Социальная инженерия: как защитить бизнес от человеческого фактора
Больше половины успешных кибератак на бизнес в 2025 году — это социальная инженерия. Среди атак на частных лиц цифра ещё выше: 88%. Никакой файрвол не поможет, если бухгалтер откроет вложение из «письма от налоговой» или директор продиктует код из SMS «службе безопасности банка». Атакуют не сервер — атакуют человека. В этой статье разберём все виды атак, реальные кейсы и пошаговый план защиты вашего бизнеса.
Что такое социальная инженерия и почему она так эффективна?
Социальная инженерия — это манипуляция людьми ради получения паролей, доступа к системам или денег. Никакого взлома в классическом смысле. Просто психология: давление авторитетом, страх, искусственная спешка, желание человека быть вежливым и полезным. Технические атаки ломают системы — социнженерия ломает людей.
Почему это работает:
- Авторитет: письмо «от директора» или «от ФНС» вызывает автоматическое доверие — мало кто перепроверяет отправителя
- Срочность: «немедленно оплатите штраф» — страх буквально отключает критическое мышление, человек действует на автопилоте
- Привычка: люди ежедневно открывают десятки писем и кликают по ссылкам — это просто рутина, и именно на неё и рассчитывают мошенники
- Вежливость: отказать «коллеге» в просьбе неловко — проще выполнить, чем показаться грубым или недоверчивым
- ИИ: с 2024 года deepfake-голоса и сгенерированные письма стали неотличимы от настоящих — ухо и глаз уже не помогут
Какие виды атак социальной инженерии существуют?
Фишинг (Phishing)
Массовые или целевые поддельные письма, имитирующие банки, госорганы, привычные сервисы. Цель одна — выудить логин с паролем или заставить скачать вредоносный файл.
- Email-фишинг: классика жанра — «Ваш аккаунт заблокирован, войдите для восстановления»
- Spear-фишинг: целевая атака на конкретного сотрудника с использованием личной информации — должность, имя руководителя, текущие проекты
- Whale phishing: атака на топ-менеджеров (CEO fraud) — ставки выше, письма тщательнее проработаны
Вишинг (Vishing)
Голосовые звонки от «банка», «полиции», «техподдержки». Мы сами сталкивались с клиентами, которым звонил «директор» с просьбой срочно перевести деньги — а в 2025 году этот голос уже генерирует ИИ, и отличить его от настоящего практически невозможно:
Pretexting (Легенда)
Злоумышленник приходит с готовой легендой: представляется сотрудником IT-отдела, аудитором, курьером из типографии. Цель — попасть в офис физически или получить пароль от системы устно, без единого взлома.
Baiting (Приманка)
Заражённые USB-флешки подбрасывают у офисного входа, на парковке, иногда присылают как «подарок». Работает банально — человек находит флешку и из любопытства вставляет в рабочий ПК. Дальше всё происходит само.
Tailgating (Проход следом)
Физическое проникновение в офис за авторизованным сотрудником: «Извините, забыл пропуск, можно пройти с вами?» Большинство людей не откажут — неловко.
Quid pro quo (Услуга за услугу)
Звонок от «техподдержки»: «У вас проблемы с компьютером? Я помогу, только установите вот эту программу для удалённого доступа.» После этого злоумышленник получает полный контроль над машиной.
Как фишинговые письма обходят защиту и обманывают сотрудников?
Современный фишинг — это не те смешные письма с ошибками, которые были 10 лет назад. Сейчас всё серьёзнее:
- Точная имитация: дизайн письма 1-в-1 как у реального сервиса — банк, 1С, Битрикс24, вплоть до шрифтов и подписей
- Домены-двойники: sberbank.ru → sber-bank.ru, mail.ru → maiI.ru (заглавная I вместо строчной l) — разница в одном символе, который никто не замечает
- ИИ-генерация: ChatGPT пишет идеальные русскоязычные письма без единой ошибки — грамматика уже не критерий подозрительности
- Контекст: атакующий заранее знает, что компания работает на 1С, и шлёт «обязательное обновление от 1С» — письмо выглядит абсолютно логично
- Вложения: .docx с макросами, .pdf со скрытой ссылкой, .html с формой ввода пароля — форматы привычные, подозрений не вызывают
Какие технические меры защиты нужно внедрить?
- MFA / 2FA везде: двухфакторная аутентификация нейтрализует 90%+ фишинг-атак на учётные данные. Даже если сотрудник ввёл пароль на фишинговом сайте — без второго фактора злоумышленник всё равно не войдёт. Это одна мера, которую мы рекомендуем внедрять в первую очередь.
