Социальная инженерия в ИБ: виды атак, примеры и как защитить компанию

В начале 2024 года сотрудники финансового отдела инженерной компании Arup получили видеозвонок от человека, который выглядел и говорил как финансовый директор компании. На встрече обсуждался срочный перевод средств для закрытия проекта.

Несколько участников звонка подтвердили запрос, после чего сотрудник перевел деньги на указанные счета. Позже выяснилось, что видеоконференция была поддельной. Злоумышленники использовали технологию дипфейков, чтобы имитировать внешность и голос руководителя. В результате атаки компания потеряла около 25 млн долларов.

Такие атаки по-прежнему остаются одним из самых частых способов проникновения в корпоративную инфраструктуру.

По данным отчета Verizon Data Breach Investigations Report 2025, около 60% утечек данных связаны с человеческим фактором — ошибками сотрудников, социальной инженерией или злоупотреблением доступом.

В статье разберем, что такое социальная инженерия в информационной безопасности, какие методы используют злоумышленники и как такие атаки выглядят в корпоративной среде. Также покажем, какие процессы помогают компаниям снижать риск подобных инцидентов.

Социальная инженерия в информационной безопасности — это тип атак, при котором злоумышленники получают доступ к системам или данным через действия сотрудников, а не через уязвимости в программном обеспечении.

Как работает социальная инженерия в компаниях?

Такие атаки обычно встроены в привычные рабочие процессы: письма, звонки, сообщения в мессенджерах или рабочие встречи. Злоумышленник использует рабочий контекст, чтобы добиться нужного действия от сотрудника.

Представьте типичную ситуацию. Сотрудник получает письмо от «IT-отдела» с уведомлением о проблеме с аккаунтом. В письме есть ссылка на страницу «восстановления доступа». Если сотрудник переходит по ссылке и вводит пароль, злоумышленник получает данные для входа в систему.

Социальная инженерия отличается от технических атак тем, что злоумышленнику не нужно искать уязвимость в программном обеспечении. Вместо этого он пытается изменить поведение сотрудника: убедить его перейти по ссылке, сообщить данные или подтвердить действие в системе. Если человек выполняет этот шаг, защита инфраструктуры уже не играет решающей роли.

Злоумышленники используют разные методы социальной инженерии, чтобы получить доступ к системам и данным компании.

Основные виды атак социальной инженерии:

• фишинг;
• вишинг;
• смс-фишинг;
• подмена личности.

Эти атаки чаще всего встречаются в корпоративной среде.

Фишинг

Фишинг — один из самых распространенных сценариев атак. Сотрудник получает письмо, которое выглядит как сообщение от знакомого сервиса или внутреннего подразделения компании. Например, это может быть письмо из отдела кадров с документом для ознакомления. В письме есть ссылка на страницу входа или вложение.

Риск возникает, когда сотрудник выполняет действие: переходит по ссылке и вводит данные учетной записи или открывает вложение. После этого злоумышленники могут получить доступ к системе или устройству пользователя.

В статье «Фишинг: что это такое, как работает и как защититься» подробно разобрали виды фишинга, какие признаки помогают заметить подмену и какие действия помогают защититься. Там есть примеры реальных сценариев атак и алгоритм проверки писем перед тем, как переходить по ссылке или открывать вложения.

Вишинг — атаки через звонки

Вишинг — атака с использованием телефонного звонка. 

Например, сотруднику звонит человек, который представляется специалистом подрядчика, обслуживающего корпоративную систему. Он сообщает, что проводятся работы или обновление, и просит «проверить доступ» — назвать код подтверждения или выполнить вход в системе.

Риск возникает в момент, когда сотрудник выполняет этот запрос. Передавая код или подтверждая вход, он фактически открывает злоумышленнику доступ к учетной записи или внутренним системам.

Такие атаки строятся на правдоподобном контексте: подрядчик — это привычная часть работы, поэтому запрос не вызывает подозрений. Дополнительно злоумышленники могут создавать ощущение срочности, чтобы сотрудник не проверял информацию и принял решение быстро.

