Уязвимость, о которой молчат

Прошлой ночью я получил письмо. «Здравствуйте, это служба безопасности. Мы зафиксировали подозрительную активность. Подтвердите личность по ссылке». Ссылка вела на домен support-energу.com. Заметили подвох? Буква «у» вместо «y». Одна буква. Кириллица вместо латиницы. Идеальная имитация. Я не перешёл. Проверил заголовки письма. Отправитель — внешний домен. SPF не прошёл. Это фишинг. Но дело не в том, что я распознал атаку. Дело в том, что атака вообще дошла до моего ящика. Спам-фильтры пропустили. Это значит — кто-то другой уже попался. Я начал расследование. Отправитель использовал наш реальный шаблон письма. Текст — слово в слово как у нас. Логотип, цвета, подпись. Кто-то скопировал наш шаблон из публичного доступа. Я проверил. И нашёл: на тестовом стенде, который забыли закрыть, лежали наши шаблоны писем. Пароль — admin123. Индексация в Google — включена. Любой человек мог найти наши письма. Изучить структуру. Скопировать. И использовать для атаки. Мы закрыли стенд. Сменили все пароли. Добавили правило в спам-фильтр: блокировать домены с заменой букв. Но это не решение. Это симптом. Проблема в том, что безопасность — это не фаерволы и не антивирусы. Это дисциплина каждого. Разработчик оставил тестовый сервер открытым. Не подумал. «Это же тестовый, там ничего важного». Но там были шаблоны писем. А письма — это доверие пользователей. Менеджер не проверил, закрыт ли стенд после тестов. «Разработчики сами разберутся». Не разобрались. Команда не обучена фишингу. «Мы же технические специалисты, нас не обманешь». Обманут. Усталость, спешка, доверие к бренду — и один клик. Что я сделал: Написал инструкцию: «Как распознать фишинг». Не техническую. Простую. С примерами. Разослал всей компании. Организовал тренинг. Не скучный. С реальными примерами. С тестом: «Нажми на ссылку, если думаешь, что это безопасно». Половина команды нажала. Теперь знают. Добавил правило: любой внешний ресурс — только через VPN. Даже тестовый. Даже «на пять минут». Ввёл обязательную двухфакторную аутентификацию. Для всех. Даже для тестовых аккаунтов. Но самое важное — изменил культуру. Теперь любой может сказать: «Стоп. Это выглядит подозрительно». Без страха показаться параноиком. Безопасность — это не технологии. Это люди. И если вы не инвестируете в осознанность команды — вы уязвимы. Неважно, насколько хорош ваш фаервол. Если человек устал, он кликнет. Если человек доверяет, он введёт пароль. Если человек спешит, он не проверит домен. Защитите не только системы. Защитите людей.