Один неверный клик: 41% сотрудников поддаются фишингу

Компания RED Security, специализирующаяся на решениях в сфере информационной безопасности, подвела итоги проектов по повышению киберграмотности сотрудников российских организаций. Анализ показал, что до прохождения обучения 41% участников не распознают признаки фишинга – переходят по вредоносным ссылкам или открывают опасные вложения.

Исследование проводилось на базе сервиса RED Security Awareness. С начала года более 7 тысяч сотрудников крупных компаний получили тестовые фишинговые письма, имитирующие реальные сценарии атак. Результаты показали, что каждый третий сотрудник (34%) вводит логины и пароли от корпоративных аккаунтов на поддельных сайтах. Причём 13% делают это повторно, если не получают ожидаемый результат, демонстрируя уверенность в легитимности ресурса.

Такие действия в условиях реальной атаки могут привести к компрометации корпоративной инфраструктуры. По словам представителей RED Security, фишинг и использование действующих учётных записей – наиболее распространённые методы проникновения в системы компаний. При этом качество вредоносных рассылок растёт: к сентябрю 2025 года объём писем с признаками применения технологий искусственного интеллекта увеличился на 53% по сравнению с аналогичным периодом прошлого года.

«Незнание сотрудниками азов кибербезопасности – прямая угроза бизнесу их работодателей. При этом мы видим, что средний уровень киберграмотности россиян даже немного снижается год к году: в первом квартале прошлого года доля сотрудников, вводивших логины и пароли от рабочих учетных записей, составляла 28%, а сейчас – уже 34%. Это ставит перед компаниями задачу по формированию системного подхода к обучению персонала», – отметил Артём Мелехин, представитель RED Security.

В рамках тестирования использовались письма, замаскированные под внутренние уведомления: опросы о качестве офисного кофе, тестирование портала ДМС, согласование скидок в бонусной программе. Наибольшее доверие вызвали сообщения, касающиеся корпоративных привилегий.

Эксперты рекомендуют системный подход к обучению персонала: регулярные тренинги, внутренние консультации с отделом ИБ и повторное тестирование. По данным RED Security, уже после первого курса обучения количество переходов по фишинговым ссылкам снижается как минимум вдвое. Разовые мероприятия, по мнению специалистов, не обеспечивают устойчивого результата.