Социальная инженерия
Социальная инженерия
Социальная инженерия — способы убедить человека сделать то, что ослабляет безопасность — ввести пароль, открыть вложение, установить "патч", перевести деньги, пропустить "ремонтника" в серверную.
Это один из самых частых путей первичного проникновения в жизненном цикле атаки. Технологии сами по себе SE не закрывают — нужны обучение + MFA + процессы проверки.
Базовые признаки фишинга и правила поведения — в Основах ИБ. Здесь — инженерный разбор векторов и защиты в продукте и компании.
Почему это работает
Атакующий давит на срочность, страх или выгоду:
- "Заплатите штраф, иначе тюрьма"
- "На ПК вирус — срочно установите программу"
- "Слияние с конкурентом — откройте вложение"
- "Смените пароль начальника до конца дня, иначе увольнение"
В стрессе люди хуже оценивают риск. Доверие к "техподдержке", "налоговой", "курьеру" или "IT из соседнего отдела" используют и в офисе, и удалённо.
Каналы и виды атак
| Вид | Канал | Цель |
|---|---|---|
| Фишинг (phishing) | email, мессенджеры, SMS | учётные данные, вредоносное вложение |
| Spear phishing / whaling | персональное письмо | конкретный сотрудник или руководитель |
| Vishing | телефон | удалённый доступ, деньги, данные карты |
| Троянский конь | вложение, "патч" с сайта | запуск malware |
| Pretexting | лично, телефон | физический доступ, установка skimmer |
| Мошенничество (scam) | маркетплейсы, "эскроу" | обман с переводом "лишней" суммы |
| BEC | email "от CEO" | срочный перевод на "партнёра" |
| USB-drop / baiting | флешка в парковке | autorun, BadUSB |
Фишинг и целевой фишинг
Классика — письмо "от администратора сайта": "подтвердите учётную запись, иначе доступ заблокируют". Поддельная страница копирует банк, почту или корпоративный SSO.
Spear phishing использует непубличный контекст — имя проекта, коллеги, документ "от CFO о слиянии". Так начинались многие крупные корпоративные инциденты. Разведка для таких писем пересекается с легальным OSINT — только у атакующего цель иная.
Признаки для пользователя:
- срочность и угрозы без возможности проверить по второму каналу;
- чужой домен, похожий на ваш (
paypa1.com); - вложение или ссылка там, где раньше хватало входа в личный кабинет;
- запрос пароля или OTP в письме (настоящий сервис так не делает).
Троянский конь через доверие к сайту
Троян маскируется под легитимный файл и не размножается сам (в отличие от вируса), но после запуска может красть данные, открывать бэкдор или подгружать другой malware. Для срабатывания почти всегда нужно ваше действие — открыть вложение, запустить установщик, включить макрос (Kaspersky — трояны).
Жертву просят скачать "обязательный плагин", "антивирус" или "кодек для видео". Компрометируют и сам сайт, и рекламный баннер на нём. Пользователь годами заходил на ресурс — подозрений нет.
Если сайт требует программу "для продолжения просмотра" — закройте вкладку и установите ПО только с официального сайта разработчика, сверив URL. Не с промежуточной страницы и не с "чужого" зеркала.
Доставка malware через SE — в Вирусы и вредоносные программы.
Vishing и фальшивая техподдержка
Сценарий: звонок "из Microsoft / банка / налоговой", на ПК "обнаружен вирус". Жертву убеждают установить "сканер", затем TeamViewer / AnyDesk, после чего внедряют malware или выманивают оплату "лицензии".
Госструктуры в таких схемах используют для давления ("штраф", "арест"). ИИ-голос усиливает vishing: по короткому фрагменту аудио из соцсетей модель синтезирует звонок "от руководителя" с идеальной дикцией — см. Безопасность при работе с ИИ. Защита — никогда не давать удалённый доступ незнакомцам и перезванивать по номеру с официального сайта организации.
