Соціальна інженерія означає психологічне маніпулювання або «обман», щоб отримати від когось щось цінне. Кіберзловмисники використовують тактики соціальної інженерії, щоб обдурити співробітників і змусити їх розкрити комерційні таємниці, допустити витік конфіденційних даних або передати великі суми грошей.
Середня глобальна вартість атаки у 2025 році склала 4,44 мільйона доларів США, що охоплює фінансові втрати через шахрайство та регуляторні штрафи. Втрата репутації бренду коштує набагато більше, і це важко оцінити в цифрах – близько 60% малих підприємств закриваються протягом шести місяців після атаки.
Як захистити організацію від соціальної інженерії та її негативних наслідків? У цій статті розглядаються різні стратегії атак, реальні приклади та методи запобігання.
Що таке атаки соціальної інженерії?
Соціальна інженерія – це широкий термін для будь-якої техніки атаки, яка експлуатує людську поведінку. Замість того, щоб націлюватися на вразливості системи, зловмисники націлюються на людські слабкості. Вони намагаються викликати у людей почуття страху, терміновості або інший психологічний тиск, щоб ті розкрили конфіденційну інформацію. Іноді вони також можуть спробувати змусити співробітника перейти за ризиковими посиланнями або завантажити небезпечні файли. Це призводить до того, що шкідливе ПЗ потрапляє в систему і завдає подальшої шкоди.
Існує багато різних типів атак соціальної інженерії. Нижче наведено деякі приклади.
Фішинг
Фішинг є найпоширенішою атакою соціальної інженерії. Зловмисники надсилають повідомлення, які виглядають так, ніби надійшли з надійного джерела.
Email-фішинг
Зловмисники надсилають шахрайські електронні листи, видаючи себе за справжні організації. Листи містять посилання на підроблені вебсайти, де пропонується ввести конфіденційну інформацію.
Наприклад: зловмисники, видаючи себе за Міністерство праці США (DoL), надсилали компаніям електронні листи з метою викрасти облікові дані співробітників від Office365. Листи надходили з підроблених доменів, які були дуже схожі на оригінальний домен DoL – dol.gov – наприклад:
- dol-gov[.]us
- dol-gov[.]com
- bids-dolgov[.]us
Електронні листи містили професійно оформлений контент, правдоподібний фірмовий бланк та тристорінкову форму у форматі PDF із кнопкою надсилання. Користувачі повинні були подати заявку на участь у тендері, яка вимагала входу в систему з їхніми обліковими даними Office365. Форма навіть видавала повідомлення про помилку під час першої спроби входу, щоб переконатися, що користувачі ввели правильні облікові дані.
Цільовий фішинг (spear phishing)
Зловмисники персоналізують свої повідомлення за допомогою особистих даних, щоб націлитися на конкретних осіб (зазвичай на високопосадовців).
Наприклад: Бельгійський банк Crelan постраждав выд шахрайської кампанії, спрямованої на його фінансового директора, що призвело до збитків у понад 70 мільйонів євро. Зловмисник видавав себе за клієнта, який вимагав термінового грошового переказу для бізнес-транзакції.
Вішинг
Замість електронних листів зловмисники використовують телефонні дзвінки, щоб змусити когось надати особисту інформацію. Вони видають себе за законних представників компанії, службу технічної підтримки або керівників. Зважаючи на те, що технологія клонування голосу на базі ШІ стає звичним явищем, ризик значно зріс.
Наприклад: Фінансовий співробітник транснаціональної фірми в Гонконзі був ошуканий і переказав 25 мільйонів доларів злочинцям, які використали клонування голосу за допомогою ШІ, щоб видати себе за фінансового директора компанії під час відеоконференції.
Кількаетапний фішинг (barrel phishing)
Зловмисники надсилають кілька нешкідливих електронних листів, щоб завоювати довіру співробітників, перш ніж надіслати шахрайський лист.
Наприклад: Хакери видавали себе за службу підтримки Dropbox і почали надсилати електронні листи із загальною інформацією про Dropbox та порадами щодо хмарного сховища співробітникам американської фірми. Згодом вони надіслали лист із твердженням, що файл, відправлений колегою, занадто великий і його потрібно переглянути в Dropbox (надавши посилання для перегляду). Коли користувачі натискали на посилання, їх перенаправляли на підроблену сторінку входу в Dropbox, і їхні облікові дані викрадали.
