Социальная инженерия означает психологическое манипулирование или «обман», чтобы получить от кого-то что-то ценное. Киберзлоумышленники используют тактики социальной инженерии, чтобы обмануть сотрудников и заставить их раскрыть коммерческие тайны, допустить утечку конфиденциальных данных или передать крупные суммы денег.
Средняя глобальная стоимость атаки в 2025 году составила 4,44 миллиона долларов США, что включает финансовые потери из-за мошенничества и регуляторные штрафы. Потеря репутации бренда стоит гораздо больше, и это трудно оценить в цифрах – около 60% малых предприятий закрываются в течение шести месяцев после атаки.
Как защитить организацию от социальной инженерии и ее негативных последствий? В этой статье рассматриваются различные стратегии атак, реальные примеры и методы предотвращения.
Что такое атаки социальной инженерии?
Социальная инженерия – это широкий термин для любой техники атаки, которая эксплуатирует человеческое поведение. Вместо того чтобы нацеливаться на уязвимости системы, злоумышленники нацеливаются на человеческие слабости. Они пытаются вызвать у людей чувство страха, срочности или оказать иное психологическое давление, чтобы те раскрыли конфиденциальную информацию.
Иногда они также могут попытаться заставить сотрудника перейти по рискованным ссылкам или скачать опасные файлы. Это приводит к тому, что вредоносное ПО попадает в систему и наносит дальнейший ущерб.
Существует много различных типов атак социальной инженерии. Ниже приведены некоторые примеры.
Фишинг
Фишинг является самой распространенной атакой социальной инженерии. Злоумышленники отправляют сообщения, которые выглядят так, как будто пришли из надежного источника.
Email-фишинг
Злоумышленники отправляют мошеннические электронные письма, выдавая себя за настоящие организации. Письма содержат ссылки на поддельные веб-сайты, где предлагается ввести конфиденциальную информацию.
Например: злоумышленники, выдавая себя за Министерство труда США (DoL), отправляли компаниям электронные письма с целью украсть учетные данные сотрудников от Office365. Письма приходили с поддельных доменов, которые были очень похожи на оригинальный домен DoL – dol.gov – например:
- dol-gov[.]us
- dol-gov[.]com
- bids-dolgov[.]us
Электронные письма содержали профессионально оформленный контент, правдоподобный фирменный бланк и трехстраничную форму в формате PDF с кнопкой отправки. Пользователи должны были подать заявку на участие в тендере, которая требовала входа в систему с их учетными данными Office365. Форма даже выдавала сообщение об ошибке во время первой попытки входа, чтобы убедиться, что пользователи ввели правильные учетные данные.
Целевой фишинг (Spear phishing)
Злоумышленники персонализируют свои сообщения с помощью личных данных, чтобы нацелиться на конкретных лиц (обычно на высокопоставленных руководителей).
Например: Бельгийский банк Crelan пострадал от мошеннической кампании, направленной на его финансового директора, что привело к убыткам более чем в 70 миллионов евро. Злоумышленник выдавал себя за клиента, который требовал срочного денежного перевода для бизнес-транзакции.
Вишинг
Вместо электронных писем злоумышленники используют телефонные звонки, чтобы заставить кого-то предоставить личную информацию. Они выдают себя за законных представителей компании, службу технической поддержки или руководителей. Учитывая, что технология клонирования голоса на базе ИИ становится обычным явлением, риск значительно возрос.
Например: Финансовый сотрудник транснациональной фирмы в Гонконге был обманут и перевел 25 миллионов долларов преступникам, которые использовали клонирование голоса с помощью ИИ, чтобы выдать себя за финансового директора компании во время видеоконференции.
Многоэтапный фишинг (Barrel phishing)
Злоумышленники отправляют несколько безобидных электронных писем, чтобы завоевать доверие сотрудников, прежде чем отправить мошенническое письмо.
Например: Хакеры выдавали себя за службу поддержки Dropbox и начали отправлять электронные письма с общей информацией о Dropbox и советами по облачному хранилищу сотрудникам американской фирмы. Впоследствии они отправили письмо с утверждением, что файл, отправленный коллегой, слишком большой, и его нужно просмотреть в Dropbox (предоставив ссылку для просмотра). Когда пользователи нажимали на ссылку, их перенаправляли на поддельную страницу входа в Dropbox, и их учетные данные похищали.
