
Фишингът е бизнес риск, а не само технически проблем. Един успешно подведен потребител може да даде достъп до поща, фактури, банкови инструкции, клиентски данни или вътрешни документи. Затова защитата не трябва да се свежда до съвета „внимавайте какво отваряте“.
Съвременните атаки имитират доставчици, партньори и страници за вход в облачни услуги. Често нямат правописни грешки, използват реални компрометирани пощенски кутии и разчитат на спешност: плащане, доставка, изтекла парола или необичайна инструкция от управител.
Как изглежда съвременната атака
Целта обикновено е една от четири: отваряне на файл, натискане на линк, въвеждане на парола във фалшива страница или потвърждение на плащане. Понякога нападателят не търси незабавна щета, а тих достъп до кореспонденцията, докато се появи възможност за измамна промяна на банкова сметка.

Първи слой: удостоверяване на домейна
Има три широко използвани механизма, които помагат на получаващите пощенски системи да проверят дали писмото наистина е изпратено от фирмата, която твърди, че стои зад него. SPF (правило, което посочва кои сървъри имат право да изпращат поща от даден домейн), DKIM (цифров подпис, който показва, че писмото не е било променено по пътя) и DMARC (правило за обработване на съобщения, които не преминават тези проверки).
Тези защити не спират всяка измама: нападателят може да използва друг, на пръв поглед нормален домейн. Те обаче намаляват злоупотребата с името на фирмата и правят легитимната кореспонденция по-разпознаваема. Настройването им е работа за техническия екип или пощенския доставчик, но за бизнеса ползата е ясна: по-малък риск някой да изпраща писма от ваше име.

Втори слой: филтриране и защита на пощата
Дори коректно удостоверена поща може да бъде злонамерена. Затова пощенската платформа трябва да проверява линкове, прикачени файлове, новорегистрирани домейни, имитация на податели и необичайно външно препращане.
В Microsoft 365 това означава да се преглеждат защитите срещу фишинг, нежелана поща и зловредни файлове, както и защитата срещу имитиране на ключови служители и партньорски домейни. Филтърът не е настройка „сложи и забрави“: нужен е периодичен преглед на писмата, които са били задържани по погрешка, и ясни правила за доверени податели.

Трети слой: сигурен вход в акаунтите
Многофакторното удостоверяване (MFA) добавя втора проверка при вход, например приложение на телефона, ключ за сигурност или биометрично потвърждение. То е задължително за работните акаунти, но различните му варианти не дават еднаква защита.
Код, който потребителят може да препише във фалшива страница, също може да бъде прихванат. По-сигурният вариант е ключ за вход по стандартите FIDO2 / WebAuthn (начин за вход с криптографски ключ вместо преписван код) - физически ключ или ключ, съхранен в устройството. Той е криптографски свързан с истинския адрес на сайта и не работи на имитация на този адрес.
За администратори, финанси и техническия екип е разумно да се използва хардуерен ключ или ключ за вход, обвързан с конкретно устройство. За останалите служители ключ за вход или приложение за удостоверяване е по-добър избор от текстов код по SMS (кратко текстово съобщение). Потвърждението с число в приложение е добра междинна мярка, но не е равностойно на FIDO2.

Четвърти слой: човешки процес и втори канал
Служителите не са длъжни да разпознават всяка атака. Трябва да знаят кога да спрат и как да проверят. За 20 секунди могат да се проверят реалният адрес на подателя, домейнът на линка, неочакваните прикачени файлове, спешният тон, искането за парола или промяна в платежна информация.
Най-важното правило е просто: при съмнение проверката става през втори канал, а не с отговор на същия имейл. Обаждане на известен номер, съобщение в Teams или проверка във вътрешната система за поръчки, клиенти или счетоводство е по-надеждна от бутон „Отговори“.

Финансовият процес спира измамните плащания
Измамата чрез компрометирана бизнес кореспонденция (BEC) често не завършва с криптиране на файлове, а с измамно плащане. Нападателят наблюдава кореспонденцията и изчаква подходящ момент да изпрати правдоподобна инструкция. Промяна на IBAN (международния номер на банкова сметка), нов доставчик или необичайна авансова фактура не трябва да се одобряват само по имейл.
- Промяната на банкова сметка се потвърждава по познат телефонен номер от договор или вътрешна система.
- За нов доставчик и необичайна сума има втори одобряващ.
- Одобрението се записва в система, а не остава само като устно потвърждение.
- За първи превод към нов контрагент има лимит или допълнителна проверка.
Когато все пак се случи: план за реакция
Ако служител е въвел парола във фалшива страница, времето е критично. Нужни са смяна на паролата, прекъсване на активните сесии, проверка за непознати методи за вход, правила за пренасочване и скриване на поща, делегирания и дадени разрешения на външни приложения.
Следва преглед на изпратените писма и предупреждение към засегнатите партньори. При отворен файл се проверява и работната станция. Добре описаният план превръща хаотичните действия в последователни стъпки.

Практичен минимум за следващите 30 дни
- Включете многофакторно удостоверяване за всички акаунти и използвайте ключ за сигурност за администратори, финанси и техническия екип.
- Настройте защита на фирмения домейн, така че получателите да могат да разпознават легитимната ви поща.
- Прегледайте филтрите за фишинг, спам и зловредни файлове; добавете защита срещу имперсонация.
- Забранете автоматичното препращане на поща към външни адреси без бизнес причина.
- Напишете едностранична процедура за съмнителен имейл и за промяна на банкови данни.
- Правете кратки, редовни обучения с реални примери вместо една годишна презентация.
Фишингът няма да изчезне. Целта е успешната атака да бъде трудна, скъпа за нападателя и бърза за откриване при вас.
