Phishing-тесты: как не переступить черту

Тема пришла из обсуждения на Reddit: пользователи r/sysadmin спорили о том, как правильно проводить phishing-тесты. Пост набрал много голосов — значит, тема задела.

Как это вообще случилось

Один из администраторов, VP по информационной безопасности, проводил phishing-тесты в компании. Он решил проверить сотрудников на прочность и отправил им письмо о том, что у одного из них серьёзно пострадал близкий родственник. 38% сотрудников поверили и кликнули на ссылку.

«Серьёзные threat actors не будут стесняться. Они будут использовать эмоции, срочность, дефицит, чтобы получить информацию.» — из поста на Reddit

Почему это важно

Phishing-тесты нужны, чтобы научить сотрудников не кликать на подозрительные ссылки. Но как их правильно проводить, чтобы не навредить людям?

Статистика

По данным APWG, в 2025 году было зафиксировано 3,8 миллиона phishing-атак. Это на 4% больше, чем в 2024 году.

Анализ рынка: что уже существует

В России

• Check Point — решения для защиты от киберугроз, включая phishing.
• PhishGrid — сервис для проведения phishing-тестов.

За рубежом

• KnowBe4 — платформа для обучения сотрудников безопасности.
• PhishMe — сервис для проведения phishing-тестов.

Незакрытая ниша: нет русскоязычного сервиса для анализа эффективности phishing-тестов.

Читайте также

• FCC расширяет запрет на Wi-Fi роутеры: что это значит для России
• Bitwarden CLI npm package атака: почему взломали и что делать
• Bitwarden CLI подверглась атаке: что происходит с безопасностью в цепочке поставок