Социальная инженерия: как защитить бизнес от фишинга и манипуляций
Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15 лет поддержки малого и среднего бизнеса я видел всё: от классических «письма от директора с просьбой срочно оплатить счёт» до сложных многоходовок, когда в компанию неделями писал якобы контрагент, чтобы в нужный момент подменить реквизиты. Самое неприятное — техника почти всегда ни при чём. Человек кликает сам. И защищаться надо на двух уровнях: учить людей и одновременно ставить технические рельсы, по которым ошибка не приведёт к катастрофе.
Что такое социальная инженерия и почему она работает
Социальная инженерия — это искусство манипулирования людьми для получения доступа к информации или активам. Атакующий эксплуатирует не код, а психологию: уважение к авторитету, страх, любопытство, спешку, желание помочь. У нас на практике почти каждая успешная атака использует один из трёх триггеров: «срочно», «важно» или «начальник сказал».
Работает это потому, что большинство людей не приучены проверять источник сообщения. Пришло письмо с логотипом банка — значит из банка. Позвонил «следователь» — значит следователь. Эти защитные рефлексы формируются только тренировкой.
Основные векторы атак
| Тип | Канал | Цель | Частота |
|---|---|---|---|
| Фишинг | Учётные данные, файл-дроппер | Очень высокая | |
| Spear phishing | Email персональный | Целевые сотрудники (CFO, HR) | Высокая |
| Vishing | Телефон | Манипуляция, данные | Средняя |
| Smishing | SMS/Telegram | Ссылка на фальшивый сайт | Растёт |
| Pretexting | Любой | Длинная легенда, «доверенный» контакт | Низкая, но опасная |
| Baiting | Физический | USB «с документами» | Редко, но бьёт точно |
Технический периметр: что ставим всегда
Я всегда разворачиваю семь технических мер, которые закрывают 80% входного вектора:
- SPF, DKIM, DMARC на собственном домене — со строгой политикой reject после 2–3 недель наблюдения.
- Антиспам с sandbox — Kaspersky Security for Mail Server, Proxmox Mail Gateway или облачный сервис.
- Двухфакторная аутентификация в Microsoft 365, корпоративной почте, VPN, 1С веб-клиенте.
- Геофильтр на входы — блок логинов из стран, где вы не работаете.
- EDR на рабочих станциях — Kaspersky EDR, Microsoft Defender for Endpoint или бесплатный Wazuh.
- Ограничение макросов Office через GPO — полный запрет для файлов из интернета.
- Контент-фильтрация DNS — AdGuard Home, NextDNS, Cisco Umbrella для блокировки фишинг-доменов.
DMARC: точная настройка
Без DMARC чужие письма с вашего домена идут в инбокс получателя на общих условиях. Пример правильной записи:
; TXT для _dmarc.yourcompany.ru
v=DMARC1; p=reject; rua=mailto:dmarc@yourcompany.ru;
ruf=mailto:dmarc-forensics@yourcompany.ru; fo=1; adkim=s; aspf=s; pct=100Сначала ставим p=none, собираем отчёты 2–4 недели, отлаживаем легальные рассылки и только потом переключаем в quarantine, затем в reject. Обязательно делаем SPF -all, а не ~all.
Обучение сотрудников: что работает
Лекция на полтора часа раз в год не работает. Работает регулярный цикл: короткие 10-минутные видео, ежемесячные тренировочные фишинг-рассылки, моментальный разбор «ты кликнул, вот почему это плохо». Я всегда настаиваю на следующем наборе:
- Онбординг-курс для новичка в первый рабочий день.
- Ежеквартальная тренировочная рассылка с имитацией фишинга.
- Обновляемые постеры возле принтеров: топ-5 признаков фальшивого письма.
- Канал в Telegram, куда можно скинуть подозрительное письмо и получить ответ админа за 20 минут.
- Правило «стоп-фраза»: если просьба перевести деньги приходит по email — обязательный звонок по известному номеру.
