Я провожу фишинговые кампании, звоню сотрудникам компаний под видом IT-поддержки и прохожу через проходные с поддельным бейджем подрядчика. Только делаю это легально - в рамках red team проектов, чтобы показать заказчику дыры в его защите. За годы работы с фокусом на социальную инженерию я насмотрелся, как компании с миллионными бюджетами на ИБ ломаются на одном невнимательном сотруднике. Эта статья - попытка разложить по полочкам, как именно это происходит и что с этим делать.
Что такое социальная инженерия и почему она работает
Социальная инженерия - это психологическое манипулирование людьми, чтобы заставить их сделать то, что нужно атакующему: выдать пароль, перевести деньги, открыть вредоносный файл или впустить постороннего в офис. По сути, это «взлом» не компьютера, а человека.Почему это настолько эффективно? Потому что атаки на человеческий фактор эксплуатируют базовые свойства психики, которые невозможно «пропатчить» обновлением:
- Доверие к авторитету. Звонит «начальник» или «служба безопасности банка» - большинство людей выполняют просьбу не задумываясь.
- Страх и срочность. Сообщение «ваш аккаунт будет заблокирован через 15 минут» отключает критическое мышление. Мозг паникует - руки уже кликают.
- Любопытство. Флешка с надписью «Зарплаты руководства» на парковке - и кто-нибудь обязательно воткнёт её в рабочий компьютер.
- Желание помочь. Человек у двери с коробками в руках - охранник придержит дверь, не спросив пропуск. Вежливость побеждает безопасность.
Ссылка скрыта от гостей
, 68% утечек данных включают человеческий элемент - но эта метрика объединяет ошибки персонала, злоупотребление привилегий и социальную инженерию. Собственно социальная инженерия как вектор начального доступа фигурирует примерно в 15–20% инцидентов. По отраслевым оценкам, подавляющее большинство организаций хотя бы раз сталкивались с атаками на основе социальной инженерии. Психологические атаки в кибербезопасности - не экзотика, а рабочие будни.Цикл атаки: как работает социальный инженер
Прежде чем разбирать методы социальной инженерии, стоит понять общую механику. Каждая атака проходит четыре фазы - и я использую ту же схему, когда провожу легальные тесты для заказчиков.Фаза 1: Разведка. Атакующий собирает информацию о цели. Кто работает в компании, кто за что отвечает, какие системы используются. Источники - LinkedIn, соцсети, сайт компании, публичные базы. Когда я готовлю фишинговую кампанию в GoPhish, первым делом составляю список сотрудников и копаю их цифровой след. Удивительно, сколько всего люди выкладывают сами.
Фаза 2: Установление контакта. Атакующий выбирает легенду и канал: звонок, письмо, личный визит. Ключевое - вызвать доверие раньше, чем жертва успеет задуматься.
Фаза 3: Эксплуатация. Собственно атака: жертва переходит по ссылке, диктует пароль, пропускает «курьера» в серверную.
Фаза 4: Результат и выход. Атакующий получает нужное - доступ, данные, деньги - и исчезает. В пентесте на этом этапе я фиксирую результаты для отчёта: сколько людей кликнули, сколько ввели учётные данные, сколько позвонили в IT-отдел сообщить о подозрительном письме (спойлер: обычно единицы).
Понимание этого цикла - уже половина защиты. Если чувствуете, что кто-то пытается «прощупать» вас через вопросы о компании или торопит с решением - вы, скорее всего, на фазе 2 или 3.
Основные методы социальной инженерии
Фишинг и его разновидности
Фишинг и социальная инженерия - практически синонимы в массовом сознании, и не зря. Фишинг - рассылка поддельных сообщений от имени доверенных организаций, чтобы выманить данные или заставить жертву скачать вредоносный файл.Когда я настраиваю фишинговую кампанию через GoPhish для заказчика, типичный сценарий выглядит так: письмо от «HR-отдела» с темой «Обновление зарплатной политики - ознакомьтесь до пятницы». Внутри - ссылка на страницу, которая выглядит как корпоративный портал. Сотрудник вводит логин и пароль, я вижу эти данные в панели GoPhish. Средний процент «клюнувших» в компаниях без регулярных тренингов - по данным KnowBe4 (2024), около 34%, хотя в зависимости от отрасли диапазон может составлять от 20 до 40%. То есть каждый третий. Вдумайтесь.
