Введение
Современные корпоративные информационные системы, как правило, обладают развитым уровнем технической защиты; вместе с тем человеческий фактор продолжает выступать наиболее уязвимым звеном. В работе [2] подчеркивается, что социальная инженерия сочетает психологические и технологические приемы, вследствие чего даже продвинутые средства защиты могут оказаться недостаточными перед манипулятивными воздействиями.
Традиционные меры, включая политики безопасности и периодические тренинги, демонстрируют ограниченную результативность. Так, согласно исследованию [3], более половины сотрудников поддаются фишинговым приемам. Существенное объяснение состоит в том, что знания, полученные в ходе обучения, со временем утрачивают актуальность, а в ситуациях давления человек чаще действует эмоционально, не прибегая к аналитическому рассуждению.
В последние годы внимание исследователей и практиков привлекают инструменты поведенческого дизайна. В работе [1] отмечается, что культура информационной безопасности предполагает готовность человека противостоять цифровым угрозам, в том числе с опорой на специализированные инструменты. В исследовании [4] делается акцент на необходимости комплексного подхода, объединяющего технические, организационные и обучающие меры, как условия снижения рисков.
В работе [5] отдельно рассматривается влияние корпоративной культуры: дистанция между руководителями и подчиненными может препятствовать перепроверке сотрудниками подозрительных распоряжений. Цель исследования — экспериментально оценить, способствует ли применение метода подтверждения перехода с проверкой ссылки сокращению числа успешных фишинговых воздействий.
Современное состояние угроз социальной инженерии
Фишинг сохраняет статус одного из наиболее распространенных способов атак. Злоумышленники систематически модифицируют применяемые техники, адаптируя их к используемым средствам защиты. В работе [5] отмечается, что в настоящее время для подготовки убедительных фишинговых сообщений активно применяются генеративные модели, включая ChatGPT. Подобные письма зачастую трудно отличимы от легитимных: в них, как правило, отсутствуют грамматические ошибки и явные подозрительные формулировки, ранее рассматривавшиеся как типичные индикаторы обмана.
Инструменты искусственного интеллекта позволяют обходить автоматические механизмы распознавания, персонализировать сообщения под конкретного адресата и тем самым повышать результативность атак. Дополнительно следует учитывать, что современные атаки нередко имеют многоэтапный характер. Злоумышленники комбинируют фишинг с иными методами социальной инженерии, включая претекстинг, вишинг (звонки под видом служб безопасности), а также создание поддельных сайтов. В таких условиях опора исключительно на технические средства защиты оказывается недостаточной. Спам-фильтры и антивирусные решения не предотвращают инцидент, если сотрудник самостоятельно переходит по ссылке или вводит учетные данные на поддельной странице.
В работе [1] акцентируется, что именно человеческий фактор выступает ключевым источником инцидентов информационной безопасности. При этом проблема не сводится к отсутствию осведомленности о рисках: большинство сотрудников, как правило, понимают, что фишинг представляет угрозу. Однако информированность не гарантирует соответствующего поведения. Недостаточно сформированная культура безопасности приводит к тому, что при признании угроз сотрудники не предпринимают действий для их предотвращения: применяют простые пароли, игнорируют предупреждения и переходят по ссылкам из сомнительных писем.
В качестве важного психологического механизма выделяется импульсивность. При получении сообщения с угрозой или призывом к срочному действию («Ваш аккаунт будет заблокирован», «Срочно обновите пароль») когнитивная обработка может смещаться к быстрой автоматической реакции, в ущерб медленной аналитической оценке. В результате поведение определяется страхом, любопытством или ощущением срочности, а критическое осмысление ситуации оказывается ослабленным. Это частично объясняет, почему даже прошедшие обучение сотрудники продолжают попадаться на фишинговые уловки: знания присутствуют, но не актуализируются в момент принятия решения.
