаки. Но на практике выяснить, за какую именно систему отвечает конкретный сотрудник, удается крайне редко. Такая информация стоит дорого, поэтому мошенники почти не подбирают индивидуальные триггеры под каждый тип администратора.

Как выглядит реальный сценарий атаки на системного администратора

Сегодня типичная атака состоит из нескольких этапов::

  1. Разведка. Хакеры собирают цифровые следы ИТ-специалистов в компании, чтобы понять их зоны ответственности и права доступа. Они ищут утечки токенов и ключей в репозиториях кода, вычисляют имена тестовых серверов и аккаунты сервисов. Возможны сценарии, когда специалисты сами оставляют зацепки: на конференциях случайно рассказывают об особенностях своей инфраструктуры, а на форумах и в каналах в мессенджерах делятся защищаемыми активами инфраструктуры.
  2. Подготовка инфраструктуры. Для писем хакеры регистрируют домены, запускают почтовые узлы и верстают фишинговые страницы. Иногда используют ресурсы крупных провайдеров — открытые серверы рассылок и IPFS-хранилища. Средства защиты информации более лояльно обрабатывают подобные сервисы, поэтому чаще рискуют пропустить фишинговый контент.
  3. Атака. Используя собранные данные, злоумышленники отправляют подготовленные письма и вредоносные файлы.
  4. Закрепление и развитие. Скомпрометировав права, хакеры прописывают новые правила доступа, оставляют бэкдоры. Если захваченный аккаунт быстро заблокируют, у них все равно останется лазейка для входа.
  5. Результат. Дальше все зависит от целей хакеров. Они могут украсть данные, потребовать выкуп, сохранить доступы для следующих атак.

Как это выглядит на практике, показывают результаты недавних киберучений в одной из компаний. Организаторы отправили тестовую фишинг-рассылку и так собрали у невнимательных сотрудников логины, пароли и коды второго фактора от почт. Они зашли в аккаунты и разослали в службу поддержки архивы с вредоносным кодом и припиской: «Посмотри, пожалуйста, почему архив не распаковывается».

Сотрудники хелпдеска пытались открыть файл, но видели ошибку и пересылали его коллегам с той же просьбой. Так как у техподдержки есть права отключать антивирус, специалисты пытались это сделать, чтобы все-таки запустить содержимое. В итоге из-за одной ошибки под угрозой оказалась практически вся инфраструктура компании. И хорошо, что это были всего лишь киберучения! В случае реальной кибератаки такие действия привели бы к необратимым последствиям.

Другой показательный случай произошел также во время киберучений, когда проверяли реакцию сисадминов на популярную у пентестеров тактику «низко висящих фруктов». На парковке офиса раскидали флешки с вредоносным ПО. Один из администраторов подобрал устройство и, понимая опасность, не стал включать ее на рабочем месте. Он принес флешку домой и подключил к домашнему ПК. Но админ не учел, что на его личном компьютере запущен VPN для удаленной работы. В результате пентестеры без труда проникли во внутренний периметр организации.

Как защитить ИТ-отдел

Одним из ключевых элементов эффективной защиты компании традиционно считается обучение персонала практикам кибербезопасности. По данным KnowBe4, треть (33%) сотрудников также взаимодействуют с имитацией фишинга перед тем, как пройти обучение. После внедрения обучения процент сотрудников, которые могут стать жертвами социальной инженерии или фишинговых атак, за год снижается сразу на 86%. Важно разбирать именно практические кейсы и ошибки — для этого можно использовать специальные онлайн-полигоны, на которых имитируются реальные атаки на инфраструктуру.