Фишинг бывает разным:
- Массовый фишинг - одно и то же письмо тысячам получателей. Расчёт на то, что хотя бы несколько человек кликнут. Грубо, но работает.
- Спирфишинг (spear phishing) - целевая атака на конкретного человека. Письмо составлено на основе разведки: упоминает реальные проекты, имена коллег, актуальные события. Обнаружить такое письмо на порядок сложнее.
- Уэйлинг (whaling) - спирфишинг, направленный на руководителей. Цена ошибки здесь максимальная.
Вишинг и смишинг - атаки через звонки и SMS
Вишинг (voice phishing) - фишинг по телефону. Вам звонят, представляются сотрудником банка, полиции или IT-поддержки и под благовидным предлогом выманивают данные. Смишинг (SMS phishing) - то же самое, только через текстовые сообщения.На проектах я регулярно провожу вишинг-тесты: звоню сотрудникам заказчика, представляюсь специалистом IT-отдела и прошу «подтвердить учётную запись» или «установить обновление безопасности». Записи разговоров потом разбираем с заказчиком - не чтобы наказать сотрудника, а чтобы показать, какие фразы-триггеры срабатывают и как их распознавать.
Типичный сценарий вишинга: «Здравствуйте, это служба безопасности вашего банка. Мы зафиксировали подозрительную транзакцию на 47 000 рублей. Для отмены назовите код из SMS». Человек в панике диктует код - деньги уходят. Всё, занавес.
Смишинг часто маскируется под уведомления о доставке: «Ваша посылка задержана. Подтвердите адрес по ссылке». Ссылка ведёт на фишинговую страницу.
Как защититься: Банки и государственные органы никогда не запрашивают коды, пароли и CVV по телефону. Если звонок вызывает тревогу - кладите трубку и перезванивайте по официальному номеру организации. Без исключений.
Претекстинг - что это и как работает
Претекстинг (pretexting) - создание вымышленной легенды для получения информации. В отличие от фишинга, где ставка на массовость, претекстинг - ювелирная работа. Атакующий заранее собирает данные о жертве, придумывает правдоподобный сценарий и играет роль.Это моя основная специализация на red team проектах. Пример из практики: звоню в компанию, представляюсь новым сотрудником филиала. Называю реальное имя руководителя (стянутое с сайта компании), ссылаюсь на реальный внутренний проект (найденный в публичной презентации, которая спокойно валялась в Google) и прошу сбросить пароль от корпоративной почты, потому что «не могу войти после переезда». В половине случаев - пароль сбрасывают. Без лишних вопросов.
Ключ к успеху претекстинга - подготовка. Чем больше реальных деталей использует атакующий, тем сложнее распознать обман. Именно поэтому избыточная публикация корпоративной информации в открытых источниках - серьёзный риск.
Как защититься: Внедрите процедуру верификации. Любой запрос на сброс пароля, изменение реквизитов или предоставление доступа должен подтверждаться через отдельный канал - например, обратным звонком по номеру из корпоративного справочника.
Байтинг и «дорожное яблоко»
Байтинг (baiting) - приманка. Физическая форма: USB-флешка с провокационной надписью, оставленная в офисе, на парковке или в переговорной. Цифровая форма: заманчивое предложение скачать бесплатную программу, фильм или документ.На одном из проектов я разбросал несколько флешек с надписью «Конфиденциально. Списки на сокращение» возле входа в офис заказчика. Три из пяти воткнули в рабочие компьютеры в течение двух часов. На флешках был безвредный скрипт, который просто отправлял мне уведомление, - но в реальной атаке это было бы вредоносное ПО. Любопытство - штука посильнее страха перед ИБ-политикой.