Мини-кейс: строительная компания, 62 сотрудника
В августе 2025 года к нам пришёл клиент — подмосковный застройщик с 62 сотрудниками. За полгода до этого они потеряли 1,4 млн руб. на подменённых реквизитах: бухгалтер полтора месяца переписывалась с «менеджером» подрядчика, в последнем письме банковский счёт поменяли — деньги ушли в неизвестность. Мы за 10 дней развернули: полный DMARC reject на домене, 2FA на всю почту, тренировочные рассылки раз в месяц через GoPhish, регламент «каждый платёж свыше 50 000 руб. — звонок по номеру из 1С, а не из письма». За последующие 8 месяцев не было ни одного успешного инцидента, хотя попыток фишинга фиксировалось 14–20 в неделю. Стоимость внедрения — 95 000 руб. и 18 000 руб./мес на сопровождение тренировок.
Процедура «если всё же кликнули»
Чек-лист, который должен быть распечатан и лежать у каждого админа:
- Отключить рабочую станцию от сети физически (вытащить провод, выключить Wi-Fi).
- Не выключать питание — нужны артефакты в памяти для анализа.
- Сменить пароль пользователя в AD и отозвать все активные сессии.
- Проверить входящий трафик с этой машины в межсетевом экране за последние 48 часов.
- Если попали финансовые данные — уведомить банк в течение часа.
- Создать тикет в внутренней CRM с тегом «инцидент» и провести постмортем.
# Отозвать все сессии пользователя в AD
Get-ADUser ivanov -Properties pwdLastSet
Set-ADAccountPassword -Identity ivanov -Reset -NewPassword (Read-Host -AsSecureString)
Set-ADUser ivanov -ChangePasswordAtLogon $true
# Посмотреть последние входы
Search-ADAccount -UsersOnly -AccountInactive -TimeSpan 00:00:10Типичные ошибки руководителей
- «У нас некому нас атаковать». Автоматические рассылки не делают различий между Газпромом и ИП на 5 человек.
- «Достаточно антивируса». EPP не видит легитимный вход в украденную учётку.
- Пренебрежение 2FA у CEO. Именно CEO — главная цель: его почта даёт доступ к финансовым потокам.
- Публичные email-адреса в подписи. Чем меньше прямых контактов в открытом доступе, тем меньше таргетированных атак.
- Отсутствие процедуры оповещения. Сотрудник боится рассказать, что кликнул — значит вы узнаете об инциденте через неделю, когда уже поздно.
Защитим бизнес от фишинга и социальной инженерии
Внедряем DMARC с политикой reject, 2FA, EDR, регулярные тренировочные рассылки и регламент реагирования. Стоимость проекта для офиса 50 РМ — от 80 000 руб. под ключ, сопровождение — от 18 000 руб./мес.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы о защите от социальной инженерии
- Что такое социальная инженерия простыми словами?
- Это манипулирование людьми, чтобы заставить их выдать конфиденциальную информацию или выполнить действие — перевести деньги, открыть вложение, сказать пароль. Злоумышленник использует доверие, страх или авторитет вместо технических уязвимостей.
- Какой самый распространённый вид атаки?
- Фишинг по электронной почте — более 80% случаев. Письмо маскируется под контрагента, банк или службу доставки и просит кликнуть по ссылке или открыть вложение.
- Помогает ли DMARC от фишинга?
- Защищает только от спуфинга собственного домена. От сторонних доменов-двойников типа yourcornpany.ru не спасёт, нужна обучение и фильтры.
- Сколько стоит тренинг по антифишингу?
- Базовый онлайн-курс для 50 сотрудников — 30–80 тыс. руб. Регулярные тренировочные фишинговые рассылки — от 3 тыс. руб. в месяц.
- Как понять, что сотрудник уже попался?
- Проверяйте логи входа: вход с незнакомых IP, одновременные сессии из разных стран, необычное время активности. SIEM, EDR и MFA резко снижают риск успешного развития атаки.