Проверить устойчивость сотрудников к фишингу можно без покупки автоматизированных решений. Шесть методов — от ручной отправки тестового письма до бесплатного пилота — дают разную глубину данных. Выбор зависит от размера команды, цели и времени, которое вы готовы потратить.
Что такое тест на фишинг для сотрудников
Тест на фишинг для сотрудников — это контролируемая проверка: компания отправляет сотрудникам имитацию фишингового письма (или использует другой канал социальной инженерии) и фиксирует реакцию. Цель — не наказать, а получить данные: кто переходит по ссылкам, кто вводит данные на поддельных страницах, кто сообщает о подозрительном письме в ИБ.
Без такого теста оценить устойчивость команды невозможно. Отсутствие инцидентов — не доказательство защищённости. Это отсутствие информации, которое выглядит как спокойствие.
По данным совместного исследования МегаФона и «Лаборатории Касперского», при тренировочных фишинг-рассылках 40% сотрудников переходили по подозрительным ссылкам, 10% вводили конфиденциальные данные. При этом среди обученных сотрудников по ссылкам переходили только 2%. Разница — в 20 раз — и есть эффект регулярного тестирования и обучения.
Подробнее о том, почему без проверки невозможно оценить риск — в статье Кто в компании кликнет на фишинг — как провести первую проверку.
Ниже — шесть способов провести тест на фишинг своими руками (или при использовании доступных вариантов). Каждый из них можно запустить без длительного согласования и больших бюджетов.
Способ 1. Отправка тестового письма вручную
Суть: вы сами составляете фишинговое письмо и отправляете его с тестового почтового ящика (или через внутренний домен). Ссылка ведёт на пустую страницу или трекер переходов.
Что нужно:
- Почтовый ящик, с которого можно отправить письмо сотрудникам (или договорённость с ИТ-отделом).
- Простой сценарий: «обновление пароля», «приглашение в корпоративный чат», «документ от HR».
- Способ зафиксировать переходы: укороченная ссылка с трекингом, UTM-метка или простейший лендинг с логом.
Что покажет:
- Кто перешёл по ссылке.
- Примерную долю «кликнувших» от общего числа получателей.
Плюсы:
- Бесплатно.
- Можно запустить за 1–2 часа.
- Не требует установки софта.
Минусы:
- Нет данных о том, кто ввёл данные (только клик).
- Нет автоматической отчётности.
- Сценарий один — сложно масштабировать.
- Без согласования с руководством может вызвать конфликт.
Для кого подходит: команды до 30 человек, где нужно просто убедиться, что проблема существует.
Способ 2. Open-source платформа (GoPhish)
Суть: GoPhish — бесплатный инструмент с открытым кодом для проведения фишинг-симуляций. Устанавливается на собственный сервер. Позволяет создавать кампании, отслеживать переходы, ввод данных на поддельных формах и открытия писем.
Что нужно:
- Сервер (VPS или локальный) для установки
- Базовые навыки администрирования Linux
- Почтовый домен или relay для отправки
- Шаблоны писем и посадочных страниц (есть встроенные, но лучше адаптировать под компанию)
Что покажет:
- Клики, ввод данных, открытия.
- Разбивку по отделам (при корректной загрузке списков)
- Хронологию: кто кликнул первым, кто через сутки
Плюсы:
- Бесплатно (кроме стоимости сервера)
- Полноценные фишинг-кампании с метриками
- Гибкость: любые сценарии, любые шаблоны
Минусы:
- Требует технической экспертизы для развёртывания и настройки
- Нет готового контента на русском языке
- Нет встроенного обучения сотрудников после провала
- Поддержка — только community; за стабильность отвечаете сами
- Настройка доставляемости (SPF, DKIM, репутация домена) может занять дни
Для кого подходит: технически сильные ИБ-команды в компаниях 50–300 человек, которые готовы потратить 2–5 дней на развёртывание и хотят полный контроль.
Способ 3. Тест знаний: анкета, опрос, квиз
Суть: вместо симуляции атаки сотрудникам предлагается пройти тест: «распознай фишинг среди настоящих писем», «отметь подозрительные признаки», «что делать при получении такого письма».
Что нужно:
- Платформа для опросов (Google Forms, Яндекс.Формы, Typeform, корпоративная LMS)
- Или: мобильное приложение для самопроверки — например, Киберзащитник (доступен бесплатно, Google Play / App Store / RuStore). Приложение включает интерактивные сценарии распознавания фишинга, AI-ассистента для проверки подозрительных ссылок и мини-тесты с мгновенной обратной связью — сотрудник может пройти проверку самостоятельно за 5 минут
- Набор скриншотов реальных и тестовых писем.
- Шкала оценки: правильные / неправильные ответы.
Что покажет:
- Уровень теоретических знаний.