Мобильный фишинг
Злоумышленники используют текстовые сообщения (SMS, мессенджеры) для рассылки поддельных предупреждений, уведомлений или других сообщений со ссылками, которые перенаправляют на поддельные копии настоящих веб-сайтов. Например:
- Злоумышленники выдают себя за местные налоговые органы и отправляют сообщения о неуплаченных налогах.
- Злоумышленники выдают себя за службы доставки посылок, утверждая, что есть недоставленная посылка.
- Злоумышленники выдают себя за известный бренд, заявляя о выигрыше приза.
Претекстинг
При претекстинге преступники придумывают убедительный сценарий (или «предлог») для кражи информации. Они выдают себя за кого-то, кто заслуживает доверия, например, за коллегу, поставщика услуг или представителя власти. Затем они просят предоставить личные данные, такие как пароли, номера счетов или другую конфиденциальную информацию под видом обоснованной необходимости.
Например: Университет МакЭвана в Канаде перевел почти 12 миллионов долларов мошеннику, который выдавал себя за подрядчика. Злоумышленник попросил персонал обновить платежную информацию, предназначенную для строительного подрядчика, по электронной почте. Никто ничего не заметил, пока через несколько месяцев настоящий поставщик не попросил об оплате!
Атака «Quid pro quo»
Злоумышленники предлагают что-то в обмен на информацию или доступ. Пользователи думают, что получают помощь, но в результате передают ценную информацию злоумышленнику.
Самый распространенный сценарий атаки «quid pro quo» связан с технической поддержкой. Злоумышленник притворяется законным представителем службы технической поддержки известной компании. Он предлагает исправить несуществующую проблему на устройстве, например, фальшивый компьютерный вирус. В обмен на «помощь» запрашивается удаленный доступ к системе. Это, казалось бы, безобидное взаимодействие часто приводит к тому, что злоумышленники получают доступ к конфиденциальной информации или устанавливают вредоносное ПО на устройство.
Например: Сотрудники, ищущие «Microsoft support» или «Apple support», могут случайно нажать на спонсируемую рекламу от мошеннической компании. Они могут даже позвонить по указанному мошенническому номеру и предположить, что разговаривают с настоящими представителями Microsoft или Apple. К сожалению, это опытные преступники, которые обманом заставляют их раскрывать конфиденциальную информацию.
Атака «watering hole»
Атаки типа «watering hole» нацелены на сторонние веб-сайты, которые часто посещают сотрудники или специалисты определенной отрасли. Злоумышленник компрометирует сторонний веб-сайт, поэтому каждый, кто его посещает, перенаправляется на поддельную версию для сбора данных.

Например: APKMonk – это сторонний магазин приложений, который используется корпоративными разработчиками для загрузки APK-файлов для разработки приложений Android. Злоумышленники, выдавая себя за APKMonk, заставляли посетителей сайта загружать шпионские файлы. Всего за пять месяцев злоумышленники получили доступ к данным со скомпрометированных устройств военных, чиновников, медицинских работников и широкой общественности. Сотрудники службы безопасности изъяли 6 тысяч записей разговоров, 30 тысяч изображений и 600 видео, содержащих частные данные. Были найдены копии детальной информации о путешествиях, геометки фотографий, внутренняя правительственная переписка, фотографии закрытых встреч и другая информация, связанная со шпионской деятельностью.
Профилактика лучше лечения
Описанные выше атаки – лишь вершина айсберга. Подобно многоголовой Гидре из греческой мифологии, злоумышленники, использующие социальную инженерию, имеют почти безграничное количество способов обмануть сотрудников. Даже когда органы безопасности обнаруживают один тип атаки, появляются два новых.
Решения по кибербезопасности обеспечивают лишь базовую защиту. В конечном итоге, именно сотрудники должны оставаться бдительными во время каждого цифрового и электронного взаимодействия.
Платформа Arsen помогает дать отпор, благодаря обучению сотрудников для повышения осведомленности о киберугрозах и симуляционным наборам для команд безопасности. Симуляции на базе ИИ позволяют проверить и оценить способность компании противодействовать сложным атакам социальной инженерии. Обучение всех, от генерального директора до младших сотрудников, помогает им распознавать преступную деятельность, сообщать о ней и защищать активы.