Личное участие и физический доступ
Исторически (Кевин Митник и др.) — переодеться в ремонтника телефонии, "сисадмина", курьера. Фраза "слышал, компьютер тормозит — я как раз пришёл починить" снимает барьер. В банках ставили перехватчики на клавиатуру, представляясь IT.
Для офиса и ЦОД:
- escort для гостей и подрядчиков;
- бейджи без "доверия по форме";
- процедура "перезвонить в IT по внутреннему номеру", если звонят "из поддержки".
Мошенничество в сделках
Схема с поддельным чеком на большую сумму и просьбой вернуть "излишек" — классика маркетплейсов. Продавец теряет переведённые "лишние" деньги, когда банк отклоняет чек. Покупатель отправляет оплату и не получает товар.
Это не CVE, но часть threat landscape для сотрудников, работающих с закупками и личными сделками.
Защита — обучение
Рекомендуется ежегодное обучение с примерами и коротким тестом. Сильнее всего работают истории от уважаемых коллег, а не абстрактные слайды.
Имитация фишинга (phishing simulation) — контролируемые поддельные письма внутри компании. Попавшие на крючок проходят дополнительный курс, без публичного "позора". Есть open source и коммерческие платформы (KnowBe4 и аналоги).
Для маркетплейсов и переводов — отдельный блок про типовые scam-схемы.
Защита — технологии
| Мера | Зачем |
|---|---|
| MFA / FIDO2 / passkeys | украденный пароль из фишинга не даёт сессию; см. Авторизация и аутентификация |
| Фильтры почты и URL | блокировка вложений, sandbox, reputation links |
| DMARC / SPF / DKIM | сложнее подделать домен отправителя; Уровни доверия и SSL TLS |
| Блокировка макросов | политика Office "только подписанные" |
| Ограничение USB | групповые политики, отключение autorun |
| Процедуры для финансов | второй человек + звонок инициатору по известному номеру при "срочном переводе" |
Классический OTP по SMS или push иногда обходят (MFA fatigue, reverse proxy). Для критичных систем предпочтительны аппаратные ключи FIDO2 или certificate-based login — их сложнее выманить через поддельную страницу.
Фильтры не дают 100 % — остаются каналы вне почты (звонки, Telegram, личный контакт). Поэтому процедуры важнее одного продукта.
Что делает команда разработки
SE бьёт по пользователям вашего продукта, не только по сотрудникам:
- Письма от приложения — узнаваемый From, DKIM, без "кликните и введите пароль в письме".
- Deep links — не просить секреты в query string; использовать короткоживущие токены.
- Сообщения об ошибках — без лишних деталей для атакующего (user enumeration).
- Admin / support flows — явная идентификация саппорта; запрет "мы уже знаем ваш пароль, продиктуйте для проверки".
- Обучение саппорта — не запрашивать пароль клиента (ни при каких условиях).
При проектировании auth смотрите OAuth/OIDC и phishing-resistant MFA.
Чек-лист
Пользователь / сотрудник
- Ссылку из письма не открываю — захожу на сервис через закладку или ввод URL вручную.
- Вложения от неожиданных отправителей не запускаю; макросы — только если ждал документ.
- "Срочный перевод" от руководителя — подтверждаю вторым каналом (звонок, лично).
- Неизвестным не даю удалённый доступ к ПК.
- Чужие USB-накопители не подключаю к рабочей машине.
Команда ИБ / инфраструктуры
- Ежегодное обучение + симуляция фишинга.
- MFA на почте, VPN, админках; FIDO2 для привилегированных ролей.
- DMARC p=reject или quarantine на корпоративном домене.
- Процедура BEC для бухгалтерии и закупок.
Источники и смежные материалы
- Жизненный цикл атаки — SE как вектор проникновения.
- Вирусы и вредоносные программы — доставка через фишинг.
- Стилеры — кража паролей, cookie и криптокошельков после успешной SE.
- Как выявлять замаскированные вирусы? — проверка процессов после установки "патча" с фишингового сайта.
- Основы ИБ — фишинг для пользователя.