- Email-фильтрация: SPF, DKIM, DMARC на своём домене + антиспам-шлюз (Kaspersky Security for Mail, Microsoft Defender for Office 365) — без этого ваш домен могут использовать для рассылки от вашего же имени
- Блокировка макросов: отключите макросы в Office через GPO для всех сотрудников, оставив исключения только там, где они реально нужны по работе
- DNS-фильтрация: блокировка фишинговых доменов на уровне DNS (Cloudflare Gateway, AdGuard DNS) — пользователь просто не откроет вредоносный сайт, даже если кликнет по ссылке
- EDR/XDR: продвинутая защита конечных точек, которая замечает подозрительное поведение — не по сигнатурам, а по действиям процессов
- Блокировка USB: через GPO или DLP-систему — закрывает вектор Baiting полностью, никакая подброшенная флешка не сработает
- SIEM/SOC: централизованный мониторинг событий безопасности — видите аномалии до того, как они стали инцидентом
# GPO: блокировка макросов в Office
# User Configuration → Administrative Templates →
# Microsoft Word → Word Options → Security →
# Trust Center → VBA Macro Notification Settings
# → Disable all macros without notification
# GPO: блокировка USB-накопителей
# Computer Configuration → Administrative Templates →
# System → Removable Storage Access →
# All Removable Storage: Deny all access → Enabled
Как обучить сотрудников распознавать атаки социальной инженерии?
На практике выяснилось: технические меры закрывают около 70% атак. Оставшиеся 30% — это люди. И именно здесь большинство компаний экономят, а потом теряют деньги. Нормально работающая программа обучения выглядит так:
- Регулярные тренинги: не раз в год галочка ради галочки, а короткие сессии по 15–20 минут ежемесячно — люди запоминают то, что повторяется
- Учебные фишинговые атаки: рассылайте тестовые фишинговые письма через GoPhish или KnowBe4. Те, кто «попался», проходят дополнительное обучение — без штрафов, но с разбором ошибки.
- Реальные примеры: берите не выдуманные письма из учебников, а те, что реально прилетали на ваши ящики. У нас в практике такая подборка работает в разы лучше любой теории
- Культура сообщения: сотрудник должен сообщить о подозрительном письме — и не бояться, что его засмеют или накажут, если тревога окажется ложной. Перестрахуйся — это нормально
- Чек-лист для проверки: распечатайте, заламинируйте, прикрепите рядом с монитором. Звучит банально, но работает
Чек-лист: как распознать фишинг
- Смотрите на домен отправителя — не на имя, которое показывает почтовый клиент, а именно на домен после @
- Наведите курсор на ссылку и посмотрите в строку статуса браузера — куда она ведёт на самом деле? Часто адрес не имеет ничего общего с тем, что написано в тексте письма
- «Срочно», «немедленно», «иначе штраф» — классическое давление. Чем громче кричат о срочности, тем медленнее нужно действовать
- Письмо просит ввести пароль или установить программу? Стоп. Никогда, ни при каких обстоятельствах
- Неожиданное письмо от директора с нетипичной просьбой — уже само по себе повод насторожиться
- Сомневаетесь — позвоните отправителю. По номеру, который знаете сами, а не по тому, что указан в подписи письма
Какие регламенты и политики нужно внедрить в компании?
- Политика обработки подозрительных писем: вложения не открывать, письмо переслать в IT-отдел в оригинале — без пересказа, без скриншотов
- Верификация финансовых запросов: любой перевод свыше N рублей — только после живого звонка руководителю по известному номеру. Мы видели, как компании теряли миллионы именно потому, что этого правила не было
- Процедура удалённой идентификации: заранее договоритесь о кодовом слове для подтверждения личности при звонках с нестандартными просьбами — особенно актуально для финансового блока
- Политика чистого стола: договора, реквизиты, распечатки с паролями — всё это убирается в ящик, когда вы уходите с рабочего места
- Политика посетителей: любой гость — только в сопровождении, с бейджем и записью в журнале. Без исключений, даже для «курьера на одну минуту»
- Инцидент-менеджмент: план действий при атаке должен быть написан заранее и лежать в распечатанном виде — потому что когда всё горит, думать некогда
Как deepfake и ИИ меняют ландшафт угроз в 2025-2026 году?
ИИ сделал социальную инженерию принципиально другой угрозой. Вот что мы видим уже сегодня:
- Deepfake-голос: трёх секунд записи голоса достаточно, чтобы синтезировать убедительную копию. Защита одна — кодовое слово, о котором знаете только вы и ваш руководитель
- Deepfake-видео: видеозвонок от «директора» в Zoom или Teams. Пока такие случаи редкость, но технология уже общедоступна — готовиться нужно сейчас
- ИИ-генерация писем: идеальный русский язык, правильный контекст, персональное обращение. Старые признаки фишинга — корявый текст и странный стиль — больше не работают как индикаторы
- Автоматизация атак: раньше персонализированная атака требовала ручной подготовки на каждую жертву. Теперь ИИ делает это в промышленных масштабах за минуты
Как провести аудит устойчивости компании к социальной инженерии?