- Слабые места: путают ли сотрудники домены, замечают ли несовпадения в ссылках.
- Общую «картину осведомлённости» по компании.
Плюсы:
- Быстрый запуск (менее часа на подготовку; с мобильным приложением — менее 5 минут на сотрудника)
- Сотрудники не чувствуют себя «обманутыми».
- Можно использовать как pre-test перед симуляцией.
Минусы:
- Показывает знания, а не поведение. Человек может правильно ответить на quiz и всё равно кликнуть в реальной ситуации.
- Нет данных о реальном реагировании под давлением.
- Сотрудники могут угадывать или советоваться между собой.
Для кого подходит: как первый шаг или дополнение к симуляции. Хороший вариант, когда нужно «разогреть» тему перед запуском полноценного теста.
Способ 4. Анализ почтовых логов (пассивный мониторинг)
Суть: вместо симуляции вы анализируете, как сотрудники реагируют на реальный фишинг, который уже приходит. Смотрите логи почтового сервера: сколько подозрительных писем прошло фильтры, были ли переходы по внешним ссылкам, обращались ли сотрудники в ИТ/ИБ.
Что нужно:
- Доступ к логам почтового сервера или шлюза (Exchange, антиспам).
- Данные за 1–3 месяца.
- Критерии подозрительных писем (внешние домены-однодневки, типичные паттерны фишинга).
Что покажет:
- Реальный объём фишинга, который доходит до сотрудников.
- Были ли переходы по подозрительным ссылкам (если шлюз логирует клики).
- Кто из сотрудников сообщал о подозрительных письмах, а кто нет.
Плюсы:
- Не требует активного воздействия на сотрудников.
- Использует реальные данные, а не симуляцию.
- Можно провести ретроспективно.
Минусы:
- Зависит от возможностей почтового шлюза (не все логируют клики).
- Показывает общую картину, но не позволяет проверить конкретный сценарий.
- Невозможно измерить «кто бы ввёл данные» — только факт перехода.
- Не работает как управляемый эксперимент: нет контроля над условиями.
Для кого подходит: как фоновая активность для компаний, где уже настроен почтовый шлюз. Дополняет активное тестирование, но не заменяет его.
Способ 5. Физический тест: USB-флешка или звонок
Суть: проверяется устойчивость не только к email-фишингу, а к социальной инженерии в целом. Подбрасывается USB-флешка с трекером (скрипт, который сообщает о подключении), или проводится тестовый звонок от имени "ИТ-отдела", "бухгалтерии" или "отдела кадров".
Что нужно:
- USB-флешка с файлом, содержащим ссылку-трекер или скрипт-«маяк» (без вредоносного кода).
- Или: сценарий звонка и согласование с руководством.
- Способ зафиксировать реакцию: лог подключения, лог перехода по ссылке в файле.
Что покажет:
- Готовность сотрудника использовать неизвестный носитель.
- Готовность назвать данные по телефону незнакомому «коллеге из ИТ».
- Реакцию: сообщил ли сотрудник в ИБ или проигнорировал.
Плюсы:
- Проверяет поведение, а не знания.
- Показывает уязвимости за пределами email.
- Высокая убедительность результатов для руководства.
Минусы:
- Сложно масштабировать (подходит для выборочной проверки).
- Требует согласования.
- Может восприниматься сотрудниками негативно, если проведён без предупреждения.
- Не даёт количественной картины по всей команде.
Для кого подходит: компании, которые уже прошли email-тест и хотят проверить «периметр» шире. Или как демонстрация для руководства: «смотрите, какие каналы атаки реально работают».
Способ 6. Облачная платформа фишинг-симуляций — бесплатный пилот
Суть: вместо покупки подписки вы запрашиваете пилотный доступ к облачной платформе (обычно 14–30 дней). Платформа берёт на себя доставку, шаблоны, трекинг, отчётность и обучающие модули для тех, кто «провалился».
Что нужно:
- Заявка на пилот (обычно через форму на сайте вендора)
- Список email-адресов сотрудников (или подключение через AD/LDAP для автоматического импорта)
- От 30 минут на настройку первой кампании (зависит от платформы и сценария)
Что покажет:
- Полную картину: кто открыл, кто кликнул, кто ввёл данные, кто сообщил.
- Разбивку по подразделениям и ролям.
- Сравнение с benchmark (средние показатели по отрасли/размеру).
- Динамику: если запустить 2–3 волны за пилот — видна тенденция.
Плюсы:
- Не требует установки на своём сервере.
- Готовые сценарии и шаблоны (в том числе на русском языке).
- Автоматические отчёты — можно сразу показать руководству.
- Встроенное обучение: сотрудник, который кликнул, сразу получает короткий обучающий модуль.
- Пилот бесплатный — можно принять решение на основе реальных данных, а не презентации.
Минусы:
- Пилот ограничен по времени.
