Атаки на малый и средний бизнес участились, и ущерб от одного успешного взлома порой сопоставим с месяцами прибыли. При этом большинство компрометаций — не сложный хакинг, а банальный фишинг: сотрудник ввёл пароль на поддельной странице. Хорошая новость в том, что базовая защита недорогая и внедряется за несколько дней. Разберём её по слоям.

Почему одного пароля давно мало

Пароль крадут одним письмом со ссылкой на сайт-двойник. По данным крупных вендоров, двухфакторная аутентификация блокирует подавляющее большинство автоматических попыток захвата аккаунтов. Это первый и самый дешёвый рубеж — включить 2FA на всех рабочих сервисах стоит ноль рублей, а защищает от целого класса атак.

Не все вторые факторы одинаковы

SMS-код лучше, чем ничего, но у него есть слабые места: его перехватывают и выманивают социальной инженерией. Современные атаки «злоумышленник посередине» умеют красть даже одноразовый код прямо в момент входа. Поэтому приоритет такой:

  • код из приложения-аутентификатора надёжнее SMS;
  • аппаратный ключ или passkey надёжнее кода из приложения;
  • SMS оставляйте только там, где другого варианта нет.

Passkey: защита, которую нельзя выманить

Passkey (по стандарту FIDO2/WebAuthn) заменяет пароль криптографическим ключом, привязанным к устройству. Его невозможно ввести на поддельном сайте, потому что подпись проверяется по реальному домену. По публичным данным платформенных вендоров, passkey фактически сводит фишинг к нулю. Если сервис поддерживает passkey — включайте его в первую очередь для критичных аккаунтов: почты, админок, платёжных кабинетов.

Главное преимущество passkey: пользователю нечего вводить на поддельной странице, поэтому и красть нечего.

Менеджер паролей вместо стикеров и одной фразы

Менеджер паролей решает сразу две проблемы: хранит длинные уникальные пароли для каждого сервиса и не подставит их на чужой домен. Если адрес сайта отличается хотя бы на символ от настоящего, автозаполнение не сработает — и сотрудник сам заметит подмену. Что важно при внедрении:

  • сильный мастер-пароль и 2FA на самом менеджере;
  • отказ от общих паролей на всю команду;
  • отдельные доступы вместо «одного логина для всех»;
  • удаление доступов уволенных сотрудников сразу.

Базовая гигиена, которая закрывает большинство дыр

Технологии не помогут, если процессы дырявые. Минимальный набор практик:

  1. включить 2FA везде, где есть деньги или данные;
  2. перевести критичные аккаунты на passkey, где доступно;
  3. раздать сотрудникам менеджер паролей и запретить общие учётки;
  4. настроить резервное копирование важных данных;
  5. провести короткий инструктаж: как выглядит фишинговое письмо.

Обучение людей — не формальность

Самое слабое звено — человек в спешке. Покажите команде реальные примеры фишинга: поддельные домены, поддельные «письма от банка», срочность как приём давления. Договоритесь о простом правиле: при любом подозрении не переходить по ссылке из письма, а открывать сервис вручную через закладку.

Полная неуязвимость недостижима, но 90% типовых атак отбиваются базовыми мерами. Включите 2FA, переведите ключевые входы на passkey, раздайте менеджер паролей и научите людей узнавать фишинг — этого достаточно, чтобы перестать быть лёгкой мишенью.