В работе [4] указывается, что обучение должно носить регулярный, а не эпизодический характер. Вместе с тем даже систематические курсы не устраняют проблему полностью, поскольку в ситуации угрозы решение часто принимается импульсивно и на эмоциональной основе, а не через обращение к инструкциям. Кроме того, стандартное предупреждение Outlook о внешнем отправителе со временем утрачивает заметность: пользователи привыкают к нему и начинают игнорировать.
Как показано в исследовании [3], в организациях, где обучение носит формальный характер, показатели успешных атак могут быть выше, чем в условиях, когда обучение подкрепляется практическими инструментами. Следовательно, знания без механизмов, действующих непосредственно в момент угрозы, не обеспечивают устойчивого эффекта.
Методика и организация эксперимента
Исследование проводилось в период с ноября 2025 г. по февраль 2026 г. в коммерческой организации. В нем приняли участие 300 сотрудников, разделенных на две сопоставимые группы по 150 человек. Контрольная группа тестировалась в ноябре 2025 г.; средний возраст участников составил 37,4 года. Экспериментальная группа тестировалась в январе—феврале 2026 г.; средний возраст — 38,2 года. Статистически значимых различий по полу и возрасту между группами не выявлено (p > 0,05).
В стандартной конфигурации Outlook предусмотрено предупреждение о внешнем отправителе — пометка «Внешний отправитель» в строке «От кого». Однако данное уведомление быстро становится фоновым и, как правило, перестает привлекать внимание. Кроме того, оно не препятствует немедленному переходу по ссылке и не раскрывает ее фактический адрес.
Для экспериментальной группы был разработан VBA-макрос, расширяющий стандартные меры за счет следующих функций: извлечение ссылки из выбранного письма; отображение адреса ссылки и сведений об отправителе; проверка протокола (HTTPS или HTTP) с визуальной индикацией; вывод окна подтверждения с кнопками «Перейти» и «Отмена». Кнопка «Проверить ссылку» была размещена на панели быстрого доступа Outlook. Макрос анализирует технический адрес отправителя, что позволяет выявить подмену даже в случае, если в поле «От кого» указан ложный внутренний адрес. Пользователю отображается реальный домен отправителя и полный URL ссылки. За месяц до проведения рассылки сотрудникам сообщили о наличии новой функции и проинструктировали по порядку ее использования. Для рассылки фишинговых писем и регистрации событий применялась платформа GoPhish, позволяющая автоматически фиксировать переходы по ссылкам и формировать отчеты.
В обеих группах использовались идентичные фишинговые сообщения. Ссылки вели на учебные сайты, находившиеся под контролем отдела безопасности. Участники не были информированы о проведении эксперимента. Регистрация переходов осуществлялась в течение 72 часов.
Для сопоставления частот переходов в группах применялся критерий хи-квадрат, позволяющий оценить статистическую значимость расхождений между наблюдаемыми и ожидаемыми частотами. Порог значимости задавался на уровне p < 0,05. Итоговые данные представлены в таблице 1.
Таблица 1
Сравнение частот переходов в контрольной и экспериментальной группах
|
Группа |
Перешли |
Не перешли |
Всего |
Доля переходов, % |
|
Контрольная |
35 |
115 |
150 |
23,3 |
|
Экспериментальная |
22 |
128 |
150 |
14,7 |
|
Всего |
57 |
243 |
300 |
19,0 |
Согласно данным таблицы 1, в контрольной группе по ссылке перешли 35 человек (23,3 %), тогда как в экспериментальной группе — 22 человека (14,7 %). Расчетное значение критерия хи-квадрат составило χ2 = 4,12 при одной степени свободы, что соответствует p = 0,042. Поскольку полученное значение превышает критическое (3,84), различия между группами интерпретируются как статистически значимые. Относительное снижение доли переходов составило 36,9 %.
