Эксперт: хакеры маскируют вредоносное ПО под проекты договоров и атакуют бизнес

20 февраля 2026

Киберпреступники перешли от массового фишинга к высокоточным многоступенчатым атакам, используя поддельные документы, голосовой спам и клонирование аккаунтов руководителей для проникновения в корпоративные сети и хищения средств.

Одним из актуальных векторов атак стала рассылка вредоносного ПО под видом деловой документации. Специалисты фиксируют инциденты, при которых сотрудник компании получает архив, якобы содержащий проект договора и техническое задание. Файлы внутри архива маскируются под PDF с помощью двойного расширения и соответствующих иконок, однако их запуск приводит к активации трояна. После заражения вредоносное ПО обеспечивает выгрузку учетных данных от корпоративных сервисов и личных кабинетов с рабочего устройства жертвы, открывая злоумышленникам доступ к внутренней инфраструктуре компании.

По словам руководителя направления отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline) Максима Грязева, в корпоративной среде злоумышленники применяют целевой фишинг, предварительно изучая структуру организации, имена руководителей и внутренние коммуникации через открытые источники. После этого они рассылают письма от имени вышестоящего начальства или смежных отделов. Получив доступ к почте одного сотрудника, взломщики компрометируют переписку и от имени реального отправителя инициируют несанкционированные переводы средств или утечку конфиденциальных данных, включая коммерческую тайну.

Помимо электронной почты, атаки активно мигрируют в мессенджеры и телефонные каналы. Голосовой фишинг (вишинг) использует официальную лексику и создание ощущения срочности, чтобы вынудить жертву перевести деньги или раскрыть пароли. Звонки от имени руководства или якобы из службы безопасности банка подкрепляются «подтверждающими» письмами с поддельными подписями. С развитием технологий искусственного интеллекта атаки усложнились: исчезли языковые ошибки, а клонирование голоса «директора» или «финансового директора» лишает жертву времени на сомнения.

Успех подобных атак объясняется не столько недостатком знаний у сотрудников, сколько эксплуатацией ситуативных уязвимостей человеческой психики в рабочей обстановке. В момент стресса, вызванного пометкой «срочно» или угрозами штрафных санкций, рациональное мышление отключается. Срабатывают факторы авторитета (указание от руководителя воспринимается как приказ) и профессионального автоматизма, когда технические специалисты ведутся на легенды о сбоях или обновлениях ПО, а бухгалтеры – на просьбы срочно оплатить счета в период отчетности.

Отдельным вектором проникновения в корпоративный контур остаются подрядчики и партнеры. Хакеры атакуют менее защищенные компании из цепочки поставок: охранные предприятия, клининговые службы, ИТ-аутсорсеров, используя их инфраструктуру как трамплин для проникновения в сеть основной организации-жертвы.

Современный фишинг атакует не уровень знаний, а состояние человека в момент атаки. Авторитет руководителя, искусственно созданная срочность и личная заинтересованность перевешивают осторожность даже у опытных сотрудников. Сейчас мы все чаще видим многоуровневые атаки на бизнес: звонок якобы от финансового директора подкрепляется подделанным письмом, а в отдельных случаях – сгенерированным видеообращением в мессенджере.

Для защиты от подобных угроз эксперты рекомендуют компаниям ужесточить регламенты финансовых операций, требующих подтверждения по нескольким каналам связи, а также обращать внимание на нестандартные запросы, даже если они поступили от знакомых отправителей. В корпоративной среде необходимо усиление контроля за коммуникациями с подрядчиками, использование двухфакторной аутентификации для всех критических систем и регулярное повышение цифровой грамотности сотрудников с акцентом на новые виды угроз, включая дипфейки.