Как защититься: Никогда не подключайте к компьютеру неизвестные носители. Нашли флешку - несите в IT-отдел. Корпоративная политика должна запрещать использование непроверенных USB-устройств, а на уровне системы стоит заблокировать автозапуск съёмных носителей.
Tailgating - проход за спиной
Tailgating (проход следом) - физическая атака, при которой злоумышленник проникает в защищённую зону, следуя за авторизованным сотрудником. Piggybacking - вариант, когда сотрудник осознанно придерживает дверь из вежливости.Это отдельное направление моей работы, и лично мне оно нравится больше всего. Типичный сценарий: надеваю куртку курьерской службы, беру в руки несколько коробок и подхожу к двери офиса одновременно с сотрудником. Руки заняты, прошу придержать дверь. В 8 случаях из 10 - придерживают. Дальше я уже внутри и могу искать незаблокированные компьютеры, подключать устройства к сети или просто фотографировать стикеры с паролями на мониторах (да, в 2025 году люди всё ещё клеят пароли на мониторы).
Tailgating остаётся распространённым вектором физических атак. Для сравнения, группировка Scattered Spider, которую СМИ связывают с атакой на Marks & Spencer (2025), преимущественно использует дистанционную социальную инженерию - вишинг, SIM-swapping, звонки в helpdesk и MFA fatigue, хотя также применяет технические методы (по данным CISA/FBI, AA23-320A). Социальная инженерия опасна в любой форме - хоть физической, хоть цифровой.
Как защититься: Не пропускайте незнакомых людей через двери контроля доступа, даже если это кажется невежливым. Каждый должен прикладывать свой пропуск. Человек говорит, что забыл карту - направляйте его на ресепшен. Точка.
BEC - компрометация деловой переписки
Business Email Compromise (BEC) - атака, при которой злоумышленник получает доступ к корпоративной почте или убедительно подделывает письмо от руководителя, партнёра или поставщика. Цель - заставить жертву перевести деньги или передать конфиденциальные данные.По данным
Ссылка скрыта от гостей
, заявленные потери от BEC-атак составили $2,7 млрд в 2022 году. Суммарные заявленные потери за 2013–2023 годы превысили $55 млрд, хотя фактически подтверждённые убытки значительно ниже. Одна из самых дорогостоящих форм манипуляций в кибербезопасности - и одна из самых тупых по исполнению.Классический пример: бухгалтер получает письмо от «генерального директора» с просьбой срочно оплатить счёт нового подрядчика. Адрес отправителя отличается от настоящего на один символ (например,
director@cornpany.com вместо director@company.com - заметили подвох? rn вместо m). Под давлением срочности бухгалтер переводит деньги.Как защититься: Любой запрос на перевод средств или изменение банковских реквизитов должен подтверждаться по второму каналу связи. Внедрите правило «двух подписей» - ни один перевод выше определённой суммы не уходит без подтверждения второго человека.
Scareware - программы-запугиватели
Scareware - вредоносное ПО, которое маскируется под антивирус и запугивает пользователя ложными уведомлениями об угрозах. Всплывающее окно кричит: «Обнаружено 15 вирусов! Нажмите для немедленной очистки!» - и человек в панике ставит программу, которая сама и есть малварь.Как защититься: Настоящие антивирусы не шлют уведомления через браузер. Видите подобное всплывающее окно - закройте вкладку. Окно не закрывается -
Ctrl+Shift+Esc, завершить процесс браузера. Не кликайте ни на какие кнопки внутри этого окна, даже на «крестик» - он может быть фейковым.Современные угрозы: дипфейки и ИИ в атаках
Русскоязычные источники эту тему почти не освещают, а между тем она меняет правила игры. В 2025 году социальная инженерия вышла на новый уровень благодаря двум технологиям.Дипфейк-атаки. Широко известный инцидент в гонконгском офисе компании Arup (январь 2024): сотрудник подключился к видеоконференции, где «присутствовали» финансовый директор и другие руководители. Все они были дипфейками. Результат - перевод около $25,6 миллионов (200 млн HKD). Сотрудник был единственным реальным человеком на том звонке. Один живой человек в комнате с призраками - и $25 миллионов испарились.
