Как готовить бизнес к life-like атакам: настольные упражнения по сценарию дипфейка директора, взлома почты и компрометации поставщика

Современные киберугрозы перестали быть исключительно технологической проблемой. Сегодня они атакуют самое уязвимое звено в цепи безопасности — человека и организационные процессы. Если раньше главный корпоративный риск выглядел как вирус в письме от якобы банка, то сегодня финансовый директор может получить убедительный звонок от голоса своего генерального директора, просящего срочно перевести крупную сумму партнёрам. Видео выглядит как настоящее, голос неотличим от оригинала, манера говорить знакома. Только это не генеральный директор — это дипфейк, созданный нейросетью за несколько часов на основе публичных материалов. Риск перестал быть гипотетическим. В 2019 году в Великобритании злоумышленники мастерски имитировали голос топ-менеджера и заставили компанию из энергетического сектора перевести 220 тысяч евро. В 2020 году компания из ОАЭ потеряла 35 миллионов долларов в результате сложной мошеннической атаки с применением голосового дипфейка. А в 2024 году в Гонконге инжиниринговая компания лишилась 25 миллионов долларов после атаки с применением дипфейк-видео руководителей во время видеоконференции. Эти примеры показывают, что угроза реальна и масштабна. Однако есть хорошая новость: эту угрозу можно значительно снизить, если подготовить организацию к жизнеподобным атакам. Ключевой инструмент такой подготовки — настольные упражнения и учебные сценарии, которые помогают сотрудникам распознавать опасность и действовать правильно под давлением.

Понимание современного ландшафта киберугроз

Дипфейки — это видео, аудио или текстовые материалы, созданные с помощью искусственного интеллекта, которые выглядят и звучат как подлинные. Для создания убедительного аудиодипфейка голоса конкретного человека достаточно всего нескольких минут качественной записи. Нейросеть обучается имитировать тембр, интонации, акценты и характерные речевые паттерны. Пара публичных видео из Instagram, стоковые кадры и грамотный монтаж — и видеодипфейк выглядит правдоподобно для аудитории, которая смотрит его «на бегу». Существует два основных типа атак с использованием дипфейков. Первый — массовые кибератаки на пользователей цифровых сервисов и сотрудников компаний. Дипфейки низкого качества, которые требуют минимальных навыков создания, уже поставлены на поток. Второй — таргетированный фишинг, нацеленный на людей, принимающих решения и топ-менеджеров. Такие атаки требуют более тщательной проработки контента, деталей и деталей, которые вызывают доверие у жертвы. Финансовый ущерб — самый очевидный риск. Однако дипфейки также используются для компрометации репутации, вымогательства, дестабилизации экономики (например, размещение поддельного сообщения о грядущем банкротстве крупной компании), и создания ложных указаний сотрудникам. Аудиодипфейк голосом руководителя в связке с правдоподобным письмом и «подтверждающим» документом может заставить сотрудника обойти стандартные процедуры и сделать исключение — очень срочно. В крупных компаниях даже разовый такой транш может стоить сотни тысяч или миллионы рублей.

Почему настольные упражнения — критически важный инструмент подготовки

Настольные упражнения (tabletop exercises) — это симуляции реальных сценариев атак, в которых участники разбирают, как они будут действовать при возникновении кризиса. Это не теоретическое обучение, а практическое моделирование реальных ситуаций. Живые кейсы запоминаются намного лучше, чем сухие инструкции в документах по безопасности. Главное преимущество настольных упражнений в том, что они выявляют разрывы в процессах до того, как произойдёт реальная атака. Часто оказывается, что правила согласования финансовых операций живут в голове одного человека, а не закреплены в процессе. Это ставит компанию на удачу — ставка, которая больше не жизнеспособна в современном мире киберугроз. Упражнения также позволяют протестировать эффективность технических решений в реальном контексте. Можно поставить инструменты детекции дипфейков и всё равно потерять деньги, если человек одобрит перевод после фальшивого звонка. Риск на уровне совета директоров — это управление и контроль, а не только технология.