Смс-фишинг

Смс-фишинг (smishing) — разновидность фишинга, в которой сообщение приходит через смс или мессенджер.

Например, сотруднику приходит сообщение якобы от коллеги: «Не могу открыть файл, посмотри, пожалуйста» — и ссылка на документ. Сообщение может выглядеть как пересланное или приходить в привычном рабочем чате.

Риск возникает в момент, когда сотрудник переходит по ссылке и вводит данные учетной записи. После этого злоумышленники получают доступ к аккаунту или внутренним системам.

Такие атаки строятся на доверии к коллегам и привычке быстро реагировать на рабочие сообщения. Сотрудник воспринимает запрос как часть текущей задачи и не проверяет источник ссылки.

Подмена личности

Еще один распространенный сценарий — выдача себя за сотрудника компании или подрядчика. Например, злоумышленник может обратиться в сервис-деск и представиться сотрудником, который потерял доступ к аккаунту.

Если процедура проверки личности нарушается, оператор поддержки может сбросить пароль или изменить настройки доступа. В этом случае злоумышленник получает доступ к системе через обычный рабочий процесс.

В 2024—2025 годах аналитики угроз расследовали серию атак на крупные зарубежные компании, связанных с группой Scattered Spider. Эта группа активно использует методы социальной инженерии при работе с сервис-десками и службой поддержки.

Сценарий атак выглядел так:

1. Злоумышленники собирали информацию о сотрудниках из открытых источников и социальных сетей.
2. Затем звонили в сервис-деск компании и представлялись сотрудниками, потерявшими доступ к аккаунту.
3. После сброса пароля начинали массово отправлять сотруднику запросы подтверждения входа (MFA).
4. Через некоторое время сотрудник, получая десятки уведомлений, подтверждал один из запросов. После этого злоумышленники получали доступ к корпоративной учетной записи.

Такой кейс показывает, что даже защищенная инфраструктура не помогает, если атакующий встроился в рабочий процесс и смог обойти процедуры проверки доступа.

Дипфейки усиливают атаки с подменой личности — сегодня злоумышленникам достаточно нескольких секунд записи, чтобы сгенерировать голос, похожий на голос руководителя или коллеги. 

Поэтому важно, чтобы сотрудники понимали не только сам факт существования дипфейков, но и то, как именно они используются в атаках и на каких этапах чаще всего возникают ошибки.

Например, на платформе Start AWR обучение по дипфейкам основано на реальных сценариях мошенничества. В курсе сотрудники разбирают:

• что такое дипфейки и как злоумышленники используют их в атаках;
• какие материалы используют для подделки голоса и внешности;
• как развивается атака с применением дипфейков — от подготовки до запроса денег или данных;
• как распознать подделку и что делать.

Фокус курса — на действиях, которые помогают выработать навыки для сценариев с подменой личности, давлением на срочность и запросами на деньги или данные.

Атаки социальной инженерии строятся не на уязвимостях программного обеспечения, а на особенностях принятия решений людьми. Злоумышленники используют привычные рабочие ситуации и психологические механизмы, которые влияют на поведение сотрудников.

Ниже — несколько факторов, которые чаще всего используются в таких атаках.

Срочность

Во многих атаках злоумышленники создают ощущение срочной задачи. Сотруднику сообщают о «проблеме с системой», «подозрительной активности» или «срочном платеже для проекта».

Когда задача выглядит срочной, человек чаще действует автоматически и меньше времени тратит на проверку деталей. В этот момент сотрудник может перейти по ссылке из письма, подтвердить вход в систему или отправить документ, не проверив источник запроса.

Например, бухгалтер может получить письмо от «финансового директора» с просьбой срочно оплатить счет до конца дня.

Авторитет

Еще один распространенный прием — обращение от имени руководителя или подразделения, которому сотрудники привыкли доверять.

Это может быть письмо от «финансового директора» или сообщение от «службы безопасности». Когда запрос выглядит как распоряжение руководителя или официальной службы, сотрудник чаще воспринимает его как рабочую задачу и выполняет его без дополнительной проверки.

