Голосовой фишинг впервые обогнал email как главный вектор начального доступа. По данным Mandiant M-Trends 2026, классические фишинговые письма упали до 6 % подтверждённых случаев первичного проникновения, а вишинг вырос до 11 % (в облачных инцидентах - до 23 %). Между первым звонком и передачей доступа следующей группировке проходит в среднем 22 секунды. Не минуты. Двадцать две секунды - и один разговор превращается в полномасштабный инцидент.
Эта статья - навигационный хаб по всей теме социальной инженерии: от классических методов до техник, которые стали реальностью только в последний год. Каждый раздел - точка входа, откуда можно уйти в детальный разбор.
Навигатор по теме
| # | Подтема | Подробнее |
|---|---|---|
| 1 | Методы атак и практическая защита - фундаментальный обзор | Социальная инженерия: методы атак и практическая защита |
| 2 | QR-фишинг через linked devices в Signal - разбор техник APT | Взлом Signal аккаунта через linked devices: технический разбор QR-фишинга российскими APT-группировками |
| 3 | Обход KYC-верификации через дипфейки и инъекции | Обход KYC верификации: дипфейки, инъекции и социальная инженерия в атаках на системы идентификации |
| 4 | Фишинг через Telegram и Signal - тактики APT-групп | Фишинг через мессенджеры: как APT-группы атакуют Telegram и Signal и что с этим делать |
Что такое социальная инженерия и почему она доминирует в 2026 году
Социальная инженерия - не взлом системы, а взлом человека. Злоумышленник не ищет уязвимость в коде. Он ищет момент, когда сотрудник примет неверное решение: сбросит пароль по звонку, отправит документ в ответ на «срочную» просьбу руководителя, вставит команду в терминал по инструкции из браузера.В MITRE ATT&CK социальная инженерия охватывает целый кластер техник: от Phishing (T1566) и его подтехник - Spearphishing Attachment (T1566.001), Spearphishing Link (T1566.002), Spearphishing via Service (T1566.003), Spearphishing Voice (T1566.004) - до Phishing for Information (T1598) на этапе разведки, Impersonation (T1656) для обхода защитных мер и User Execution (T1204), когда жертва сама запускает вредоносный код.
Почему методы социальной инженерии работают? По данным Unit 42, 36 % всех инцидентов, расследованных в 2025 году, начались именно с неё. Файрволы, EDR, SIEM - всё это сильнее, чем когда-либо. Но атакующим не нужно их ломать. Достаточно позвонить на хелпдеск и представиться сотрудником. Scattered Spider (UNC3944), по данным того же M-Trends 2026, за один звонок на IT-поддержку поднималась до доменного администратора менее чем за 40 минут - без единого запуска вредоносного ПО.
Человеческий фактор в информационной безопасности - слабое звено не потому, что люди глупы. Атаки вписываются в нормальные рабочие процессы: сброс пароля, согласование платежа, обновление ПО. Каждое действие выглядит рутинным. Каждое может стать точкой компрометации.
Подробный разбор фундаментальных методов и защиты: Социальная инженерия: методы атак и практическая защита
10 видов социальной инженерии: полная классификация атак на человека
Виды социальной инженерии давно вышли за рамки «нигерийских писем». Вот систематизированная карта методов, актуальных в 2026 году:| Метод | Канал | Ключевой триггер | MITRE ATT&CK |
|---|---|---|---|
| Фишинг (массовый) | Невнимательность | T1566 | |
| Целевой фишинг (spear phishing) | Email, мессенджеры | Персонализация | T1566.001, T1566.002 |
| Вишинг (voice phishing) | Телефон | Авторитет, срочность | T1566.004 |
| Смишинг (SMS phishing) | SMS | Срочность | T1566.003 |
| Претекстинг | Любой | Доверие к легенде | T1656 |
| Baiting (ловушка) | USB, скачивания | Любопытство | T1204 |
| Quid pro quo | Телефон, чат | Взаимность | T1656 |
| Tailgating | Физический доступ | Вежливость | - |
| ClickFix | Браузер | Техническая тревога | T1204 |
| Deepfake-имперсонация | Видео, голос | Визуальное доверие | T1656 |
Каждый из этих методов - отдельная область экспертизы. Ниже разберу ключевые направления, а для погружения в конкретные техники - навигатор в начале статьи.