Клонировать голос человека можно на основе нескольких секунд аудио, используя общедоступные инструменты. Звонок «от директора» с его реальным голосом - уже не фантастика, а рабочий инструмент атакующих.
ИИ-фишинг. Генеративный ИИ позволяет создавать персонализированные фишинговые письма массово. Раньше грамотное спирфишинговое письмо требовало ручной работы - час-два на каждое. Теперь атакующий может сгенерировать тысячи уникальных, грамматически безупречных писем, адаптированных под каждого получателя. Масштаб спирфишинга при стоимости массового - вот что пугает.
Как защититься: Как отмечает доктор Баркер, «в эпоху искусственного интеллекта именно наш человеческий интеллект - наш эмоциональный интеллект - становится критически важным». Не доверяйте голосу или видео как средству идентификации. Любой запрос высокого риска - перевод денег, предоставление доступа, сброс пароля - должен подтверждаться через отдельный канал.
Примеры социальной инженерии из реальной практики
Теория - хорошо, но реальные случаи запоминаются лучше. Вот несколько примеров социальной инженерии, которые показывают масштаб проблемы.Группировка Lapsus$. Группа хакеров, в которую входили подростки, использовала социальную инженерию для взлома крупнейших технологических компаний. Подкупали и обманывали сотрудников, чтобы получить доступ к внутренним системам. Никаких сложных эксплойтов - чистая манипуляция. Подростки. Против корпораций с миллиардными бюджетами на ИБ.
Мошенничество с Bitcoin в Twitter (2020). Злоумышленники получили доступ к административным инструментам Twitter через социальную инженерию, направленную на сотрудников компании. Результат - взлом аккаунтов Илона Маска, Билла Гейтса, Apple и других с публикацией мошеннических сообщений о криптовалюте.
Ubiquiti Networks (2015). Мошенники провели серию атак на финансовый отдел компании, используя поддельные запросы от имени руководства для перевода крупных сумм на подконтрольные счета в нескольких странах. Ущерб - $46,7 миллионов, из которых удалось вернуть около $14,9 миллионов. Атака была основана на социальной инженерии без эксплуатации технических уязвимостей. Ни одного CVE - только электронные письма.
Алмазное ограбление ABN AMRO (2007). Карлос Эктор Фломенбаум в течение года завоёвывал доверие сотрудников антверпенского отделения нидерландского банка ABN AMRO, выдавая себя за успешного бизнесмена. Делал подарки, выстраивал отношения. Год терпеливой работы. В итоге получил доступ к хранилищу и похитил содержимое сейфовых ячеек (алмазы и другие ценности) на сумму €21–28 млн по различным источникам. Без оружия, без взлома - только социальная инженерия.
Защита от социальной инженерии: практическое руководство
Формула «Почувствуй - Остановись - Проверь - Действуй»
Универсальная формула, которую рекомендует доктор Джессика Баркер и которую я советую внедрять в каждой организации. Она работает против любого канала атаки - электронной почты, звонков, сообщений, личных визитов.- Почувствуй. Заметьте эмоцию. Сообщение вызывает страх, панику, срочность или непреодолимое любопытство - это сигнал опасности. Как говорит Баркер: «Главное, на что нужно обращать внимание, - это то, как мы себя чувствуем». Эмоция - первый индикатор атаки.
- Остановись. Пауза перед любым действием. Не кликайте, не диктуйте код, не переводите деньги. Создайте пространство между эмоцией и реакцией. Даже 10 секунд хватит.
- Проверь. Свяжитесь с предполагаемым отправителем по другому каналу. Написал начальник? Позвоните ему. Пришло письмо от банка? Позвоните в банк по номеру с карты. Никогда не используйте контакты из подозрительного сообщения.
- Действуй. Только после проверки выполните запрос через стандартную процедуру. Проверка не подтвердила легитимность - сообщайте в IT-отдел или службу безопасности.
