Дипфейки в корпоративной среде: когда ИИ помогает обойти аутентификацию
Дипфейки в корпоративной среде: когда ИИ помогает обойти аутентификацию
В феврале 2024 года финансовый сотрудник гонконгского офиса британской компании Arup провёл видеоконференцию с финансовым директором и коллегами. После звонка он перевёл 25 миллионов долларов на счета мошенников. Все участники видеозвонка, кроме него самого, оказались дипфейками. К 2026 году подобные атаки докатились до российского бизнеса. По данным BI.ZONE, в первом квартале 2026 года 42% целевых атак на компании в РФ связаны со шпионажем, и значительная часть из них опирается на генеративный ИИ.
Стоимость голосового клона за два года упала с тысячи долларов до нескольких. Доступные модели генерируют видео в реальном времени по 10 секундам исходной записи. Атакующие комбинируют дипфейк с фишинговой ссылкой и социальной инженерией. Цель почти всегда одна, это корпоративный доступ.
Принцип первый: убрать пароли из памяти сотрудников
Дипфейк не взломает криптографию. Он атакует человека. Поддельный «директор» в Telegram-звонке просит срочно сбросить пароль и продиктовать его, поддельный «безопасник» из ИТ требует ввести данные на «обновлённой» странице SSO. Защита здесь работает на простом принципе. Если сотрудник не знает пароль наизусть, он не может его продиктовать.
BearPass генерирует пароли длиной от 16 до 64 символов с обязательными спецзнаками. Сотрудник копирует пароль одним кликом или подставляет его через браузерное расширение 1.11.0 (Chrome, Яндекс.Браузер, Firefox, Opera, Edge). Расширение принципиально важно для защиты от фишинга. Оно подставляет пароль только на правильном домене. Если поддельный «корпоративный портал» открыт по адресу sso-company.ru вместо настоящего sso.company.ru, поля не заполнятся, и это уже сигнал.
Принцип второй: видеть, что происходит в реальном времени
Удачная дипфейк-атака часто обнаруживается через несколько дней. К этому моменту атакующие уже зачистили следы. Чтобы выявить инцидент быстро, нужен полный журнал действий с доступами.
BearPass ведёт детальный журнал событий: кто открыл пароль, кто скопировал, кто изменил, с какого IP, в какое время. Через syslog данные передаются в SIEM (KUMA, MaxPatrol SIEM, QRadar, Splunk). Аналитики настраивают правила: массовый просмотр паролей одним пользователем, доступ из необычной геолокации, копирование критичного актива вне рабочих часов. Аномалия попадает в очередь немедленно, а не через неделю по итогам ручного аудита.
Готовьтесь к атакам нового типа
ИИ-атаки на бизнес становятся массовыми. BearPass развёртывается за 1-2 часа в Docker или нативно на Astra Linux, РЕД ОС, Debian, Ubuntu. Реестр Минцифры №15427, шифрование по ГОСТ и AES-256-GCM.
Когда инцидент подтверждён, счёт идёт на минуты. Атакующий с действующим доступом за два часа выгружает базу клиентов, копирует ключи API и устанавливает в инфраструктуру средство удалённого доступа.
В BearPass Kill Switch отключает учётную запись одной кнопкой. Все привилегии, ассоциированные с этим пользователем, прекращаются сразу. Дальше администратор запускает массовую ротацию паролей, к которым у скомпрометированного пользователя был доступ. Модуль «Правила» отправляет автоуведомления владельцам ресурсов, чтобы они проверили активность на своих системах. Без менеджера паролей этот сценарий занимает дни. С BearPass, минуты.
Принцип четвёртый: сократить площадь атаки через SSO
Чем меньше уникальных паролей знает сотрудник, тем меньше он может выдать под давлением. Единая точка входа сводит десятки логинов к одному. Дальше задача защитить именно её.
BearPass интегрируется с SAML SSO (Keycloak, Мультифактор) и REST API через OpenID Connect с JWT-токенами. Главный пароль от хранилища защищён вторым фактором. LDAP, Active Directory и ALD Pro подключаются штатно. Это значит, что увольнение сотрудника в кадровой системе автоматически отзывает его доступ к паролям, и злоумышленник с поддельным дипфейком уволенного сотрудника не сможет ничего получить.
Готовьтесь к атакам нового типа
ИИ-атаки на бизнес становятся массовыми. BearPass развёртывается за 1-2 часа в Docker или нативно на Astra Linux, РЕД ОС, Debian, Ubuntu. Реестр Минцифры №15427, шифрование по ГОСТ и AES-256-GCM.
Технологии работают, когда подкреплены процессом. Минимальный набор для защиты от дипфейков выглядит так. Кодовые слова для голосовой верификации операций выше определённого порога (например, 500 тысяч рублей). Запрет на передачу паролей и одноразовых кодов любым каналом, включая SMS, мессенджеры и видеозвонки. Регулярная проверка журналов BearPass на доступы вне рабочего времени. Обучение сотрудников распознавать дипфейки: артефакты в районе глаз, рассинхрон артикуляции и звука, неестественность интонации в стрессовых местах разговора.
Сравнение: до и после внедрения менеджера паролей
Ситуация
Без менеджера паролей
С BearPass
Сотрудник знает пароли наизусть
Да, может продиктовать
Нет, пароли в хранилище
Распознавание фишингового домена
Зависит от внимательности
Расширение 1.11.0 не подставит пароль
Время отзыва доступа
Часы или дни
Минуты через Kill Switch
Видимость подозрительных действий
Отдельные системы, ручной аудит
SIEM получает события через syslog
Массовая ротация паролей
Ручная, рассылка коллегам
Несколько кликов администратора
Часто задаваемые вопросы:
Может ли дипфейк взломать BearPass напрямую?
Нет. Дипфейк, это инструмент социальной инженерии. Он не атакует криптографию AES-256-GCM или ГОСТ, на которой работает BearPass. Атака идёт через сотрудника. Убедить выдать пароль, заставить ввести его на фишинговом сайте, получить одноразовый код.
Защитит ли SSO от дипфейк-атаки?
Частично. SSO сокращает количество паролей, которые сотрудник знает наизусть, до одного. Главный пароль остаётся целью атаки. Дополнительная защита через MFA и поведенческую аналитику в SIEM обязательна.
Что делать, если сотрудник передал пароль по поддельному звонку от директора?
Немедленно отключить учётную запись через Kill Switch, ротировать все пароли, к которым у неё был доступ, проверить журнал событий BearPass за последние 72 часа. При затрагивании персональных данных направить уведомление в Роскомнадзор в течение 24 часов. По 152-ФЗ задержка уведомления влечёт отдельный штраф до 3 миллионов рублей.
Сколько стоит защита команды до 5 человек?
Бесплатно. BearPass on-premise работает без ограничений по времени для команд до 5 пользователей. Это покрывает потребности небольшого ИТ-отдела или стартапа. При росте, 2 160 рублей за пользователя в год, при продлении 1 080 рублей.
Защитите доступы до следующего инцидента
BearPass входит в Реестр ПО Минцифры (№15427), шифрует по ГОСТ и AES-256-GCM, разворачивается на Astra Linux, РЕД ОС, Debian и Ubuntu за 1-2 часа. Более 500 компаний-клиентов уже используют решение.