Социальная инженерия
Социальная инженерия
Социальная инженерия — способы убедить человека сделать то, что ослабляет безопасность: ввести пароль, открыть вложение, установить «патч», перевести деньги, пропустить «ремонтника» в серверную.
Это один из самых частых путей первичного проникновения в жизненном цикле атаки. Технологии сами по себе SE не закрывают — нужны обучение + MFA + процессы проверки.
Почему это работает
Атакующий давит на срочность, страх или выгоду:
- «Заплатите штраф, иначе тюрьма»
- «На ПК вирус — срочно установите программу»
- «Слияние с конкурентом — откройте вложение»
- «Смените пароль начальника до конца дня, иначе увольнение»
В стрессе люди хуже оценивают риск. Доверие к «техподдержке», «налоговой», «курьеру» или «IT из соседнего отдела» используют и в офисе, и удалённо.
Каналы и виды атак
| Вид | Канал | Цель |
|---|---|---|
| Фишинг (phishing) | email, мессенджеры, SMS | учётные данные, вредоносное вложение |
| Spear phishing / whaling | персональное письмо | конкретный сотрудник или руководитель |
| Vishing | телефон | удалённый доступ, деньги, данные карты |
| Троянский конь | вложение, «патч» с сайта | запуск malware |
| Pretexting | лично, телефон | физический доступ, установка skimmer |
| Мошенничество (scam) | маркетплейсы, «эскроу» | обман с переводом «лишней» суммы |
| BEC | email «от CEO» | срочный перевод на «партнёра» |
| USB-drop / baiting | флешка в парковке | autorun, BadUSB |
Фишинг и целевой фишинг
Классика — письмо «от администратора сайта»: «подтвердите учётную запись, иначе доступ заблокируют». Поддельная страница копирует банк, почту или корпоративный SSO.
Spear phishing использует непубличный контекст: имя проекта, коллеги, документ «от CFO о слиянии». Так начинались многие крупные корпоративные инциденты. Разведка для таких писем пересекается с легальным OSINT — только у атакующего цель иная.
Признаки для пользователя:
- срочность и угрозы без возможности проверить по второму каналу;
- чужой домен, похожий на ваш (
paypa1.com); - вложение или ссылка там, где раньше хватало входа в личный кабинет;
- запрос пароля или OTP в письме (настоящий сервис так не делает).
Троянский конь через доверие к сайту
Жертву просят скачать «обязательный плагин», «антивирус» или «кодек для видео». Компрометируют и сам сайт, и рекламный баннер на нём. Пользователь годами заходил на ресурс — подозрений нет.
Доставка malware через SE — в 119.
Vishing и фальшивая техподдержка
Сценарий: звонок «из Microsoft / банка / налоговой», на ПК «обнаружен вирус». Жертву убеждают установить «сканер», затем TeamViewer / AnyDesk, после чего внедряют malware или выманивают оплату «лицензии».
Госструктуры в таких схемах используют для давления («штраф», «арест»). Защита — никогда не давать удалённый доступ незнакомцам и перезванивать по номеру с официального сайта организации.
Личное участие и физический доступ
Исторически (Кевин Митник и др.) — переодеться в ремонтника телефонии, «сисадмина», курьера. Фраза «слышал, компьютер тормозит — я как раз пришёл починить» снимает барьер. В банках ставили перехватчики на клавиатуру, представляясь IT.
Для офиса и ЦОД:
- escort для гостей и подрядчиков;
- бейджи без «доверия по форме»;
- процедура «перезвонить в IT по внутреннему номеру», если звонят «из поддержки».
Мошенничество в сделках
Схема с поддельным чеком на большую сумму и просьбой вернуть «излишек» — классика маркетплейсов. Продавец теряет переведённые «лишние» деньги, когда банк отклоняет чек. Покупатель отправляет оплату и не получает товар.
Это не CVE, но часть threat landscape для сотрудников, работающих с закупками и личными сделками.
Защита — обучение
Рекомендуется ежегодное обучение с примерами и коротким тестом. Сильнее всего работают истории от уважаемых коллег, а не абстрактные слайды.
Имитация фишинга (phishing simulation) — контролируемые поддельные письма внутри компании. Попавшие на крючок проходят дополнительный курс, без публичного «позора». Есть open source и коммерческие платформы (KnowBe4 и аналоги).