- Для масштабного запуска потребуется подписка.
- Нужно выбрать платформу (сравнение требует времени).
Для кого подходит: компании от 30 человек, которые хотят проверить устойчивость команды с полноценной отчётностью, но не готовы сразу покупать подписку.
Подробнее о том, как выбрать платформу, мы писали в статье "Ошибки при выборе платформы фишинг-симуляций".
Сравнительная таблица методов
| Метод | Стоимость | Время на запуск | Глубина данных | Масштабируемость | Для команды |
|---|---|---|---|---|---|
| Тестовое письмо своими руками | 0 ₽ | 1–2 часа | Низкая (только клик) | Низкая | до 30 чел. |
| GoPhish или аналог | 0 ₽ + сервер | 2–5 дней | Высокая | Средняя | 50–300 чел. |
| Quiz / анкета / приложение "Киберзащитник" | 0 ₽ | 30–60 мин | Теория, не поведение | Высокая | любой размер |
| Анализ логов | 0 ₽ | 2–4 часа | Средняя (ретро) | — | любой размер |
| Физический тест | 0–5 000 ₽ | 1–3 дня | Высокая (выборка) | Низкая | выборочно |
| Облачная платформа (пилот) | 0 ₽ (пилот) | от 15 мин | Максимальная | Высокая | от 50 чел. |
Какой способ выбрать
Выбор зависит от трёх параметров:
1. Размер команды. Если меньше 30 человек — достаточно ручного теста или quiz. Если 50+ — стоит рассмотреть GoPhish или облачный пилот: ручная работа перестаёт масштабироваться.
2. Цель проверка
- «Убедиться, что проблема есть» → DIY-письмо или quiz.
- «Получить данные для отчёта руководству» → облачная платформа или GoPhish.
- «Проверить шире, чем email» → физический тест как дополнение.
3. Техническая экспертиза. GoPhish требует навыков администрирования. Если их нет — облачная платформа с пилотом даст тот же результат за меньшее время.
Что делать с результатами
Тест — не цель. Цель — принять решение. После первого теста у вас появятся данные. Вот минимум, который стоит зафиксировать:
- Доля кликнувших (% от отправленных). Это ваш базовый уровень
- Группы риска — отделы или роли, где доля кликов выше средней.
- Реакция: сколько человек сообщили о подозрительном письме.
На основе этих данных можно:
- Показать руководству реальную картину (не «все вроде понимают», а конкретный процент и риски).
- Запланировать точечное обучение для групп риска, а не «обучение для всех подряд».
- Сравнить результаты через 1–2 месяца — и увидеть динамику.
Подробнее о метриках и циклах проверки — в статье Как запустить фишинг-рассылку в компании: сценарий, симуляции, метрики и отчёты.
Частые ошибки при первом фишинг-тесте
- Запуск без согласования. Даже тестовая рассылка может вызвать панику или жалобы, если руководство не предупреждено. Согласуйте с руководством до запуска.
- Слишком сложный сценарий. Для первого теста достаточно одного простого письма. Не нужно имитировать APT — задача увидеть базу, а не поймать всех.
- Наказание за результат. Если сотрудник увидит, что его «поймали» и наказали, — в следующий раз он не сообщит о реальном фишинге. Тест — это диагностика, а не ловушка.
- Один тест без продолжения. Одна проверка — это снимок. Устойчивость формируется через регулярные циклы: тест → обучение → повторный тест.
Если в компании больше 30 сотрудников и вы хотите получить реальные данные, а не опираться только на ощущения, то самый быстрый путь к полной картине — это бесплатный пилот на облачной платформе. За 30 дней увидите, кто и в каких отделах кликает, кто вводит данные и кто сообщает в ИБ о фишинге — без установки софта.
Записаться на демо платформы Avareange в два клика
Частые вопросы о фишинг-симуляциях
Нужно ли предупреждать сотрудников перед тестом? Сотрудников — нет (иначе тест теряет смысл). Руководство и юристов — да. Тестовая фишинг-рассылка — стандартная практика, но без согласования может вызвать вопросы.
Законно ли отправлять тестовые фишинговые письма сотрудникам? Да, если тест проводится по инициативе работодателя, не собирает персональные данные и не причиняет ущерба. Большинство компаний фиксируют такую проверку как часть внутренней политики ИБ.
Какой процент кликов считается нормальным? По данным отраслевых отчётов, при первом тесте в компаниях без опыта фишинг-симуляций типичный диапазон — 20–40%. После нескольких циклов «тест + обучение» он снижается до 5–15%. Цель — не ноль (это нереалистично), а стабильное снижение и рост доли сообщений о подозрительных письмах.
Сколько сотрудников нужно для статистически значимого теста? Для компании 50–100 человек рекомендуется тестировать всех (или 80%+). Выборка из 10 человек не даст надёжной картины.