Мобільний фішинг
Зловмисники використовують текстові повідомлення для розсилки підроблених попереджень, сповіщень або інших повідомлень із посиланнями, які перенаправляють на підроблені копії справжніх вебсайтів. Наприклад:
- Зловмисники видають себе за місцеві податкові органи і надсилають повідомлення про несплачені податки.
- Зловмисники видають себе за служби доставки посилок, стверджуючи, що є недоставлена посилка.
- Зловмисники видають себе за відомий бренд, заявляючи про виграш призу.
Претекстинг
Під час претексингу злочинці вигадують переконливий сценарій (або «привід») для викрадення інформації. Вони видають себе за когось, хто заслуговує на довіру, наприклад, за колегу, постачальника послуг або представника влади. Потім вони просять надати особисті дані, такі як паролі, номери рахунків або іншу конфіденційну інформацію під виглядом обґрунтованої потреби.
Наприклад: Університет МакЕвана в Канаді, надіслав майже 12 мільйонів доларів шахраю, який видавав себе за підрядника. Зловмисник попросив персонал оновити платіжну інформацію, призначену для будівельного підрядника, через електронну пошту. Ніхто нічого не помітив, поки через кілька місяців справжній постачальник не попросив про оплату!
Атака «quid pro quo»
Зловмисники пропонують щось в обмін на інформацію або доступ. Користувачі думають, що отримують допомогу, але в результаті передають цінну інформацію зловмиснику.
Найпоширеніший сценарій атаки «quid pro quo» пов’язаний із технічною підтримкою. Зловмисник прикидається законним представником служби технічної підтримки відомої компанії. Він пропонує виправити неіснуючу проблему на пристрої, наприклад, фальшивий комп’ютерний вірус. В обмін на «допомогу» запитується віддалений доступ до системи. Ця, здавалося б, нешкідлива взаємодія часто призводить до того, що зловмисники отримують доступ до конфіденційної інформації або встановлюють шкідливе ПЗ на пристрій.
Наприклад: Співробітники, які шукають «Microsoft support» або «Apple support», можуть випадково натиснути на спонсоровану рекламу від шахрайської компанії. Вони можуть навіть зателефонувати за вказаним шахрайським номером і припустити, що розмовляють зі справжніми представниками Microsoft або Apple. На жаль, це досвідчені злочинці, які обманом змушують їх розкривати конфіденційну інформацію.
Атака «watering hole»
Атаки типу «watering hole» націлені на сторонні вебсайти, які часто відвідують співробітники або фахівці певної галузі. Зловмисник компрометує сторонній вебсайт, тому кожен, хто його відвідує, перенаправляється на підроблену версію для збирання даних.

Наприклад: APKMonk – це сторонній магазин застосунків, який використовується корпоративними розробниками для завантаження APK файлів для розробки застосунків Android. Зловмисники, видаючи себе за APKMonk, змушували відвідувачів сайту завантажувати шпигунські файли. Лише за п’ять місяців зловмисники отримали доступ до даних зі скомпрометованих пристроїв військових, урядовців, медичних працівників та широкої громадськості. Співробітники служби безпеки вилучили 6 тисяч записів розмов, 30 тисяч зображень і 600 відео, що містили приватні дані. Було знайдено копії детальної інформації про подорожі, геомітки фотографій, внутрішнє урядове листування, фотографії закритих зустрічей та іншу інформацію, пов’язану зі шпигунською діяльністю.
Профілактика краща за лікування
Описані вище атаки – лише вершина айсберга. Подібно до багатоголової Гідри з грецької міфології, зловмисники, що використовують соціальну інженерію, мають майже безмежну кількість способів обдурити співробітників. Навіть коли органи безпеки виявляють один тип атаки, з’являються два нових.
Рішення з кібербезпеки забезпечують лише базовий захист. Зрештою, саме співробітники повинні залишатися пильними під час кожної цифрової та електронної взаємодії.
Платформа Arsen допомагає дати відсіч, завдяки навчанню для співробітників з підвищення обізнаності про кіберзагрози та симуляційним наборам для команд безпеки. Симуляції на базі ШІ дозволяють перевірити та оцінити здатність компанії протидіяти складним атакам соціальної інженерії. Навчання всіх, від генерального директора до молодших співробітників, допомагає їм розпізнавати злочинну діяльність, повідомляти про неї та захищати активи.