Для маркетплейсов и переводов — отдельный блок про типовые scam-схемы.
Защита — технологии
| Мера | Зачем |
|---|---|
| MFA / FIDO2 / passkeys | украденный пароль из фишинга не даёт сессию; см. 116 |
| Фильтры почты и URL | блокировка вложений, sandbox, reputation links |
| DMARC / SPF / DKIM | сложнее подделать домен отправителя; 118 |
| Блокировка макросов | политика Office «только подписанные» |
| Ограничение USB | групповые политики, отключение autorun |
| Процедуры для финансов | второй человек + звонок инициатору по известному номеру при «срочном переводе» |
Фильтры не дают 100 % — остаются каналы вне почты (звонки, Telegram, личный контакт). Поэтому процедуры важнее одного продукта.
Что делает команда разработки
SE бьёт по пользователям вашего продукта, не только по сотрудникам:
- Письма от приложения — узнаваемый From, DKIM, без «кликните и введите пароль в письме».
- Deep links — не просить секреты в query string; использовать короткоживущие токены.
- Сообщения об ошибках — без лишних деталей для атакующего (user enumeration).
- Admin / support flows — явная идентификация саппорта; запрет «мы уже знаем ваш пароль, продиктуйте для проверки».
- Обучение саппорта — не запрашивать пароль клиента (ни при каких условиях).
При проектировании auth смотрите OAuth/OIDC и phishing-resistant MFA.
Чек-лист
Пользователь / сотрудник
- Ссылку из письма не открываю — захожу на сервис через закладку или ввод URL вручную.
- Вложения от неожиданных отправителей не запускаю; макросы — только если ждал документ.
- «Срочный перевод» от руководителя — подтверждаю вторым каналом (звонок, лично).
- Неизвестным не даю удалённый доступ к ПК.
- Чужие USB-накопители не подключаю к рабочей машине.
Команда ИБ / инфраструктуры
- Ежегодное обучение + симуляция фишинга.
- MFA на почте, VPN, админках; FIDO2 для привилегированных ролей.
- DMARC p=reject или quarantine на корпоративном домене.
- Процедура BEC для бухгалтерии и закупок.
Источники и смежные материалы
- Жизненный цикл атаки — SE как вектор проникновения.
- Вирусы и вредоносные программы — доставка через фишинг.
- Основы ИБ — фишинг для пользователя.
См. также
Другие статьи этого же раздела в боковом меню (как на странице "О разделе"). OWASP (Open Web Application Security Project) — это некоммерческая организация, которая выпускает список TOP 10 самых опасных уязвимостей веб-приложений. Методы защиты информации - непрерывный процесс на жизненном цикле системы, безопасная разработка и типовые угрозы. Инцидент информационной безопасности — это событие или последовательность событий, нарушающих или угрожающих нарушить конфиденциальность, целостность или доступность информации. Средства защиты информации - эволюция терминов и требований ФСТЭК России, включая актуализацию после приказа № 117 (2025). Сертификация и цифровые сертификаты - роли сторон, доверие и инфраструктура открытых ключей (PKI). Content Security Policy — это мощный механизм защиты от XSS, clickjacking и других атак, основанный на белых списках источников ресурсов. Анализ безопасности — это систематический процесс выявления, оценки и приоритизации уязвимостей в программном обеспечении. Безопасность на ранних этапах разработки (Secure Software Development Life Cycle, Secure SDLC) представляет собой методологию внедрения практик защиты информации непосредственно в процесс создания. Контроль и отслеживание в ИБ - журналирование действий, аудит и анализ операций для расследований и соответствия требованиям. Шифрование в информационной безопасности - цели, обратимость преобразования и роль ключей при защите данных. HTTPS функционирует на порту 443. Этот порт используется большинством веб-серверов по умолчанию. Блокировка соединения на этом порту нарушает работу интернета. Современный мессенджер представляет собой распределённую систему с несколькими ключевыми узлами. Основными компонентами являются клиентское приложение и серверная инфраструктура.Информационная безопасность
Методы защиты информации
Государственные требования к информационной безопасности
Средства защиты информации
Сертификация и сертификаты
Безопасность приложений
Анализ и тестирование безопасности
Безопасность на ранних этапах разработки
Контроль и отслеживание
Шифрование
SSH и HTTPS
Архитектура взаимодействия мессенджеров