Сценарий 1: Дипфейк-звонок от директора с просьбой срочного платежа

Представьте ситуацию: финансовому директору звонят голосом, похожим на голос генерального директора. Звонящий просит немедленный перевод крупной суммы партнёрам на счёт, указанный в письме, которое одновременно приходит на корпоративную почту. Письмо выглядит профессионально, содержит реквизиты партнёра и ссылается на якобы обсуждённый ранее контракт. Этапы развития атаки: Сначала атакующие собирают публичные сигналы — видео с выступлений директора, подкасты, интервью. Затем синтезируют убедительный артефакт (аудио или видео). Далее бьют в мягкое место внутреннего процесса — обычно это отсутствие двухуровневого контроля над крупными платежами или недостаточная верификация личности звонящего. Организация упражнения: Проведите «учебную атаку» внутри компании под контролем службы безопасности. Пригласите финансового директора и его заместителя в конференц-зал. Объясните, что это упражнение, и начните симуляцию: 1. Актёр (или запись) звонит на корпоративный номер финансового директора, представляясь генеральным директором. Голос должен быть максимально похож на оригинал — используйте профессиональные инструменты синтеза речи или актёра, умеющего имитировать голос. 2. Одновременно на корпоративную почту приходит письмо якобы от генерального директора с просьбой срочно перевести деньги на счёт партнёра. Письмо содержит реквизиты, контрактные ссылки и другие детали, которые вызывают доверие. 3. Наблюдайте за реакцией финансового директора. Задавайте вопросы: «Что вас насторожило? Какие действия вы предприняли? Почему вы решили действовать именно так?» 4. После упражнения разберите сценарий по шагам. Обсудите, где были допущены ошибки, какие процессы не сработали, какие признаки дипфейка могли бы помочь обнаружить атаку. Ключевые моменты для обсуждения: Признаки дипфейка включают неестественную мимику лица, несоответствие движений губ произносимому тексту, монотонную речь, неправильные ударения, непривычные для человека формулировки и обращения. Однако в аудиодипфейках эти признаки менее очевидны. Поэтому критически важны процессные контроли. Финансовая система должна помечать запрос как триггерное событие, если сумма превышает заранее заданный порог. При получении такого запроса финансовый директор должен запустить двухканальную проверку: аутентифицированную голосовую проверку на заранее зарегистрированное устройство с аппаратной аутентификацией плюс независимое подтверждение от генерального директора через корпоративный защищённый мессенджер, привязанный к единому входу (SSO). Ключевое правило: никогда не совершайте крупные платежи на основании одного канала связи. Даже если вам звонит человек, который звучит как ваш босс, перезвоните ему на известный вам номер или отправьте сообщение в защищённый корпоративный мессенджер.

Сценарий 2: Скоординированная атака — взлом корпоративной почты и дипфейк

Этот сценарий более сложный и опасный, потому что объединяет несколько векторов атаки. Представьте: мошенники взломали учётную запись помощника генерального директора. Они отправляют письма от его имени с просьбой срочно перевести деньги на счёт якобы нового поставщика. Одновременно они звонят финансовому директору голосом генерального директора, подтверждая информацию из письма. Такая скоординированная атака намного более убедительна, чем каждый вектор в отдельности. Письмо выглядит как официальное, потому что отправлено с корпоративного адреса. Звонок подтверждает информацию из письма. Все детали совпадают. Организация упражнения: 1. Подготовьте поддельное письмо якобы от помощника генерального директора. Письмо должно содержать информацию о новом поставщике, реквизиты для платежа, сроки и другие детали, которые выглядят правдоподобно. 2. Одновременно организуйте звонок от актёра, представляющегося генеральным директором. Звонящий должен ссылаться на письмо и подтверждать необходимость срочного платежа. 3. Пригласите финансового директора, главного бухгалтера и руководителя отдела закупок. Объясните, что это упражнение. 4. Наблюдайте за их реакцией. Какие вопросы они задают? Проверяют ли они подлинность письма через отдельные каналы? Обращаются ли к другим сотрудникам за подтверждением? 5. После упражнения разберите, какие процессы были нарушены. Обсудите, как должна работать система проверки поставщиков и авторизации платежей. Процессные улучшения: Все крупные платежи новым поставщикам должны проходить через централизованный процесс проверки. Финансовый директор должен независимо подтвердить личность звонящего, перезвонив на известный номер. При взломе корпоративной почты система должна обнаружить аномалии — например, письмо от помощника директора в необычное время или с необычным содержанием. Все сотрудники должны знать процедуру эскалации в случае подозрения на компрометацию учётной записи.

