«Привет, это директор»: как обучить команду распознавать фишинг (и не попасть на деньги)
Представьте: малый бизнес, торговая компания. Бухгалтер получает письмо якобы от директора: «Срочно переведи 350 000 ₽ по новому договору». Всё выглядит правдоподобно: подпись, стиль общения, даже прикреплённый скан. Бухгалтер перевела. Только вот это был не директор.
Так работает фишинг. Не вирусы, не хакеры в чёрных худи, а обычная, очень убедительная имитация человеческого общения. И если у вас в компании нет регулярного обучения сотрудников, рано или поздно можно словить что-то подобное.
Почему SMB — лакомый кусок
Фишинг — главная причина утечек и взломов у малого и среднего бизнеса. Почему? Всё просто:
- техдиректора нет, есть «айтишник по совместительству»;
- политики безопасности живут в голове у директора;
- сотрудники доверяют почте, не проверяя детали.
Хакерам не нужно ломать ваши серверы. Достаточно, чтобы один человек в команде кликнул не туда, а дальше — шифровальщик, утечка данных или доступ к CRM с клиентской базой.
Как научить команду не кликать на «письма от директора»
Вот реальный рабочий план, как за пару недель выстроить базовую защиту от фишинга.
1. Разберите настоящие письма
Никаких теоретических лекций, просто покажите сотрудникам реальные фишинговые письма — с ошибками, поддельными доменами, ссылками на фальшивые сайты.
- «ООО Рога и Копыта срочно требует акт сверки» — а домен заканчивается на .pw.
- «Подарок от 1С — скачайте!» — .exe во вложении.
- «Мы заметили вход с нового устройства» — и фишинговая страничка под Outlook.
Создайте простую библиотеку таких кейсов в Google Drive или Notion. Показывайте её раз в квартал.
2. Внедрите правило «Пауза 5 секунд»
Просто научите сотрудников останавливаться и проверять письмо перед действием:
- Кто отправитель? (имя ≠ адрес)
- Куда ведёт ссылка? (наведите мышкой)
- Я ждал это письмо? Оно логично?
Это не защита от всех атак, но она ловит 90% «массовки», которую разбрасывают по базе email’ов.
3. Проведите имитацию фишинга
Один раз в пару месяцев — отправьте тестовое письмо от «службы безопасности» или «системного администратора». Что-то вроде: «С вашей почтой проблемы. Подтвердите логин тут» + ссылка на поддельный сайт.
Посмотрите, кто кликнет, кто введёт логин, но никого не ругайте, а объясняйте — это не про стыд, это про навык
📌 Подходящие инструменты:
- Gophish (бесплатно)
- Keepnet Labs
- PhishER от KnowBe4
4. Дайте людям кнопку «Я не уверен»
Создайте один понятный канал для подозрительных писем:
- почта security@вашдомен
- чат в Slack или Telegram
- встроенная кнопка «Report phishing» (если есть Microsoft 365 или Google Workspace)
Правило: отвечаем быстро. Лучше — ложная тревога, чем реальная утечка
5. Измеряйте результат
Если у вас есть KPI или хотя бы ежеквартальные встречи с командой — включите туда:
- % сотрудников, прошедших симуляции без кликов;
- сколько писем пришло на «подозрительный» канал;
- какие фишинговые приёмы сработали.
Это покажет динамику и даст повод напомнить про тему без занудства.
Что НЕ работает
- Один инструктаж в год. Люди забывают: слишком много задач, а фишинг всегда «внезапный».
- Грозные письма от ИТ. Если это не сопровождается практикой — никто не воспримет всерьёз.
- Наказание за клик. В следующий раз сотрудник промолчит, и вы узнаете о заражении через две недели.
Вместо вывода
Как директор IT-компании, я вижу, как часто всё рушится из-за одного нажатия. Фишинг — это не про технологии, а про людей. И если вы вложите 2–3 часа в обучение команды, это может спасти сотни тысяч рублей или, как минимум, ваши нервные клетки.