ФИШИНГ ДЛЯ ЭКСПЕРТОВ: как обычный пресейл может стать точкой входа в ваш бизнес-контур

Мы привыкли воспринимать фишинг как примитивную массовую атаку: подозрительное письмо, странный звонок, грубая подделка сайта. Но в сегменте услуг, консалтинга и подрядных работ всё давно стало тоньше. Сегодня атаки всё чаще маскируются не под «банк» или «госуслуги», а под обычный входящий лид.

Ниже — реальный кейс, который показал мне простую вещь: сегодня взлом эксперта часто начинается не с технической уязвимости, а с грамотно разыгранного делового сценария.

У специалистов, которые продают услуги через личную коммуникацию, есть понятный рабочий ритм: ответить новому лиду, обсудить бюджет, перейти в созвон, открыть ссылку, что-то подтвердить, а детали проверить уже потом. По сути, эксперт живёт в потоке маленьких доверительных решений, которые принимаются быстро и почти автоматически.

Именно в эту механику сейчас и встраивается качественный фишинг. Если упростить, злоумышленники атакуют не “тех, кто ничего не понимает”, а тех, кто работает быстро, много коммуницирует, постоянно переключается между задачами и держит значительную часть бизнеса на одном основном аккаунте.

Мне написали в Telegram с запросом на создание сайта и продвижение для небольшого семейного бизнеса. Легенда выглядела реалистично: мёд, продукты на его основе, семейная пасека, нужен сайт и привлечение клиентов.

Дальше всё развивалось как абсолютно нормальный пресейл. Обычная переписка, общение голосом, конструктив, обсуждение задач, спокойная реакция на цену, отсутствие давления и логичный переход к следующему шагу. Я озвучил диапазон бюджета: от 300 тысяч рублей в месяц плюс создание сайта по ТЗ.

Ответ был типичным для заинтересованного клиента:

На этом этапе ничего не выглядело подозрительно. И в этом как раз суть.

Через несколько дней после анализа ниши я предложил удобный асинхронный формат: отправить подробное голосовое с разбором стратегии, брендинга и возможных шагов, а уже потом созвониться по конкретным вопросам. Для меня это обычная практика, тк она экономит время обеим сторонам и позволяет сначала собрать общую картину, а уже потом обсуждать детали.

Но собеседница мягко, без нажима, начала продавливать именно звонок. Аргумент был выстроен грамотно: брат часто в поездках, голосовые неудобны, лучше всё обсудить устно. А дальше прозвучала фраза, которая в 2026 году вообще не кажется странной:

Именно это было сделано очень точно. Не просто “социальная инженерия”, а социальная инженерия, адаптированная под текущую деловую среду: AI-саммари, транскрибация, автоматизация встреч. Всё это звучит настолько естественно, что почти не вызывает сопротивления. Хоть я сам предлагал именно такой вариант после нашего голосового общения, я согласился, ибо не принципиальный же ... ;)))

Договорились на среду, в 15:00 я уже сидел за компьютером и ждал ссылку. В 15:10 сам написал, что у меня мало времени, и уточнил, в силе ли встреча. Мне ответили, что только зашли за компьютер и сейчас пришлют ссылку на Zoom. Ссылка пришла, я перешёл. Дальше всё выглядело “почти нормально”: капча, затем вход через Google. Проблема была в том, что авторизация выглядела не как штатный сценарий Google, а как ручной ввод логина и пароля. Но в моменте это считывается не как угроза, а как очередной технический сбой и, к тому же, такое действительно иногда бывает...

Почти одновременно начали приходить push-запросы Google на подтверждение входа. Один из них касался устройства POCO. Такой телефон у меня действительно был — старый рабочий аппарат лежал рядом. И вот здесь сработало самое опасное: профессиональная инерция. Когда ты находишься внутри рабочего процесса, странность интерпретируется как помеха. Не как атака, а как “что-то заглючило”. Именно в этом состоянии я подтвердил вход. Потом предложил перевести встречу на свою ссылку и только после этого внимательно посмотрел на домен...

