Школьники и студенты колледжей Центрального и Приволжского федеральных округов чаще всего становятся целями киберпреступников. На эти два региона пришлось более половины всех заблокированных обращений к вредоносным ресурсам по стране. С 23 февраля по 17 мая 2026 года SWG-система «Secure Web Gateway» Solar webProxy, которая уже защищает более 50 тыс. школ и колледжей в единой сети передачи данных (ЕСПД), заблокировала 32,1 млрд таких обращений во всех округах России. При этом Solar webProxy пресекает более 98% угроз ещё до загрузки файла на устройство.
От 60% до 85% блокировок связаны с «малвертайзингом» – вредоносной веб-рекламой. Отдельный тренд – рост интереса к ИИ-сервисам: за два месяца система зафиксировала 51,6 тыс. попыток обращений к DeepSeek, ChatGPT и Perplexity. Обращение к ИИ-сервисам SWG-система «Солара» выделяет в отдельную категорию: доступ к ним в школах регулируют правила фильтрации трафика, а сами сервисы к вредоносным ресурсам не относятся.
Как устроена защита: требования Минпросвещения и технологии
Фильтрация интернет-трафика в школах и колледжах строится на основе Методических рекомендаций Минпросвещения России, которые направлены на блокировку контента, вредящего здоровью и развитию детей или не соответствующего учебным задачам. Рекомендации реализует SWG-система Solar webProxy. Она анализирует трафик, распределяет сайты по тематическим категориям, использует «постоянный белый», «временный белый» и «чёрные списки» для настройки доступа и проверяет загружаемые файлы антивирусом. Благодаря этому защита в ЕСПД работает на опережение и блокирует угрозы до того, как они достигают устройств учащихся.
Школьники Центра и Поволжья – больше половины блокировок
Аналитики ГК «Солар» проанализировали трафик устройств, подключённых к ЕСПД, за период с 23 февраля по 17 мая 2026 года. Под обращением SWG-система понимает каждую попытку устройства открыть запрещённый или заражённый ресурс. Такие запросы создают сами учащиеся и учителя, когда переходят на заблокированные сайты, а также программы на их гаджетах, которые обращаются к подобным ресурсам автоматически, в фоновом режиме. Больше всего таких обращений Solar webProxy заблокировала на устройствах из Центрального и Приволжского федеральных округов — по 8,9 млрд (около 27,7%) в каждом, то есть более половины всех зафиксированных попыток по стране. В Южном федеральном округе система заблокировала 4,9 млрд обращений (15,3%), в Сибирском — 3,8 млрд (11,9%). Уральский округ — 2,1 млрд (6,5%), Дальневосточный — 1,9 млрд (5,9%), Северо-Западный — 1,6 млрд (5%).
В среднем решение «Солара» блокирует 1,6 млрд обращений к вредоносным ресурсам в неделю, однако на пике — с середины марта по середину апреля — этот показатель достигал 4,9 млрд. Всплески совпали с периодом подготовки к пробным ЕГЭ, ОГЭ и ВПР. Злоумышленники наращивали массовые рассылки, заражали легитимные сайты и усиливали малвертайзинг. В начале мая активность снизилась из-за праздничных выходных.
«Школьники ищут готовые ответы к пробным экзаменам и переходят на заражённые ресурсы, скачивают файлы с вредоносным кодом. Мошенники распространяют такие ссылки через рекламу в социальных сетях и маскируют заражённый код в файлах, которые дети загружают на устройства», — поясняет Анастасия Хвещеник, руководитель продукта Solar webProxy ГК «Солар».
Малвертайзинг: как реклама заражает школы
Малвертайзинг остаётся главным каналом доставки вредоносного контента в школах и колледжах. На веб-рекламу приходится от 60% до 85% всех блокировок в зависимости от недели и региона. Киберпреступники легально покупают рекламные места на популярных сайтах и размещают заражённые баннеры или скрипты. Переход по такому объявлению запускает загрузку вредоносного кода на устройство.
На втором месте — вредоносный контент, который злоумышленники распространяют через социальные сети (до 20% блокировок). Злоумышленники взламывают аккаунты блогеров, запускают таргетированную рекламу, рассылают вредоносные ссылки и файлы от имени друзей. Дети доверяют сообщениям от знакомых, и это повышает результативность атак.
До 7% блокировок приходится на угрозы, которые распространяются через мессенджеры — Telegram и Zoom. В школах доступ к ним ограничен, однако и сами учащиеся, и злоумышленники пытаются использовать эти каналы для обмена файлами и ссылками, в том числе вредоносными.
Киберпреступники также используют временные или редко посещаемые домены для размещения фишинговых страниц и вредоносного ПО — на такие сайты приходится от 2% до 5% блокировок. В категории «Поисковые системы и порталы» (Яндекс, Google, Mail.ru) Solar webProxy блокирует до 4% обращений, причём речь идёт не о самих поисковиках, а о вредоносных редиректах: переход по заражённой ссылке из поисковой выдачи или рекламного блока перенаправляет пользователя на фишинговый сайт.
