Перейти к основному содержимому

Социальная инженерия

Разработчику Инженеру

Социальная инженерия

Социальная инженерия — способы убедить человека сделать то, что ослабляет безопасность — ввести пароль, открыть вложение, установить "патч", перевести деньги, пропустить "ремонтника" в серверную.

Это один из самых частых путей первичного проникновения в жизненном цикле атаки. Технологии сами по себе SE не закрывают — нужны обучение + MFA + процессы проверки.

Для новичков

Базовые признаки фишинга и правила поведения — в Основах ИБ. Здесь — инженерный разбор векторов и защиты в продукте и компании.


Почему это работает

Атакующий давит на срочность, страх или выгоду:

  • "Заплатите штраф, иначе тюрьма"
  • "На ПК вирус — срочно установите программу"
  • "Слияние с конкурентом — откройте вложение"
  • "Смените пароль начальника до конца дня, иначе увольнение"

В стрессе люди хуже оценивают риск. Доверие к "техподдержке", "налоговой", "курьеру" или "IT из соседнего отдела" используют и в офисе, и удалённо.


Каналы и виды атак

ВидКаналЦель
Фишинг (phishing)email, мессенджеры, SMSучётные данные, вредоносное вложение
Spear phishing / whalingперсональное письмоконкретный сотрудник или руководитель
Vishingтелефонудалённый доступ, деньги, данные карты
Троянский коньвложение, "патч" с сайтазапуск malware
Pretextingлично, телефонфизический доступ, установка skimmer
Мошенничество (scam)маркетплейсы, "эскроу"обман с переводом "лишней" суммы
BECemail "от CEO"срочный перевод на "партнёра"
USB-drop / baitingфлешка в парковкеautorun, BadUSB

Фишинг и целевой фишинг

Классика — письмо "от администратора сайта": "подтвердите учётную запись, иначе доступ заблокируют". Поддельная страница копирует банк, почту или корпоративный SSO.

Spear phishing использует непубличный контекст — имя проекта, коллеги, документ "от CFO о слиянии". Так начинались многие крупные корпоративные инциденты. Разведка для таких писем пересекается с легальным OSINT — только у атакующего цель иная.

Признаки для пользователя:

  • срочность и угрозы без возможности проверить по второму каналу;
  • чужой домен, похожий на ваш (paypa1.com);
  • вложение или ссылка там, где раньше хватало входа в личный кабинет;
  • запрос пароля или OTP в письме (настоящий сервис так не делает).

Троянский конь через доверие к сайту

Троян маскируется под легитимный файл и не размножается сам (в отличие от вируса), но после запуска может красть данные, открывать бэкдор или подгружать другой malware. Для срабатывания почти всегда нужно ваше действие — открыть вложение, запустить установщик, включить макрос (Kaspersky — трояны).

Жертву просят скачать "обязательный плагин", "антивирус" или "кодек для видео". Компрометируют и сам сайт, и рекламный баннер на нём. Пользователь годами заходил на ресурс — подозрений нет.

Правило установки ПО

Если сайт требует программу "для продолжения просмотра" — закройте вкладку и установите ПО только с официального сайта разработчика, сверив URL. Не с промежуточной страницы и не с "чужого" зеркала.

Доставка malware через SE — в Вирусы и вредоносные программы.


Vishing и фальшивая техподдержка

Сценарий: звонок "из Microsoft / банка / налоговой", на ПК "обнаружен вирус". Жертву убеждают установить "сканер", затем TeamViewer / AnyDesk, после чего внедряют malware или выманивают оплату "лицензии".

Госструктуры в таких схемах используют для давления ("штраф", "арест"). ИИ-голос усиливает vishing: по короткому фрагменту аудио из соцсетей модель синтезирует звонок "от руководителя" с идеальной дикцией — см. Безопасность при работе с ИИ. Защита — никогда не давать удалённый доступ незнакомцам и перезванивать по номеру с официального сайта организации.


Личное участие и физический доступ

Исторически (Кевин Митник и др.) — переодеться в ремонтника телефонии, "сисадмина", курьера. Фраза "слышал, компьютер тормозит — я как раз пришёл починить" снимает барьер. В банках ставили перехватчики на клавиатуру, представляясь IT.

Для офиса и ЦОД:

  • escort для гостей и подрядчиков;
  • бейджи без "доверия по форме";
  • процедура "перезвонить в IT по внутреннему номеру", если звонят "из поддержки".

Мошенничество в сделках

Схема с поддельным чеком на большую сумму и просьбой вернуть "излишек" — классика маркетплейсов. Продавец теряет переведённые "лишние" деньги, когда банк отклоняет чек. Покупатель отправляет оплату и не получает товар.

Это не CVE, но часть threat landscape для сотрудников, работающих с закупками и личными сделками.


Защита — обучение

Рекомендуется ежегодное обучение с примерами и коротким тестом. Сильнее всего работают истории от уважаемых коллег, а не абстрактные слайды.

Имитация фишинга (phishing simulation) — контролируемые поддельные письма внутри компании. Попавшие на крючок проходят дополнительный курс, без публичного "позора". Есть open source и коммерческие платформы (KnowBe4 и аналоги).

Для маркетплейсов и переводов — отдельный блок про типовые scam-схемы.


Защита — технологии

МераЗачем
MFA / FIDO2 / passkeysукраденный пароль из фишинга не даёт сессию; см. Авторизация и аутентификация
Фильтры почты и URLблокировка вложений, sandbox, reputation links
DMARC / SPF / DKIMсложнее подделать домен отправителя; Уровни доверия и SSL TLS
Блокировка макросовполитика Office "только подписанные"
Ограничение USBгрупповые политики, отключение autorun
Процедуры для финансоввторой человек + звонок инициатору по известному номеру при "срочном переводе"
MFA и фишинг

Классический OTP по SMS или push иногда обходят (MFA fatigue, reverse proxy). Для критичных систем предпочтительны аппаратные ключи FIDO2 или certificate-based login — их сложнее выманить через поддельную страницу.

Фильтры не дают 100 % — остаются каналы вне почты (звонки, Telegram, личный контакт). Поэтому процедуры важнее одного продукта.


Что делает команда разработки

SE бьёт по пользователям вашего продукта, не только по сотрудникам:

  • Письма от приложения — узнаваемый From, DKIM, без "кликните и введите пароль в письме".
  • Deep links — не просить секреты в query string; использовать короткоживущие токены.
  • Сообщения об ошибках — без лишних деталей для атакующего (user enumeration).
  • Admin / support flows — явная идентификация саппорта; запрет "мы уже знаем ваш пароль, продиктуйте для проверки".
  • Обучение саппорта — не запрашивать пароль клиента (ни при каких условиях).

При проектировании auth смотрите OAuth/OIDC и phishing-resistant MFA.


Чек-лист

Пользователь / сотрудник

  • Ссылку из письма не открываю — захожу на сервис через закладку или ввод URL вручную.
  • Вложения от неожиданных отправителей не запускаю; макросы — только если ждал документ.
  • "Срочный перевод" от руководителя — подтверждаю вторым каналом (звонок, лично).
  • Неизвестным не даю удалённый доступ к ПК.
  • Чужие USB-накопители не подключаю к рабочей машине.

Команда ИБ / инфраструктуры

  • Ежегодное обучение + симуляция фишинга.
  • MFA на почте, VPN, админках; FIDO2 для привилегированных ролей.
  • DMARC p=reject или quarantine на корпоративном домене.
  • Процедура BEC для бухгалтерии и закупок.

Источники и смежные материалы