Домен оказался неофициальным, просто стилизованным под Zoom. Обычный Zoom — это что-то вроде *.zoom.us. Здесь был поддельный домен формата us31zoom.com, собранный так, чтобы в спешке его не заметили. Через несколько секунд я вернулся в Telegram и увидел, как диалог с этой “клиенткой” исчезает у меня на глазах. В этот момент картинка сложилась полностью.

Страшно в такой ситуации не то, что “меня развели”. Страшно, что ты мгновенно понимаешь масштаб. Google-аккаунт эксперта — это не просто почта. Это часто точка входа во всю рабочую инфраструктуру: документы, диски, таблицы, клиентские материалы, рекламные кабинеты, формы, заметки, recovery-цепочки, чаты, домены, хостинги и другие связанные сервисы. То есть атакуют не один пароль. Атакуют ваш рабочий контур!

У эксперта это нередко дороже любого кошелька. Потому что там не только деньги, но и репутация, действующие проекты, доступ к клиентам и точки восстановления других систем. Да, у меня был отдельный риск, связанный с резервными копиями сид-фраз, но это был лишь частный случай. Главная угроза была шире: потенциальный захват всей операционной среды.

Повезло в одном: я был за компьютером и быстро понял, что произошло. Дальше уже не было времени на эмоции. Я сразу сменил пароль Google, завершил активные сессии, перепроверил способы восстановления, обновил настройки двухфакторной защиты и начал смотреть, не успели ли злоумышленники зайти глубже в связанные сервисы.

В такие моменты нельзя мыслить в стиле “наверное, пронесло”. Если есть хотя бы малейшая вероятность компрометации, действовать нужно по жёсткому сценарию: перекрывать все реальные векторы риска, а не успокаивать себя и надеяться на авось.

Сила этой атаки не в технике. Технически всё довольно просто: поддельный домен, фальшивая авторизация, push-подтверждение, быстрый вход, удаление переписки, сила — в сценарии. Они сделали всё правильно: выбрали человека, который регулярно продаёт услуги через диалог; создали правдоподобную бизнес-легенду; общались голосом; не спешили; не показывали грубых красных флагов; использовали актуальный цифровой контекст; подвели к точке ошибки в момент спешки и привычного рабочего переключения. Это уже не массовая рассылка. Это качественно разыгранный пресейл, целью которого является доступ к вашему рабочему контуру.

Мне кажется, рынок до сих пор недооценивает такую угрозу. Мы много говорим о продажах, воронках, упаковке, скорости ответа лидам, удобстве созвонов и нормальном клиентском пути. Но почти не говорим о том, что тот же самый механизм доверия теперь используется против нас. Чем лучше вы умеете продавать через диалог, чем быстрее идёте в созвон, чем плотнее у вас график и чем больше входящих, тем выше шанс однажды машинально нажать не туда, потому что это уже вопрос перегруза, контекста и автоматизма.

Экспертам нужен не только sales-процесс, но и security-процесс. Иначе воронка продаж легко превращается в воронку компрометации. Поэтому базовый протокол должен быть простым. Любая ссылка на созвон — это не формальность, а объект проверки. Если после перехода по чужой ссылке сервис просит вручную ввести логин и пароль, это уже стоп-сигнал. Push-подтверждение входа нельзя прожимать автоматически. Новый клиент не должен диктовать платформу без проверки. Чувствительные данные, recovery-доступы, клиентские файлы и сервисные ключи должны быть разнесены и защищены.

Самое неприятное в этой истории — не то, что меня ненадолго взломали, а то, насколько естественно всё выглядело до последней минуты. Не было ощущения опасности. Был обычный рабочий день, обычный лид, обычный созвон, обычная задержка встречи.

Именно поэтому такие атаки будут становиться массовыми. Потому что они бьют не по наивности, а по профессиональной привычке быстро включаться в работу, доверять знакомому сценарию , базироваться на твоей ответственности и репутации.

Сегодня эксперта можно скомпрометировать не через “техническую дыру”, а через его нормальный рабочий процесс. И это намного опаснее, чем кажется. Будьте бдительны, Друзья!