«Кросстех»: фишинг и социальная инженерия остаются самой распространенной точкой входа
Эксперты «Кросстеха» составили перечень наиболее распространенных векторов первичного проникновения в информационную инфраструктуру компаний в первом полугодии 2026 г. на основе собственного проектного опыта и известных рыночных данных за обозначенный период. Фишинг и социальная инженерия остаются наиболее эффективной тактикой – получить доступ с их помощью удалось в 80% проектов. Об этом CNews сообщил представитель «Кросстеха».
При этом, указывают эксперты, доля проектов, в которых эксплуатация этой тактики привела к проникновению в инфраструктуру, уменьшилась на 10% по сравнению с 2025 г. На это оказали влияние работы по повышению осведомленности сотрудников в вопросах информационной безопасности, внедрение средств для автоматизированного противодействия фишингу, а также развитие систем управления доступом. В «Кросстехе» указывают – говорить о позитивной тенденции пока рано, однако снижение доли говорит о движении российских компаний в правильном направлении.
Примерно в 50% проектов специалистам «Кросстеха» по оценке защищенности удалось получить доступ через n-day уязвимости для которых уже выпущены патчи, однако не внедрены обновления. Такие уязвимости, как правило, возникают из-за конфликта между бизнес-процессами и информационной безопасностью, например, из-за использования критически важного, но устаревшего оборудования, для которого производитель перестал выпускать обновления безопасности. Доля проектов, в которых специалисты компании выявили подобные уязвимости, практически не изменилась по сравнению с 2025 г.
К перечню наиболее критических уязвимостей специалисты «Кросстех» также относят недостатки разграничения доступа и ошибки механизмов аутентификации. Такие уязвимости вшиты в бизнес-логику приложений и их сложно обнаружить автоматическими сканерами. Среди наиболее актуальных векторов выделяются следующие: различия во времени отклика и содержимом ответов сервера (позволяющие злоумышленникам определять существующие имена пользователей); BOLA (IDOR): когда подмена ID в запросе открывает доступ к чужим коммерческим или персональным данным; отсутствие разграничения доступа к функциям, позволяющее обычным пользователям выполнять администраторские действия; возможность компрометации вторых факторов авторизации (в частности подбор одноразовых SMS-кодов); слабая парольная политика — например, ситуации, когда формальные требования к сложности и длине паролей существуют, но не проверяется использование популярных паролей (Qwerty123!, Vesna2025#). В первой половине 2026 г. такие уязвимости встречались примерно в 65% инцидентов, что несколько превосходит показатели 2025 г.
«Наличие уязвимостей и возможности получить первичный доступ не всегда означает, что компания находится в опасности. Большая часть выявленных уязвимостей имеют низкий или средний уровень критичности. При этом компаниям важно знать о них и предпринимать меры по устранению. Совокупность нескольких уязвимостей низкой критичности или даже один небольшой недостаток в руках высококвалифицированного хакера может привести к значимому инциденту», – сказал Василий Коровицын, ведущий эксперт департамента оценки защищенности «Кросстеха».
Специалисты компании рекомендуют бизнесу проводить регулярный анализ защищенности, который позволит выявить не только возможные векторы первичного проникновения в инфраструктуру компаний, но и смоделировать потенциальные kill chain от разведки до реализации вредоносных действий – разрушения инфраструктуры, кражи данных и нанесения финансового и репутационного урона.





