Не верьте письму от генерального директора: страшные истории о кибератаках на бизнес

Я собрал три истории из своей практики — о том как письмо, файл или неосторожное решение стали причиной многомиллионных потерь, остановки бизнеса и краха планов. Все эти случаи реальны и основаны на типичных сценариях, с которыми ежедневно сталкивается российский бизнес. Каждый из них — предупреждение для тех, кто до сих пор думает, что его это не коснется.

История 1. Письмо от генерального.

«Настя, срочно переведи 18,2 млн руб. на этот счет. Это за оборудование для нового цеха. Счет прикрепляю. Важно сегодня, потом улечу. Не подведи».

Письмо пришло ровно в 10:14 утра с почты директора. Без приветствия, без подписи. Но разве сейчас у него есть время на любезности? За последние два месяца компания нарастила обороты, запустила экспорт, подписала первый контракт с азиатским дистрибьютором. Готовился запуск нового цеха. Всем было не до формальностей.

Настя, главный бухгалтер, не стала звонить. Она знала, что директор сейчас в Шанхае и общается обычно кратко — по делу. Сотрудница аккуратно сверила реквизиты, прикрепленные к письму, оформила платежку и нажала «Отправить».

Через три часа позвонил заместитель директора по производству.

— Ты счет от китайцев оплатила?

— Конечно. Как только от директора пришло — сразу.

— Стой. Какой директор?

— Наш. С его почты.

— Он в самолете уже четыре часа. Он не мог ничего прислать.

Через нее установили переадресацию писем, подделали адрес, подменили отображаемое имя. Настя даже не заметила. Деньги ушли на счет в Гонконге, через два часа злоумышленники перевели их в криптовалюту, и после этого их и след простыл.

Пока IT-служба разбиралась в деталях, директор звонил юристам, а зам по производству — китайским партнерам, чтобы объяснить, почему их платеж не дошел.

Заказ на оборудование был сорван. Дистрибьюторы не стали ждать — они выбрали другого поставщика. Проект по новому цеху пришлось отложить на полгода. Сотрудники, нанятые под расширение, не дождались контракта и ушли. Один из инвесторов поставил под вопрос дальнейшее финансирование компании, которая «даже письма различать не умеет».

Выводы для бизнеса

1. Финансовые переводы не должны подтверждаться по почте. Настройте внутренний регламент: любые переводы свыше определенной суммы требуют голосового подтверждения — по телефону или в мессенджере, с контролем личности. И не забывайте про дипфейки, которые тоже набирают популярность (но об этом — в следующем материале).

2. Обучайте работников распознавать фишинг. Даже опытные сотрудники поддаются социальной инженерии. Это не вопрос интеллекта — это вопрос подготовки и сценариев, которые нужно регулярно отрабатывать.

3. Удаляйте неиспользуемые корпоративные почтовые ящики. Даже если сотрудник уволен или перешел на другую почту — старые учетные записи могут стать дырой в безопасности.

4. Настройте многофакторную аутентификацию. Она не панацея, но повышает безопасность корпоративной почты в разы.

5. Проведите киберучения. Смоделируйте ситуацию и проверьте, что будет, если взлом случится завтра:

• кто и как будет действовать;

• как быстро вы узнаете о краже и сможете ли остановить трансакцию;

• какие системы и сервисы будут задействованы.

6. Используйте механизмы защиты. Почти любая почтовая программа или внешний почтовый сервис имеют встроенные функции безопасности, которые помогают выявлять подмену адресатов в e-mail. Не пренебрегайте ими — тем более, что это бесплатно. А проверить, насколько они эффективны, помогут специализированные инструменты, эмулирующие действия реальных хакеров, но без нанесения ущерба.

История 2. Шифровальщик в пятницу.

Олег управлял небольшим, но устойчивым онлайн-магазином детских товаров: подгузники, коляски, развивающие игрушки. Предприниматель сам вел рекламу, выбирал поставщиков и принимал ключевые решения. Технические задачи доверял Илье — айтишнику на аутсорсе. Раз в месяц он проверял систему, делал резервные копии, обновлял сайт. Удобно, экономно, без излишеств.

В ту пятницу все было особенно хорошо: пришел крупный заказ от детской сети, шли переговоры о партнерстве с маркетплейсом, а на выходных Олег собирался в Санкт-Петербург с семьей.

Бизнесмен сначала решил, что это шутка. Только в 22:00, когда айтишник Илья не выходил на связь, а вместо базы клиентов открывался файл с надписью «Hello, friend :)», Олег понял: это реально случилось.

Выходные превратились в кошмар. Илья был за городом без связи. Резервные копии оказались устаревшими. Последний полноценный бэкап — месяц назад. Все текущие заказы, адреса доставки, статусы отгрузок — исчезли. CRM, складская система, база поставщиков — все было зашифровано.

В понедельник Илья и два его сотрудника вручную обзванивали клиентов — из Excel-таблиц, оставшихся на локальных компьютерах. У кого был номер, у кого не было. Некоторые заказы пришлось отменить. Кто-то начал писать гневные отзывы: «Оплатили, а нам ничего не отправили!», «Ни ответа, ни сайта, ни возврата». Трафик обрушился. Google Ads отключили. Крупный партнер, с которым шли переговоры, «временно приостановил обсуждение».

Суммарные убытки за первую неделю составили более 6 млн руб.: потерянные клиенты, штрафы от служб доставки, сорванный контракт, неустойки. И «бонусом» — удар по репутации: минус 2,3 балла на «Отзовике» и тонны негатива в Instagram* (принадлежит Meta, признанной экстремистской на территории России).