Хотите знать реальный уровень защищённости своей компании — проверяйте его на практике, а не по ощущениям:
- Фишинг-тест: рассылка тестовых писем через GoPhish или KnowBe4 — смотрим, сколько процентов открыли и кликнули. Средний показатель по рынку — 30–40%, у наших клиентов после обучения падает до 5–8%
- Вишинг-тест: звоним сотрудникам от имени «техподдержки» и просим назвать пароль. Результаты, если честно, каждый раз удивляют
- Физический тест: пытаемся пройти в офис без пропуска или подбрасываем USB-флешку с маяком — проверяем, что с ней сделают
- Анализ результатов: считаем процент «попавшихся», выявляем отделы с наибольшим риском и составляем конкретный план — кого учить в первую очередь и чему именно
Что делать, если атака произошла: план реагирования
- Изоляция: скомпрометированный ПК — немедленно из сети. Физически отключите кабель, не ждите пока IT-отдел доберётся
- Смена паролей: сначала на скомпрометированных аккаунтах, потом — на всех критичных системах. Не через неделю, а в тот же день
- Анализ: разберитесь, что именно могло утечь — учётные данные, клиентская база, финансовые документы. От этого зависят дальнейшие шаги
- Уведомление: руководство и IT-безопасность — сразу. При утечке персональных данных — Роскомнадзор в течение 72 часов. Это требование закона, а не рекомендация
- Восстановление: скомпрометированный ПК — переустановка ОС с нуля, бэкапы — проверить до восстановления, а не после
- Извлечение уроков: разберите инцидент с командой без поиска виноватых — обновите политики и проведите внеплановое обучение по горячим следам
Заключение: безопасность — это процесс, а не продукт
Защита от социальной инженерии — не проект с дедлайном, а постоянная работа. Технические меры — 2FA, email-фильтрация, EDR — это фундамент. Регламенты и верификация — это процессы. Но всё это не заменит сотрудника, который умеет думать перед тем, как кликнуть. Начните прямо сейчас: включите 2FA везде, запустите первый фишинг-тест, введите правило верификации финансовых запросов. И запомните простую вещь — если вы считаете, что вас не атакуют, скорее всего вы просто ещё не знаете об атаке.
Источники: Anti-Malware.ru, MITRE ATT&CK
Часто задаваемые вопросы
Какой процент кибератак использует социальную инженерию?
По данным за 2024-2025 год, социальная инженерия применяется в более чем 50% атак на компании и в 88% атак на частных лиц. Фишинг остаётся самым распространённым вектором начальной компрометации, опережая эксплуатацию технических уязвимостей.
Поможет ли антивирус защитить от фишинга?
Антивирус блокирует вредоносные вложения и известные фишинговые URL, но не защитит, если сотрудник сам введёт пароль на поддельном сайте или переведёт деньги по просьбе мошенника. Нужен комплексный подход: антивирус + 2FA + обучение + регламенты.
Как часто нужно проводить обучение сотрудников по ИБ?
Регулярно и часто — короткие сессии по 15-20 минут ежемесячно эффективнее, чем длинный тренинг раз в год. Дополняйте тестовыми фишинговыми рассылками раз в квартал. После 6 месяцев регулярных тренингов процент попавшихся на фишинг снижается с 30-40% до 5-10%.
Что такое deepfake-атаки и как от них защищаться?
Deepfake использует ИИ для генерации голоса или видео, имитирующего реального человека. Для защиты: внедрите кодовые слова для подтверждения при необычных запросах по телефону, требуйте многоканальную верификацию финансовых операций (звонок + email + подтверждение в системе).
Какие инструменты использовать для тестовых фишинговых рассылок?
GoPhish (бесплатный, open-source) — для самостоятельного проведения тестов. KnowBe4 или Phishman — коммерческие платформы с готовыми шаблонами, обучением и отчётностью. Для малого бизнеса GoPhish + собственные шаблоны — оптимальный вариант.
Нужно ли сообщать в полицию о фишинговой атаке?
Если произошёл реальный ущерб (кража денег, утечка данных) — да, подайте заявление в полицию (отдел К) и уведомите Роскомнадзор (при утечке персональных данных — в течение 72 часов). Для тренировки — нет, но сохраняйте фишинговые письма как образцы для обучения.
ООО «АйТи Фреш» возьмёт это на себя
Не хватает времени или своих специалистов — мы настроим, оптимизируем и возьмём вашу IT-инфраструктуру на постоянное сопровождение. Работаем с юридическими лицами в Москве и регионах. Собственный дата-центр, команда из 8 серверов Dell Xeon Platinum 8280 на базе МТС.