Рабочий контекст

Многие атаки встроены в реальные процессы компании: переписку по проекту, оформление документов, запросы в сервис-деск или уведомления от внутренних систем.

Если сообщение соответствует текущей рабочей ситуации — например, связано с проектом, задачей или документом — сотруднику сложнее заметить подмену. В такой ситуации письмо или сообщение воспринимается как часть обычной работы.

Информационная перегрузка

В течение рабочего дня сотрудники получают десятки писем, сообщений и уведомлений. В таких условиях внимание распределяется между большим количеством задач.

Злоумышленники используют это и рассчитывают на то, что сотрудник выполнит действие автоматически: откроет файл, перейдет по ссылке или подтвердит запрос в системе.

Эти механизмы работают потому, что сотрудник выполняет действие, которое выглядит как обычная рабочая задача.

Атаки социальной инженерии сложно остановить только техническими средствами. Даже защищенная инфраструктура не предотвращает инцидент, если сотрудник сам выполняет действие, которое открывает доступ злоумышленнику.

Поэтому защита от таких атак строится не только вокруг технологий, но и вокруг процессов и поведения сотрудников. Ниже — несколько подходов, которые помогают компаниям снижать риск подобных инцидентов.

Проверяйте запросы, связанные с доступами и платежами

Многие атаки строятся на срочных просьбах: перевести деньги, подтвердить вход, сбросить пароль или открыть доступ к системе.

Вводите дополнительные проверки для критичных действий. Например:

• подтверждайте платежи через второй канал связи
• проверяйте личность при обращении в сервис-деск
• согласовывайте операции через второго сотрудника

Такие процедуры помогают остановить атаку даже в том случае, если злоумышленник смог убедить одного сотрудника выполнить запрос.

Соблюдайте процедуры проверки личности

Злоумышленники часто пытаются встроиться в обычные рабочие процессы — например, в обращения в поддержку или запросы на сброс пароля.

Следите за тем, чтобы процедуры проверки личности и подтверждения действий выполнялись одинаково для всех сотрудников, включая руководителей. Если процесс можно обойти из-за срочности или авторитета, злоумышленники начинают использовать этот сценарий в атаках.

Тренируйте сотрудников распознавать атаки на реалистичных сценариях

Знание правил безопасности само по себе не гарантирует безопасного поведения. Сотрудники принимают решения в рабочем контексте — под давлением срочности, большого количества задач и сообщений.

Поэтому важно не только рассказывать о правилах безопасности, но и показывать, как атаки выглядят на практике. Например: фишинговые письма, звонки в поддержку, сообщения в мессенджерах или запросы от имени руководителей.

Компании все чаще используют тренировочные сценарии атак — например, имитации фишинговых писем или других методов социальной инженерии. Такие тренировки помогают сотрудникам:

• увидеть, как атака выглядит в рабочей ситуации;
• безопасно разобрать ошибку;
• научиться замечать признаки угрозы.

Они также позволяют измерять уровень защищенности сотрудников и понимать, какие сценарии атак вызывают наибольшие трудности.

На платформе Start AWR мы регулярно поставляем кастомные шаблоны учебных фишинговых атак, которые учитывают актуальные методы социальной инженерии и особенности инфраструктуры компании. Запишитесь на бесплатное демо — покажем, как проводить такие тренировки и оценивать защищенность сотрудников.

Чек-лист: как снизить риск атак социальной инженерии

• проверяйте запросы через второй канал связи;
• не передавайте коды и данные без подтверждения личности;
• не переходите по ссылкам без проверки адреса;
• используйте правило двух сотрудников для критичных операций;
• передавайте подозрительные ситуации в службу безопасности.

Человеческий фактор часто воспринимается как слабое звено безопасности, но на самом деле — это управляемый риск. Если выстраивать процессы проверки и регулярно тренировать сотрудников на реалистичных сценариях атак, они способны распознавать угрозы и предотвращать инциденты.