Невысокую, но стабильную долю (до 3%) занимает категория «Вредоносное ПО и вирусы» — трояны, программы-вымогатели и шпионское ПО. Низкий процент объясняется тем, что большинство атак проходит через рекламу и соцсети, а сам вредоносный файл система блокирует ещё до идентификации — на этапе «неизвестного файла».
Отдельная категория, которую Solar webProxy зафиксировала впервые, — «Анонимные прокси и VPN» (до 2% блокировок, преимущественно в ЦФО и ПФО). Учащиеся используют эти инструменты для обхода школьных ограничений и доступа к соцсетям или играм. Те же технологии применяют злоумышленники для маскировки командных серверов. Например, если школа не блокирует такие каналы, заражённые устройства могут получать команды — на кражу паролей или шифрование файлов.
До 1,5% блокировок связано с рекламными модулями-шпионами (adware) и спам-рассылками. Чаще всего заражение происходит при скачивании бесплатных программ или игр с торрент-ресурсов, где киберпреступники маскируют вредоносный код под легальное ПО.
«Доверие детей — главный канал атак. Киберпреступники создают поддельные страницы игр, конкурсов и «ответов на экзамены», рассылают вредоносные ссылки от взломанных аккаунтов одноклассников. Solar webProxy блокирует обращения к заражённым ресурсам на раннем этапе, но одних технологий недостаточно — нужно системное повышение киберграмотности детей и учителей», — отмечает Анастасия Хвещеник, руководитель продукта Solar webProxy ГК «Солар».
Блокировка до загрузки: борьба с неизвестными и зашифрованными файлами
Помимо атак через рекламу, злоумышленники активно распространяют вредоносные файлы. Solar webProxy блокирует их ещё на этапе запроса — до загрузки на устройство. Более 98% таких блокировок приходится на категорию «Неизвестный файл». Школьники скачивают подобные файлы в поиске ответов к экзаменам, рефератов, нелицензионных игр или бесплатного ПО, а злоумышленники маскируют вредоносный код под нейтральные названия — например, «otvety.exe» или «shpargalka.zip».
Остальные блокировки распределяются так: «пустые» или слишком крупные файлы (0,5–1,5%) — это тестирование защитных механизмов или попытка передать крупную вредоносную нагрузку; текстовые форматы (HTML, XML, JSON) — 0,5-1,2% — в них размещают фишинговые формы и скрипты перехвата данных; JavaScript-скрипты — до 0,5% — через них подгружают вредоносную рекламу, крадут пароли и перенаправляют на поддельные сайты.
«В версии Solar webProxy 4.5 мы усилили защиту от зашифрованных архивов. Теперь любой зашифрованный архив, в котором может скрываться вредоносный код, система блокирует автоматически – независимо от содержимого. Школа получает надёжный барьер без дополнительных затрат», — отмечает Анастасия Хвещеник.
Кто использует нейросети: школьники или киберпреступники?
Школьники и студенты колледжей всё активнее обращаются к нейросетям: ищут информацию для докладов, изучают языки, пишут код для учебных проектов. Параллельно злоумышленники используют ИИ-инструменты для создания фишинговых писем, генерации вредоносных скриптов и автоматизации атак через открытые API.
За период с 23 марта по 17 мая 2026 года Solar webProxy зафиксировала 51,6 тыс. обращений учащихся к ИИ-сервисам. Это попытки открыть такие сервисы; случаи заражения или скачанные вредоносные файлы, которые SWG-система учитывает отдельно. Больше всего запросов зафиксировано в Приволжском федеральном округе — 14,9 тыс. (около 29%). Далее следуют Сибирский — 11,3 тыс. (22%) и Центральный — 9,9 тыс. (19%) округа. На остальные округа пришлось около 30% блокировок: Южный — 7,8 тыс. (15%), Уральский — 3,4 тыс. (7%), Дальневосточный — 2,6 тыс. (5%), Северо-Западный — 1,7 тыс. (3%).
Активность росла с конца марта и достигла пика в первую неделю мая — в период подготовки к экзаменам. Самым популярным сервисом среди учащихся стал DeepSeek (chat.deepseek.com) — на него пришлось более 65% всех заблокированных запросов к ИИ (33,6 тыс. обращений). На втором месте — российские сервисы-агрегаторы trychatgpt.ru и gpt-chatbot.ru с долей 8% (4,1 тыс. запросов). Тройку замыкает Perplexity AI — 5% (2,6 тыс. обращений). На эти три категории пришлось 78% всего заблокированного ИИ-трафика.
«Solar webProxy фильтрует исходящие запросы к нейросетям и входящие ответы от ИИ-сервисов, блокируя вредоносные скрипты, фишинговые страницы и опасный контент. С версии Solar webProxy 4.5 полученные данные об использовании нейросетей в школах и колледжах будут адаптироваться под политики безопасности», — поясняет Анастасия Хвещеник, руководитель продукта Solar webProxy ГК «Солар».
Пик блокировок пришёлся на подготовку к экзаменам, и по оценкам аналитиков, к новым учебным сезонам нагрузка на фильтрацию в ЕСПД будет повторяться. Solar webProxy блокирует угрозы до того, как они достигают устройств учащихся, и расширяет проверку новых каналов — от зашифрованных архивов до обращений к ИИ-сервисам.
ссылка на оригинал статьи https://habr.com/ru/articles/1043632/