Сценарий 3: Компрометация поставщика и социальная инженерия

Третий сценарий касается компрометации поставщика. Мошенники получают доступ к системе важного поставщика и отправляют письмо якобы от него с просьбой изменить реквизиты для платежа. Письмо выглядит официальным, содержит корректные данные о текущих контрактах и платежах. Финансовый отдел может не заметить подмену реквизитов, особенно если письмо приходит в обычное время и содержит правдоподобное объяснение причины смены счёта. Организация упражнения: 1. Выберите одного из ключевых поставщиков компании. 2. Подготовьте письмо якобы от этого поставщика с просьбой изменить реквизиты для платежа. Письмо должно быть максимально похоже на официальное письмо поставщика — используйте его логотип, стиль, подпись. 3. Отправьте письмо финансовому отделу. 4. Наблюдайте, как они реагируют. Проверяют ли они подлинность письма через отдельные каналы? Обращаются ли к менеджеру по работе с поставщиком? 5. После упражнения обсудите, какие процессы должны быть внедрены для предотвращения таких атак. Процессные улучшения: Все изменения реквизитов поставщиков должны быть подтверждены через отдельный канал связи — телефонный звонок на известный номер поставщика. В системе управления поставщиками должны быть настроены уведомления при изменении реквизитов. Финансовый отдел должен иметь список ключевых контактов поставщиков и процедуру верификации при получении писем с просьбой изменить реквизиты.

Практические рекомендации по внедрению настольных упражнений

Частота и периодичность: Проводите настольные упражнения минимум два раза в год. После первого упражнения обычно выявляются критические разрывы в процессах — их необходимо устранить и затем проверить в следующем упражнении. Участники: Приглашайте не только финансовый отдел, но и руководство, отдел закупок, ИТ-безопасность, коммуникации и HR. Каждый отдел играет роль в защите от таких атак. Реалистичность: Используйте реальные данные компании, реальные процессы и реальные сценарии. Чем более реалистично упражнение, тем больше оно даст участникам. Обучение сотрудников: После каждого упражнения проводите сессии обучения для всех сотрудников. Показывайте примеры дипфейков, разбирайте, как они создаются, отрабатывайте сценарии. Сотрудники должны понимать, что угроза реальна и что их действия имеют значение. Документирование процессов: Все процессы авторизации платежей, проверки поставщиков, верификации личности должны быть задокументированы и доступны всем сотрудникам. Процессы не должны жить в голове одного человека. Технические решения: Внедрите двухфакторную аутентификацию для всех критических систем. Используйте аппаратные ключи безопасности для защиты корпоративной почты. Настройте мониторинг аномалий в системах платежей. Подготовка бизнеса к жизнеподобным атакам — это не одноразовый проект, а постоянный процесс. Киберугрозы эволюционируют, и защита должна эволюционировать вместе с ними. Настольные упражнения позволяют организации оставаться на шаг впереди мошенников, выявляя уязвимости до того, как они будут использованы в реальной атаке. Компании, которые инвестируют в такую подготовку, значительно снижают риск финансовых потерь и репутационного ущерба от киберугроз.