За период эксперимента зарегистрировано 14 обращений к кнопке «Проверить ссылку» (9,3 % от численности экспериментальной группы). Из них 8 случаев относятся к тестовому фишинговому письму, 6 — к обычной рабочей переписке. Сокращение числа переходов наблюдалось даже при неполном использовании кнопки. Возможные объяснения включают повышение общей внимательности вследствие наличия инструмента; актуализацию инструкции у части сотрудников, не прибегавших к кнопке; а также закрепление корректной модели реакции у сотрудников, воспользовавшихся функцией хотя бы один раз.
Метод подтверждения перехода с проверкой ссылки продемонстрировал практическую состоятельность. В отличие от стандартного предупреждения Outlook, которое со временем перестает восприниматься как значимый сигнал, предложенный макрос требует осознанного действия. В работе [1] подчеркивается, что формирование культуры безопасности целесообразно соотносить с психологией принятия решений в условиях неопределенности. Вывод фактического адреса ссылки перед переходом представляет собой ключевое преимущество рассматриваемого подхода. В работе [5] отмечается, что современные фишинговые письма могут выглядеть убедительно, тогда как ссылки нередко ведут на незащищенные ресурсы. Возможность проверки протокола (HTTPS или HTTP) предоставляет сотруднику дополнительное основание для самостоятельной оценки риска.
К ограничениям исследования следует отнести отсутствие строгой рандомизации, различие во времени проведения измерений, короткий период наблюдения и привязку к одной организации. Дополнительно отмечается, что кнопкой воспользовались лишь 9,3 % сотрудников, что указывает на необходимость более заметного размещения элемента интерфейса и поддерживающих напоминаний.
Заключение
Проведенное исследование позволило обосновать три положения.
Первое. Наличие проблемы подтверждается эмпирически: в контрольной группе 23,3 % сотрудников перешли по фишинговой ссылке, что согласуется с выводами работ [1, 2, 3] о человеческом факторе как ведущей уязвимости.
Второе. Традиционные меры — курсы, инструктажи и политики безопасности — не обеспечивают устойчивого эффекта: знания со временем утрачиваются, а в критической ситуации решение часто принимается импульсивно.
Третье. Предложенный метод демонстрирует результативность: функция подтверждения перехода с проверкой ссылки сократила долю переходов на 36,9 %; различия статистически значимы (p < 0,05). Практическая значимость. Реализация метода возможна с использованием штатных средств Outlook (макросы VBA) без привлечения дорогостоящих разработок. Для подразделений информационной безопасности это означает, что относительно простой инструмент способен заметно снизить число фишинговых инцидентов. Полученные данные также указывают, что прицельное усиление интерфейсных механизмов может оказаться сопоставимо по эффекту с более затратными решениями, тогда как добавление функции проверки ссылки выступает минимальным по стоимости вмешательством.
Перспективы дальнейших исследований связаны с оценкой долговременного эффекта метода, а также с разработкой подходов, повышающих вовлеченность сотрудников в регулярное использование функции проверки ссылок.
Литература:
- Бегишев И. Р. Культура информационной безопасности: психолого-правовой аспект // Психология и право. — 2021. — Т. 11, № 4. — С. 207–220.
- Денисов Н. А. Фактор человеческого воздействия на безопасность: тактики социальной инженерии // Международный журнал информационных технологий и энергоэффективности. — 2024. — Т. 9, № 9(47). — С. 47–51.
- Карпова Н. Е., Восканян И. И. Угроза социальной инженерии и фишинга в современной информационной безопасности // Безопасность цифровых технологий. — 2024. — № 2. — С. 69–78.
- Заозерский А. А. Методы противодействия фишингу и социальной инженерии в корпоративной среде // Международный журнал информационных технологий и энергоэффективности. — 2025. — Т. 10, № 7. — С. 58–61.
- Зорин В. А. Эволюция сценариев атаки с использованием методов социальной инженерии // XIV всероссийское совещание по проблемам управления ВСПУ-2024. — Москва, 2024. — С. 3332–3336.