Фишинг, вишинг и смишинг: классическая триада получила голос
Фишинг атаки в 2026 году меняют облик. По статистике Anti-Phishing Working Group, во втором квартале 2025 года зафиксировано 1 130 393 фишинговые атаки - рост на 13 % к предыдущему кварталу. По данным Cofense, в 2024 году фишинговые системы обрабатывали в среднем одно вредоносное письмо каждые 42 секунды.Но главное изменение - не в количестве писем, а в смене канала. Вишинг - голосовой фишинг - впервые стал доминирующим вектором. Злоумышленники звонят на хелпдеск, представляются сотрудниками, просят сбросить MFA-токен или разблокировать учётку. Разговор длится три-пять минут. Никакого вредоносного ПО, никаких подозрительных вложений - только голос и убедительная легенда.
Смишинг развивается параллельно. Сотрудники получают SMS якобы от курьерской службы, банка или корпоративной системы. Ссылка ведёт на клон портала авторизации. На мобильных устройствах фильтрация заметно слабее, чем в корпоративной почте, а пользователи реагируют быстрее - по данным Verizon, медианное время клика по фишинговой ссылке после открытия письма составляет 21 секунду. Двадцать одна секунда - и учётка уже не ваша.
Чеклист распознавания (повесьте рядом с монитором):
- Входящий звонок с просьбой сбросить пароль или MFA - перезвоните по номеру из корпоративного справочника, не по тому, что назвал звонящий
- SMS со ссылкой от «банка» или «доставки» - откройте сервис через закладку браузера, не по ссылке из сообщения
- Письмо с вложением от знакомого отправителя, но с нехарактерным стилем - подтвердите по альтернативному каналу
- Любой запрос конфиденциальных данных с ощущением срочности - пауза на верификацию обязательна
Претекстинг и имперсонация: почему сотрудники верят звонящим
Претекстинг - искусство создания легенды. В отличие от массового фишинга, здесь злоумышленник заранее готовит историю, которая будет выглядеть правдоподобно для конкретной жертвы. Он изучает структуру компании через LinkedIn и hh.ru, знает имена руководителей, названия проектов, внутреннюю терминологию.В моей практике Red Team-операций самые результативные претексты строились на трёх элементах: знание внутренней «кухни» компании, правильный тон общения и эксплуатация иерархии. В российских организациях последний фактор - убийственный. Привычка исполнять указания «сверху» без лишних вопросов делает BEC-атаки (Business Email Compromise) разрушительно эффективными.
По данным FBI IC3, совокупные потери от BEC-атак с 2013 по 2023 год превысили 55,4 миллиарда долларов глобально. В 2024 году - 21 442 жалобы с потерями свыше 2,7 миллиарда долларов.
Имперсонация как техника (MITRE ATT&CK T1656) вышла далеко за пределы email. Злоумышленники создают клоны аккаунтов в Telegram и WhatsApp, используют spoofing телефонных номеров через VoIP, а теперь - генерируют голос руководителя с помощью AI. Типичный российский сценарий: бухгалтер получает сообщение от «генерального директора» в мессенджере с просьбой срочно оплатить счёт. Аватарка совпадает, стиль общения правдоподобен, а пометка «Не звони, я на совещании» блокирует верификацию. Красиво, если бы не было так грустно.
Если вы бухгалтер или финансист - правило одно: любой запрос на перевод свыше установленной суммы подтверждается голосом по телефонному номеру из корпоративного справочника. Не из сообщения, не из подписи письма - из справочника.
Deepfake и генеративный AI: обман стал индустриальным
Психологические манипуляции в кибербезопасности вышли на новый уровень с появлением доступных инструментов генеративного AI. Количество deepfake-файлов в открытом доступе выросло с 500 тысяч в 2023 году до более чем 8 миллионов в 2025 году. Это не лабораторная угроза - это конвейерное производство обмана.Реальные кейсы, задокументированные в 2025 году:
- Гонконг, январь 2025: мошенники клонировали голос финансового менеджера для звонка через WhatsApp. Жертва перевела порядка 145 миллионов гонконгских долларов (~18,5 млн USD) на подставные крипто-счета. Один звонок.
- CFO-мошенничество через видеозвонок: сотрудники мультинациональной компании участвовали в видеоконференции, где все участники, кроме жертвы, были deepfake-генерациями. Потери - 25,6 миллиона долларов (по данным CNN). Представьте: вы на совещании, все лица знакомые, все голоса знакомые - и всё это фейк.
- Обход голосовой биометрии: deepfake-аудио использовали для прохождения голосовой аутентификации банковских систем, что позволило провести несанкционированные операции на десятки миллионов.