Выводы для бизнеса

1. Шифровальщики чаще всего атакуют в пятницу вечером или ночью — когда все ушли и некому реагировать. В это время злоумышленники получают фору в 48–72 часа. У вас же — пустой офис и молчание в мессенджерах.

2. Бэкапы — это не папка с файлами где-то на сервере. Это регулярная, протестированная система восстановления, которую можно включить быстро. Без этого — ваши данные могут быть потеряны навсегда.

Сохранение данных раз в месяц имеет смысл только тогда, когда у вас всего 12 сделок в год и все равномерно распределены.

3. Стоит внимательно отнестись к аутсорсингу IT. Вопросы безопасности должны быть описаны в контракте:

• кто отвечает;

• как быстро реагирует;

• что делать в случае инцидента.

4. Даже малый бизнес — цель. У вас есть клиенты, трансакции, база данных. Этого достаточно, чтобы вы стали мишенью для хакеров.

5. План реагирования на инцидент — как аптечка. Лучше чтобы не пригодился. Но он должен быть. Должен быть четкий ответ:

• кому писать и звонит;

• где хранятся резервные копии и логины/пароли для доступа к ним;

• кто отвечает за принимаемые решения.

Олег говорит, что больше не уходит из офиса без создания резервной копии. И без ясного понимания, что делать, если ночью сайт опять ляжет. Потому что один уикенд может стоить трех месяцев работы или вовсе целого бизнеса.

История 3. Открытое вложение.

Марина пришла на работу чуть раньше обычного. В офисе было тихо — понедельник, 8:50. Она включила компьютер, налила кофе, открыла Telegram на рабочем компьютере — там в числе прочего был общий корпоративный чат, где иногда обсуждали срочные вопросы с логистикой и юристами.

Новое сообщение пришло в «личку» от неизвестного контакта со зданием ФСБ на Лубянке на аватарке и текстом, начинающимся с: «ФСБ РФ. Следственные мероприятия. Просим оказать содействие».

Марина уже сталкивалась с запросами из налоговой и трудовой инспекции. Проверки в их компании случались. К тому же в сообщении была фамилия сотрудника, которого она знала: парень недавно поругался с руководством и собирался увольняться. Все выглядело правдоподобно.

Она скачала архив, распаковала его и кликнула по файлу с названием Постановление.pdf.exe. Через пару секунд файл не открылся. Она закрыла приложение Telegram и продолжила работать. А в это время в компьютерной сети ресторана происходило то, что в компании позже назовут «пятнадцатью минутами кибер-апокалипсиса».

Компания, в которой работала Марина, управляла сетью из восьми ресторанов. Внутренняя система была достаточно простой: ERP-система, кассовые терминалы, CRM для постоянных клиентов, сервис бронирования столов и управленческий портал с аналитикой и заказами поставок.

Вот что произошло через несколько минут после открытия файла:

• перестали работать кассы в трех ресторанах;

• бронирование столиков через сайт и приложение выдавало ошибку;

• сотрудники не могли войти в систему управления меню и складом.

Первый тревожный звонок пришел в головной офис через час: «У нас не работает касса, клиенты в зале, пробить ничего не можем». А к 13:00 стало ясно — это киберинцидент.

На устранение ушло пять дней. Все заказы пришлось вести вручную. Некоторые рестораны перешли на бумажные меню и записные книжки. Один ресторан не смог открыться вовсе — не было доступа к учетной системе поставок, холодильники стояли полупустыми. В другом ресторане испортились некоторые продукты, которые не были пущены в производство.

Данные о постоянных клиентах — кто сколько тратит, на что предпочитает скидки, кого поздравлять с днем рождения — тоже пропали. Файл с персональными данными оказался зашифрован. Причем не было понятно, он просто повредился или «утек» наружу.

Службы доставки приостановили партнерство до выяснения обстоятельств, а одна выставила счет за нарушение контрактных обязательства. Один из корпоративных клиентов так и не вернулся — сказал, «все слишком ненадежно».

Ущерб:

• потеря выручки — около 4,2 млн руб.;

• срочные работы по восстановлению — еще 1,3 млн;

• имиджевые потери и уход части лояльной аудитории — неоценимы, но очень ощутимы;

• проверка Роскомнадзора еще не завершена и какие нарушения в обработке персональных данных будут выявлены, пока непонятно.

Виноватой назначили Марину. Но настоящая вина была том, что никто не подумал, как защитить компанию от одного неосторожного клика.

Выводы для бизнеса

1. Даже простое вложение в почте может разрушить бизнес. Файл «.exe» под видом «.pdf» — классика кибератак. Но без обучения персонала даже очевидное становится невидимым.

2. Система защиты должна быть многоуровневой. Антивирус — это лишь одна из мер. Нужны фильтры на почте, сегментация сети, права доступа для реализации принципа «минимума привилегий», резервные копии, защитный шлюз на периметре.

3. Обучение сотрудников — не формальность. Люди — самая уязвимая точка. Проводите фишинг-тесты, короткие тренинги, объясняйте простым языком, как выглядят угрозы, не забывая адаптировать рассказ под используемые в компании каналы коммуникаций.

4. План реагирования должен быть заранее. Опишите в нем:

• на ком ответственность в случае атаки;

• как отключать сеть или отдельные ее сегменты;

• как восстанавливать работу ресторана, склада, офиса.

5. Любой бизнес в цифре — это IT-бизнес. Даже если вы подаете пиццу или продаете игрушки. Ваши системы — ваш капитал. Защита — это уже не дополнительный сервис, а основа выживания и устойчивого развития.

Теперь Марина на каждое письмо смотрит с подозрением, а ФСБ стала бояться еще больше. В компании появилась новая строчка в политике безопасности: «Любой файл — потенциальный риск. Даже если он пришел в 8:50 в понедельник».