При этом само по себе обучение не может полностью исключить человеческий фактор. Часть людей все равно перейдет по ссылке или скачает вредоносный файл — в спешке или по невнимательности. Для доставки вредоносного ПО мошенники используют различные коммуникационные каналы: электронную почту, сайты, мессенджеры и социальные сети. Поэтому первый шаг для снижения вероятности утечек — минимизировать саму возможность успешной доставки вредоносного ПО (ВПО). Для этого можно:

  • использовать почтовые шлюзы и песочницы, проверяющие вложения и ссылки в электронных письмах в режиме реального времени;
  • внедрить NGFW и прокси-сервисы с функцией категоризации сайтов и фильтрацией трафика;
  • контролировать каналы обмена файлами внутри организации, включая мессенджеры, где возможна доставка ВПО с использованием социальной инженерии;
  • регулярно тестировать параметры шлюзов и фильтров с помощью специализированных решений, имитирующих реальные сценарии доставки ВПО.

Также нужно отметить, что число атак с распространением ВПО через легитимные сервисы продолжает расти. Поэтому разработчикам нужно внимательно относиться к используемым репозиториям и менеджерам пакетов в своих проектах и внедрять инструменты безопасной разработки и контроля цепочки поставок.

Кроме того, важно следить за всеми возможными точками входа в инфраструктуру, включая давно неиспользуемые. Забытые сервисы, неучтенные устройства, теневые системы и устаревшие компоненты — все это становится потенциальными источниками уязвимости, которые нужно своевременно обновлять или отключать.

05uy1ldzui05z4ixkohj2ybilo42sy7x.jpg

Федор Гришаев, ведущий специалист группы исследования фишинговых угроз департамента киберразведки Positive Technologies


Комментарии

Только зарегистрированные пользователи могут оставлять комментарий.

Регистрация
Авторизация

 
pix.gif

Интересно

kl-red.png
pix.gif
kl-blue.png

Аварийное восстановление после ИИ-сбоев на годы отстает от внедрения ИИ

Искусственный интеллект открывает новую эру аварийного восстановления, и предприятиям необходимо понять, как обновить свои …

Новая волна фишинга бьет по ИТ-отделам: целевые атаки на системных администраторов

Злоумышленники все чаще атакуют не рядовых сотрудников, а администраторов, имеющих широкие полномочия. Используются …

Почему проблема идентификации ИИ-агентов требует платформенного решения

Нечеткие идентификаторы тормозят работу агентов искусственного интеллекта на этапах проверки безопасности. Джексон Коннелл …

Почему российский бизнес всё активнее отказывается от СМС-кодов

Ещё несколько лет назад вход в личный кабинет банка, маркетплейса или оператора связи выглядел предельно просто: ввёл номер …

Open source в ИТ: экономия на лицензии или новая статья затрат

Когда бизнесу предлагают open source-систему мониторинга для ИТ — от популярных решений вроде Zabbix до других …

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Грушко: российские госучреждения и банки подвергаются мощнейшим хакерским атакам0015-11-2018
2«Лаборатория Касперского» обнаружила многоступенчатую фишинговую атаку на производство РФ0708-07-2026
3«Лаборатория Касперского» обнаружила многоступенчатую фишинговую атаку на производство РФ0708-07-2026
4Эксперты обнаружили новую волну скрытых кибератак на российские компании0013-08-2019
5Bi.Zone: кибератаки на промышленность участились в два раза0530-06-2026
6Bi.Zone: кибератаки на промышленность участились в два раза0530-06-2026
7Reuters: хакеры из Китая за последние несколько лет атаковали крупнейшие IT-компании мира0026-06-2019
8Мошенники нашли новый способ взлома двухфакторной аутентификации-2702-07-2026
9«Кросстех»: хакеры стали чаще использовать легитимные инструменты для атак на банки0709-07-2026
10Нетайные переписки: «Лаборатория Касперского» выявила инструмент, позволяющий злоумышленникам получать доступ к корпоративной почте в Gmail0730-06-2026

Классификация: Мнения. Схожих патентов: 0. Схожих новостей: 10. Тональность: -2. Информативность: 6. Источник: www.pcweek.ru.