Но не стоит впадать в панику вокруг AI. Mandiant в M-Trends 2026 прямо говорит: 2025-й не стал годом, когда взломы были прямым результатом AI. Подавляющее большинство успешных проникновений по-прежнему происходят из-за банальных вещей - слабой верификации личности, избыточных привилегий и непоследовательного применения MFA. AI делает социальную инженерию быстрее и убедительнее, но уязвимости, которые он эксплуатирует, существовали задолго до него.
Детальный разбор deepfake-атак на системы идентификации: Обход KYC верификации: дипфейки, инъекции и социальная инженерия в атаках на системы идентификации
ClickFix-кампании: рост на 517 % и пользователь как execution engine
Одна из самых неприятных тенденций 2025–2026 - ClickFix-атаки. По данным Cloud Range, их объём вырос на 517 % в 2025 году. Эти кампании не используют вредоносные вложения и не эксплуатируют программные уязвимости. Они эксплуатируют доверие пользователя к браузеру.Сценарий ClickFix-атаки:
- Пользователь ищет в поисковике что-то обычное - «Zoom installer», «Outlook login»
- Рекламная ссылка или отравленная поисковая выдача ведёт на клон легитимного сайта
- Сайт показывает предупреждение: «Обнаружена подозрительная активность» или фейковую CAPTCHA
- Пользователю предлагают «исправить проблему» - скопировать и вставить команду в терминал
- Команда запускает PowerShell-скрипт, устанавливающий RAT
Защитная мера: блокировка запуска PowerShell для пользователей без административных прав через GPO.
Set-ExecutionPolicy Restricted для пользовательских учёток - первый шаг. Но ещё важнее - вбить в голову: ни один легитимный сервис никогда не попросит вас копировать команду в терминал. Никогда. Если попросил - это атака.Многоканальные атаки и фишинг через мессенджеры
Социальная инженерия в 2026 году - не один канал. Это оркестрированная последовательность касаний через email, SMS, голос, мессенджеры и корпоративные платформы. Многоканальный подход повышает доверие жертвы на каждом этапе.Типичная многоканальная атака разворачивается в три стадии:
Стадия 1 - первичный контакт по доверенному каналу. Сообщение в Slack или Teams от «коллеги» с упоминанием реального проекта. Никаких ссылок, никаких вложений - только контекст. Прогрев.
Стадия 2 - подкрепление через второй канал. Через несколько минут приходит email или звонок, ссылающийся на первое сообщение. Кросс-канальное подтверждение ломает скептицизм. «Ну раз и в почте, и в Slack - значит, настоящее.»
Стадия 3 - сбор учётных данных или действие. Ссылка на «корпоративный портал», PDF-счёт в рабочем пространстве или просьба подтвердить личность. К этому моменту жертва уже «одобрила» контекст через несколько точек контакта.
В России отдельную угрозу представляют атаки через Telegram и WhatsApp. Взлом аккаунта в мессенджере с последующей рассылкой по контактам жертвы - массовый сценарий. Но APT-группировки действуют тоньше: используют QR-фишинг для подключения к аккаунту через linked devices, получая постоянный доступ к переписке без перехвата пароля. Тихо, чисто, без следов.
