Слайд 3. Фазы T+0 до T+15: реакция и анализ

Блок 2. Симуляция «Призрак в Telegram» Фазы T+0 до T+15: реакция и анализ Слайд 3 / 12

T+0 МИН

Момент истины: что делает опытный руководитель

❌ Неправильно (импульсивно)

Выполнить просьбу, потому что «это же директор и срочно»

✅ Правильно (осознанно)

Распознать комбинацию триггеров (срочность + авторитет + секретность + запрет на проверку), это классический почерк атаки, не нормальный рабочий запрос

Ключевое действие: не выполнять, инициировать верификацию по второму каналу

Сам по себе запрет «не звоните», главный красный флаг. Легитимный руководитель не запрещает себя проверить.

T+5 МИН

Анализ: признаки дипфейка и социнженерии

Технические признаки дипфейка:

🔍Неестественная мимика и моргание

🔍Рассинхрон губ и звука

🔍Артефакты на границах лица

🔍Неизменная интонация

🔍Отказ повернуться в профиль

Контекстные признаки социнженерии:

⚠️Необычный канал для такого запроса

⚠️Запрос на обход процедур

⚠️Искусственная срочность

⚠️Давление авторитетом

⚠️Требование секретности

Не нужно быть экспертом по дипфейкам. Контекстные признаки надёжнее технических. Процесс важнее технологии.

T+15 МИН

Кто виноват, если атака удалась?

Виноват не сотрудник, который выполнил запрос. Виновато отсутствие культуры второго канала связи (out-of-band verification).

Если в компании нет правила обязательной верификации критических запросов по независимому каналу, то рано или поздно кто-то выполнит мошеннический запрос, это вопрос времени, а не бдительности.

Ключевой управленческий сдвиг: Перестаём винить «глупого сотрудника» и начинаем строить систему, в которой ошибка одного человека не приводит к катастрофе. Ровно как в физической безопасности: не виним охранника, а строим процедуру с дублированием контроля.

Фазы T+0 и T+5 дают реакцию на конкретный инцидент. Фаза T+15 меняет вопрос: от «кто виноват» к «какая система позволила этому случиться». Это и есть управленческий подход.