VK и Почта Mail зафиксировали рост фишинговых атак, замаскированных под деловую переписку и бизнес-документы. Основные цели таких кампаний — сотрудники компаний и бухгалтерские отделы, которые регулярно работают со счетами, актами, договорами и вложениями из писем.

Схема атаки строится на привычных для бизнеса сценариях: письмо выглядит как запрос от контрагента, уведомление о закрывающих документах, счете на оплату или изменении реквизитов. Получателя подталкивают открыть вложение, перейти по ссылке или срочно подтвердить действие. В результате злоумышленники могут получить доступ к корпоративной почте, учетным записям, платежным данным или внутренним документам.

Почему это важно для бизнеса

Для российских компаний риск особенно высок в отделах, где сотрудники ежедневно обрабатывают большой поток однотипных писем. Бухгалтерия, закупки, продажи, клиентский сервис и офис-менеджеры чаще других открывают документы от новых или малоизвестных отправителей. Именно на этом и строится фишинг: письмо выглядит правдоподобно и попадает в рабочий контекст.

Даже одна успешная атака может привести к нескольким последствиям сразу:

  • компрометации корпоративной почты и переписки с клиентами;
  • подмене реквизитов в счетах и потере денег;
  • утечке договоров, актов, персональных данных и финансовых документов;
  • дальнейшей рассылке вредоносных писем уже от имени компании.

Какие признаки выдают такие письма

Подозрительными сигналами остаются срочность, нестандартные домены отправителя, ссылки вместо обычных вложений, архивы с паролем, файлы с двойными расширениями и просьбы быстро подтвердить оплату или скачать документ. Часто используются темы вроде «счет на оплату», «акт сверки», «закрывающие документы», «изменение реквизитов», «договор на подпись».

Отдельный риск — письма, которые визуально почти не отличаются от сообщений реальных подрядчиков. В таких случаях злоумышленники могут подменять одну букву в домене или копировать фирменный стиль компании. Для сотрудника это выглядит как обычная рабочая переписка.

Что это меняет для маркетинга и digital-команд

Новость касается не только бухгалтерии. У digital-команд в почте часто хранятся доступы к рекламным кабинетам, аналитике, CRM, доменам, хостингу и системам управления сайтом. Если злоумышленники получают доступ к рабочему ящику маркетолога, последствия могут затронуть и рекламу, и SEO, и контент.

На практике это означает риски для аккаунтов в Google, Яндекс Директ, Яндекс Метрика, Яндекс Вебмастер, CMS сайта и сервисов рассылок. Через взломанную почту можно сбросить пароли, перехватить уведомления о входе, изменить доступы или получить данные клиентов.

Что можно применить прямо сейчас

Российским компаниям стоит пересмотреть базовые процессы работы с почтой и документами. Если счет, акт или договор пришел неожиданно, безопаснее проверить отправителя через отдельный канал связи — например, позвонить контрагенту по номеру из договора, а не из письма. Для бухгалтерии и менеджеров полезно закрепить правило: любые изменения реквизитов и срочные платежные запросы подтверждаются отдельно.

Для владельцев сайтов и маркетинговых команд важно убедиться, что доступы к рекламным и аналитическим системам не завязаны на один почтовый ящик без дополнительной защиты. Также стоит проверить, кто именно в компании имеет доступ к домену, хостингу, CRM и кабинетам аналитики, и убрать лишние права.

Рост таких атак показывает, что фишинг все чаще маскируется под обычные бизнес-процессы, а не под грубый спам. Для бизнеса, агентств, фрилансеров и in-house-команд это сигнал усилить контроль почты, доступов и финансовых операций: цена одной ошибки может оказаться выше, чем затраты на профилактику.

Совет эксперта Analito

Проверьте все корпоративные ящики, через которые восстанавливаются доступы к Google, Яндекс Директ, Яндекс Метрика, Яндекс Вебмастер, CMS и домену. Включите двухфакторную аутентификацию, смените слабые пароли и удалите лишние резервные адреса и номера.

Внедрите правило для бухгалтерии и менеджеров: любые новые реквизиты, срочные счета и документы на оплату подтверждаются через отдельный канал связи. Не по контактам из письма, а по данным из договора или CRM.

Проведите короткий внутренний аудит: какие типы писем сотрудники открывают чаще всего, кто работает с вложениями от новых отправителей, какие домены контрагентов считаются доверенными. Это поможет быстро настроить фильтры и снизить риск ошибки.

Частые вопросы

Кто находится в основной зоне риска при таких атаках?

В первую очередь бухгалтерия, закупки, продажи и сотрудники, которые часто получают счета, акты, договоры и другие документы по почте.

Чем опасно одно фишинговое письмо для маркетинговой команды?

Через взломанный почтовый ящик злоумышленники могут получить доступ к рекламным кабинетам, аналитике, CRM, домену и сайту через сброс паролей и перехват уведомлений.

Что делать, если письмо выглядит как сообщение от реального контрагента?

Проверьте домен отправителя и подтвердите запрос через отдельный канал связи. Не открывайте вложения и не оплачивайте счета, пока не убедитесь, что письмо подлинное.