Подробно о техниках APT-групп в мессенджерах: Фишинг через мессенджеры: как APT-группы атакуют Telegram и Signal и что с этим делать
Технический разбор QR-фишинга в Signal: Взлом Signal аккаунта через linked devices: технический разбор QR-фишинга российскими APT-группировками
Атаки на IT-поддержку: 40 минут до доменного админа без единого эксплойта
Отдельная категория, которую русскоязычные источники почти не освещают, - целенаправленные социальная инженерия атаки на внутренние IT-процессы. Это не фишинг в привычном смысле. Это эксплуатация процедур поддержки.Защита от социальной инженерии: практический чеклист для организаций
Защита от социальной инженерии - не покупка одного продукта. Это процесс на четырёх уровнях: люди, процессы, технологии, метрики.Уровень 1: Люди
- Регулярные симуляции фишинга через GoPhish или коммерческие платформы - не реже раза в квартал
- Тренировки вишинга: реальные звонки на бухгалтерию и хелпдеск с замером реакции
- Разбор кейсов после каждой симуляции - не «кто виноват», а «где процесс дал сбой»
- Геймификация: викторины, CTF-элементы, внутренние рейтинги подразделений
Уровень 2: Процессы
- Callback-верификация для любого запроса на сброс пароля, MFA, изменение платёжных реквизитов
- Двойное подтверждение финансовых операций свыше пороговой суммы (два независимых канала)
- Регламент обработки запросов из мессенджеров: ни один запрос конфиденциальных данных через Telegram или WhatsApp не выполняется без подтверждения по корпоративному каналу
- «Стоп-правило»: любой сотрудник имеет право взять паузу на верификацию, даже если запрос исходит от руководства
Уровень 3: Технологии
- Антифишинговые фильтры на почте с проверкой DMARC, DKIM, SPF
- Блокировка запуска PowerShell и cmd для непривилегированных пользователей
- MFA, устойчивая к фишингу: аппаратные ключи FIDO2 вместо SMS-кодов
- Мониторинг аномалий в процессах идентификации: всплеск запросов на сброс паролей, нетипичные гео-логины
Уровень 4: Метрики
Без измерений нет улучшений. Ключевые метрики для управления рисками социальной инженерии:| Метрика | Целевое значение | Как измерять |
|---|---|---|
| Click rate на фишинг-симуляции | < 3 % | GoPhish / платформа awareness |
| Время до репорта подозрительного письма | < 5 минут | SOC-тикеты |
| Доля запросов на сброс MFA, прошедших callback-верификацию | 100 % | Логи хелпдеска |
| Количество инцидентов SE за квартал | Тренд вниз | SIEM / IR-отчёты |
| Охват сотрудников обучением SE | > 95 % | LMS-платформа |
30-дневный план усиления защиты от социальной инженерии
Большинство организаций знают о проблеме, но не знают, с чего начать. Вот конкретный план:Дни 1–7 - аудит текущего состояния:
- Провести «слепую» фишинг-симуляцию (email + вишинг) без предупреждения сотрудников
- Проверить процедуру сброса паролей на хелпдеске: позвонить и попытаться сбросить пароль тестовой учётки без прохождения верификации (если получится - у вас та же дыра, что и у жертв Scattered Spider)
- Собрать данные: кто кликнул, кто сообщил, сколько времени прошло до реакции
- Внедрить callback-верификацию для сброса MFA и паролей
- Настроить DMARC в режиме reject для корпоративного домена
- Ограничить запуск PowerShell через GPO для рядовых пользователей
- Провести разбор результатов симуляции с командами (без «позора» - только анализ паттернов)
- Запустить короткий awareness-модуль по актуальным сценариям: вишинг, ClickFix, мессенджер-фишинг
- Раздать памятку с «красными флагами» и контактом для репорта
- Повторить фишинг-симуляцию и сравнить click rate с первой
- Зафиксировать baseline-метрики для ежеквартального трекинга
- Задокументировать обновлённые процедуры и назначить ответственных
Куда движется социальная инженерия: экспертный прогноз
Генеративный AI не создал новую проблему - он ускорил существующую. Phishing-as-a-service с AI-шаблонами стоит от 200 долларов в месяц на криминальных форумах. Deepfake-инструменты стали массовым продуктом. Голосовой фишинг обогнал email. ClickFix превращает пользователя в собственный execution engine.Но суть не меняется: атаки работают, потому что организации не проверяют запросы, дают избыточные привилегии и не тренируют людей на реальных сценариях. По оценке Mandiant, инвестиции в исправление процессных разрывов - верификации, минимальных привилегий, сегментации доступа - дадут больше отдачи, чем паника вокруг AI-угроз.
В ближайший год ожидайте: рост атак через корпоративные мессенджеры и платформы коллаборации (Teams, Slack), усиление ClickFix-кампаний через отравление поисковой выдачи и дальнейшую интеграцию deepfake в multi-channel атаки.
Организации, которые не внедрят callback-верификацию и phishing-resistant MFA в 2026 году, будут терять деньги на тех же сценариях, что и сегодня - просто с более убедительным голосом на другом конце провода.
Вопрос к читателям
Scattered Spider поднимается от звонка на хелпдеск до domain admin за 40 минут - без малвари, только через социальный претекст и стандартные инструменты AD. Какую конкретную процедуру callback-верификации вы используете (или планируете внедрить) для запросов на сброс MFA через хелпдеск? Интересует формат: кто инициирует обратный звонок, по какому номеру, какие данные запрашиваются для подтверждения, как обрабатываются запросы в нерабочее время. Поделитесь конфигурацией - соберём лучшие практики.
Последнее редактирование модератором:
