Социальная инженерия: как защитить бизнес от человеческого фактора

Социальная инженерия: как защитить бизнес от человеческого фактора

Security 24 марта 2026 Автор: Евгений Семёнов
Социальная инженерия: как защитить бизнес от человеческого фактора

Больше половины успешных кибератак на бизнес в 2025 году — это социальная инженерия. Среди атак на частных лиц цифра ещё выше: 88%. Никакой файрвол не поможет, если бухгалтер откроет вложение из «письма от налоговой» или директор продиктует код из SMS «службе безопасности банка». Атакуют не сервер — атакуют человека. В этой статье разберём все виды атак, реальные кейсы и пошаговый план защиты вашего бизнеса.

Что такое социальная инженерия и почему она так эффективна?

Социальная инженерия — это манипуляция людьми ради получения паролей, доступа к системам или денег. Никакого взлома в классическом смысле. Просто психология: давление авторитетом, страх, искусственная спешка, желание человека быть вежливым и полезным. Технические атаки ломают системы — социнженерия ломает людей.

Почему это работает:

Какие виды атак социальной инженерии существуют?

Фишинг (Phishing)

Массовые или целевые поддельные письма, имитирующие банки, госорганы, привычные сервисы. Цель одна — выудить логин с паролем или заставить скачать вредоносный файл.

Вишинг (Vishing)

Голосовые звонки от «банка», «полиции», «техподдержки». Мы сами сталкивались с клиентами, которым звонил «директор» с просьбой срочно перевести деньги — а в 2025 году этот голос уже генерирует ИИ, и отличить его от настоящего практически невозможно:

Реальный кейс: Финансовый директор получил звонок от «генерального директора» с просьбой срочно перевести $25 млн на счёт «подрядчика». Голос был сгенерирован ИИ на основе публичных выступлений директора. Компания потеряла деньги.

Pretexting (Легенда)

Злоумышленник приходит с готовой легендой: представляется сотрудником IT-отдела, аудитором, курьером из типографии. Цель — попасть в офис физически или получить пароль от системы устно, без единого взлома.

Baiting (Приманка)

Заражённые USB-флешки подбрасывают у офисного входа, на парковке, иногда присылают как «подарок». Работает банально — человек находит флешку и из любопытства вставляет в рабочий ПК. Дальше всё происходит само.

Tailgating (Проход следом)

Физическое проникновение в офис за авторизованным сотрудником: «Извините, забыл пропуск, можно пройти с вами?» Большинство людей не откажут — неловко.

Quid pro quo (Услуга за услугу)

Звонок от «техподдержки»: «У вас проблемы с компьютером? Я помогу, только установите вот эту программу для удалённого доступа.» После этого злоумышленник получает полный контроль над машиной.

Как фишинговые письма обходят защиту и обманывают сотрудников?

Современный фишинг — это не те смешные письма с ошибками, которые были 10 лет назад. Сейчас всё серьёзнее:

Какие технические меры защиты нужно внедрить?

  1. MFA / 2FA везде: двухфакторная аутентификация нейтрализует 90%+ фишинг-атак на учётные данные. Даже если сотрудник ввёл пароль на фишинговом сайте — без второго фактора злоумышленник всё равно не войдёт. Это одна мера, которую мы рекомендуем внедрять в первую очередь.
  2. Email-фильтрация: SPF, DKIM, DMARC на своём домене + антиспам-шлюз (Kaspersky Security for Mail, Microsoft Defender for Office 365) — без этого ваш домен могут использовать для рассылки от вашего же имени
  3. Блокировка макросов: отключите макросы в Office через GPO для всех сотрудников, оставив исключения только там, где они реально нужны по работе
  4. DNS-фильтрация: блокировка фишинговых доменов на уровне DNS (Cloudflare Gateway, AdGuard DNS) — пользователь просто не откроет вредоносный сайт, даже если кликнет по ссылке
  5. EDR/XDR: продвинутая защита конечных точек, которая замечает подозрительное поведение — не по сигнатурам, а по действиям процессов
  6. Блокировка USB: через GPO или DLP-систему — закрывает вектор Baiting полностью, никакая подброшенная флешка не сработает
  7. SIEM/SOC: централизованный мониторинг событий безопасности — видите аномалии до того, как они стали инцидентом
# GPO: блокировка макросов в Office
# User Configuration → Administrative Templates →
# Microsoft Word → Word Options → Security →
# Trust Center → VBA Macro Notification Settings
# → Disable all macros without notification

# GPO: блокировка USB-накопителей
# Computer Configuration → Administrative Templates →
# System → Removable Storage Access →
# All Removable Storage: Deny all access → Enabled

Как обучить сотрудников распознавать атаки социальной инженерии?

На практике выяснилось: технические меры закрывают около 70% атак. Оставшиеся 30% — это люди. И именно здесь большинство компаний экономят, а потом теряют деньги. Нормально работающая программа обучения выглядит так:

  1. Регулярные тренинги: не раз в год галочка ради галочки, а короткие сессии по 15–20 минут ежемесячно — люди запоминают то, что повторяется
  2. Учебные фишинговые атаки: рассылайте тестовые фишинговые письма через GoPhish или KnowBe4. Те, кто «попался», проходят дополнительное обучение — без штрафов, но с разбором ошибки.
  3. Реальные примеры: берите не выдуманные письма из учебников, а те, что реально прилетали на ваши ящики. У нас в практике такая подборка работает в разы лучше любой теории
  4. Культура сообщения: сотрудник должен сообщить о подозрительном письме — и не бояться, что его засмеют или накажут, если тревога окажется ложной. Перестрахуйся — это нормально
  5. Чек-лист для проверки: распечатайте, заламинируйте, прикрепите рядом с монитором. Звучит банально, но работает

Чек-лист: как распознать фишинг

Какие регламенты и политики нужно внедрить в компании?

Как deepfake и ИИ меняют ландшафт угроз в 2025-2026 году?

ИИ сделал социальную инженерию принципиально другой угрозой. Вот что мы видим уже сегодня:

Как провести аудит устойчивости компании к социальной инженерии?

Хотите знать реальный уровень защищённости своей компании — проверяйте его на практике, а не по ощущениям:

  1. Фишинг-тест: рассылка тестовых писем через GoPhish или KnowBe4 — смотрим, сколько процентов открыли и кликнули. Средний показатель по рынку — 30–40%, у наших клиентов после обучения падает до 5–8%
  2. Вишинг-тест: звоним сотрудникам от имени «техподдержки» и просим назвать пароль. Результаты, если честно, каждый раз удивляют
  3. Физический тест: пытаемся пройти в офис без пропуска или подбрасываем USB-флешку с маяком — проверяем, что с ней сделают
  4. Анализ результатов: считаем процент «попавшихся», выявляем отделы с наибольшим риском и составляем конкретный план — кого учить в первую очередь и чему именно
Бенчмарк: При первом фишинг-тесте обычно «попадается» 30-40% сотрудников. После 6 месяцев регулярных тренингов и тестов показатель снижается до 5-10%. Цель — менее 5%.

Что делать, если атака произошла: план реагирования

  1. Изоляция: скомпрометированный ПК — немедленно из сети. Физически отключите кабель, не ждите пока IT-отдел доберётся
  2. Смена паролей: сначала на скомпрометированных аккаунтах, потом — на всех критичных системах. Не через неделю, а в тот же день
  3. Анализ: разберитесь, что именно могло утечь — учётные данные, клиентская база, финансовые документы. От этого зависят дальнейшие шаги
  4. Уведомление: руководство и IT-безопасность — сразу. При утечке персональных данных — Роскомнадзор в течение 72 часов. Это требование закона, а не рекомендация
  5. Восстановление: скомпрометированный ПК — переустановка ОС с нуля, бэкапы — проверить до восстановления, а не после
  6. Извлечение уроков: разберите инцидент с командой без поиска виноватых — обновите политики и проведите внеплановое обучение по горячим следам

Заключение: безопасность — это процесс, а не продукт

Защита от социальной инженерии — не проект с дедлайном, а постоянная работа. Технические меры — 2FA, email-фильтрация, EDR — это фундамент. Регламенты и верификация — это процессы. Но всё это не заменит сотрудника, который умеет думать перед тем, как кликнуть. Начните прямо сейчас: включите 2FA везде, запустите первый фишинг-тест, введите правило верификации финансовых запросов. И запомните простую вещь — если вы считаете, что вас не атакуют, скорее всего вы просто ещё не знаете об атаке.

Источники: Anti-Malware.ru, MITRE ATT&CK

Часто задаваемые вопросы

Какой процент кибератак использует социальную инженерию?

По данным за 2024-2025 год, социальная инженерия применяется в более чем 50% атак на компании и в 88% атак на частных лиц. Фишинг остаётся самым распространённым вектором начальной компрометации, опережая эксплуатацию технических уязвимостей.

Поможет ли антивирус защитить от фишинга?

Антивирус блокирует вредоносные вложения и известные фишинговые URL, но не защитит, если сотрудник сам введёт пароль на поддельном сайте или переведёт деньги по просьбе мошенника. Нужен комплексный подход: антивирус + 2FA + обучение + регламенты.

Как часто нужно проводить обучение сотрудников по ИБ?

Регулярно и часто — короткие сессии по 15-20 минут ежемесячно эффективнее, чем длинный тренинг раз в год. Дополняйте тестовыми фишинговыми рассылками раз в квартал. После 6 месяцев регулярных тренингов процент попавшихся на фишинг снижается с 30-40% до 5-10%.

Что такое deepfake-атаки и как от них защищаться?

Deepfake использует ИИ для генерации голоса или видео, имитирующего реального человека. Для защиты: внедрите кодовые слова для подтверждения при необычных запросах по телефону, требуйте многоканальную верификацию финансовых операций (звонок + email + подтверждение в системе).

Какие инструменты использовать для тестовых фишинговых рассылок?

GoPhish (бесплатный, open-source) — для самостоятельного проведения тестов. KnowBe4 или Phishman — коммерческие платформы с готовыми шаблонами, обучением и отчётностью. Для малого бизнеса GoPhish + собственные шаблоны — оптимальный вариант.

Нужно ли сообщать в полицию о фишинговой атаке?

Если произошёл реальный ущерб (кража денег, утечка данных) — да, подайте заявление в полицию (отдел К) и уведомите Роскомнадзор (при утечке персональных данных — в течение 72 часов). Для тренировки — нет, но сохраняйте фишинговые письма как образцы для обучения.

Нужна помощь специалистов?

ООО «АйТи Фреш» возьмёт это на себя

Не хватает времени или своих специалистов — мы настроим, оптимизируем и возьмём вашу IT-инфраструктуру на постоянное сопровождение. Работаем с юридическими лицами в Москве и регионах. Собственный дата-центр, команда из 8 серверов Dell Xeon Platinum 8280 на базе МТС.

15+лет опыта
25+клиентов
40Gсвоя сеть
24/7поддержка

Подпишитесь на рассылку ITfresh

Каждую неделю мы выпускаем практические гайды для руководителей IT и системных администраторов. Это не просто теория! Здесь вы найдёте всё: безопасность, 1С, миграции, резервные копии и проверенные лайфхаки из наших реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.