Фишинговые симуляции и тренинги
Регулярные учебные фишинговые рассылки - самый действенный инструмент повышения осведомлённости. Вот как это организовать на практике:Шаг 1. Разверните GoPhish - бесплатный инструмент для проведения фишинговых кампаний. Установка на Linux-сервер занимает минуты:
Bash:
# Загрузка и распаковка GoPhish
wget https://github.com/gophish/gophish/releases/download/v0.12.1/gophish-v0.12.1-linux-64bit.zip
unzip gophish-v0.12.1-linux-64bit.zip -d /opt/gophish
cd /opt/gophish
chmod +x gophish
./gophish
# Панель управления будет доступна на https://localhost:3333Шаг 3. Настройте посадочную страницу, имитирующую корпоративный портал авторизации. GoPhish фиксирует, кто открыл письмо, кто кликнул по ссылке и кто ввёл данные. Лично я обычно клонирую страницу логина в Outlook - она знакома всем и вызывает минимум подозрений.
Шаг 4. После кампании - не наказывайте сотрудников. Проведите разбор: покажите, по каким признакам можно было распознать подделку. Страх наказания убивает культуру reporting - люди перестанут сообщать о подозрительных письмах. А это хуже, чем сам клик.
Шаг 5. Повторяйте не реже раза в квартал. Меняйте каналы: не ограничивайтесь email. Тестируйте устойчивость к вишингу, смишингу и даже физическим атакам.
Технические меры защиты
Обучение - фундамент, но без технических средств защита от социальной инженерии неполна:| Мера | Что защищает | Приоритет |
|---|---|---|
| Многофакторная аутентификация (MFA) | Учётные записи даже при утечке пароля | Критический |
| Фильтрация email (SPF, DKIM, DMARC) | Спуфинг адресов отправителей | Высокий |
| Менеджер паролей | Повторное использование паролей | Высокий |
| Блокировка USB-портов | Атаки через физические носители | Средний |
| Запрет одобрений в видеозвонках | Дипфейк-атаки через Teams/Zoom | Высокий |
| Правило двойного подтверждения для платежей | BEC-мошенничество | Критический |
| Система one-click reporting в почте | Быстрое реагирование на фишинг | Высокий |
Отдельно подчеркну: политика запрета одобрений в видеозвонках - после случая с Arup это не рекомендация, а необходимость. Любой запрос на перевод денег, изменение реквизитов или предоставление доступа во время звонка в Teams или Zoom должен отклоняться. Участник выходит из звонка и подтверждает запрос по отдельному каналу через задокументированную процедуру. Да, это неудобно. Но $25 миллионов - неудобнее.
Чек-лист: как защититься от мошенников прямо сейчас
Этот чек-лист можно распечатать и повесить на рабочем месте. Простые правила, которые закроют большинство атак.Для каждого сотрудника:
- Не кликайте по ссылкам в неожиданных письмах. Наведите курсор - проверьте адрес
- Не диктуйте коды из SMS, пароли и CVV по телефону. Никогда, никому, ни при каких обстоятельствах
- Не подключайте найденные флешки и диски к рабочему компьютеру
- Не пропускайте незнакомцев через двери с контролем доступа
- При любом подозрительном сообщении - формула: Почувствуй → Остановись → Проверь → Действуй
- Сообщайте о подозрительных письмах и звонках в IT-отдел. Лучше сообщить 10 раз ложно, чем пропустить одну реальную атаку
- Внедрите MFA для всех корпоративных аккаунтов
- Проводите фишинговые симуляции не реже раза в квартал
- Настройте
Ссылка скрыта от гостейдля корпоративной почты
- Запретите одобрение финансовых операций внутри видеозвонков
- Введите правило двойного подтверждения для платежей и изменения реквизитов
- Создайте простую кнопку «Сообщить о фишинге» в почтовом клиенте
- Не наказывайте сотрудников за ошибки - поощряйте за своевременные сообщения об инцидентах
