Социальная инженерия в контексте информационной безопасности

Социальная инженерия – это способ воздействия на людей с целью получения строго конфиденциальной информации или обхода технических средств защиты для доступа к системам. Угроза социальной инженерии особенно актуальна, поскольку даже наиболее защищенные организации могут становиться уязвимыми из-за ошибки одного сотрудника. Суть социальной инженерии заключается в применении психологических манипуляций, которые эксплуатируют эмоции и доверие жертвы для реализации замыслов преступника. Согласно информации от Positive Technologies, в 2024 году примерно 50% успешных кибератак на компании осуществлялись с использованием техник социальной инженерии

Цель данной статьи – описать основные формы социальной инженерии, разработать стратегию противодействия на основе анализа современных атак (2022–2024 гг.) и прогноза их развития, для предотвращения данных угроз.

Задачи:

1. Классифицировать методы социальной инженерии с учетом новых технологий (искусственный интелект, дипфейки).

2. Оценить эффективность законодательных инициатив РФ (2023-2024 гг.).

3. Предложить модель обучения персонала, интегрированную с системами AI-аналитики.

Научная новизна заключается в комбинации поведенческого анализа и AI-моделей для прогнозирования атак, а практическая значимость – в адаптации рекомендаций под специфику российского киберпространства.

Социальная инженерия, трансформируясь под влиянием цифровых технологий, перешла от примитивного фишинга к сложным гибридным атакам с использованием искусственного интеллекта. Работы Hadnagy (2010) и Mitnick (2002) заложили основы понимания психологических механизмов социальной инженерии

Исследователи называют социальную инженерию одной из самых серьёзных проблем десятилетия и подчеркивают роль искусственного интеллекта в персонализации атак

Примеры потенциальных угрозы социальной инженерии для организаций и частных лиц:

- утрата конфиденциальности персональных данных;

- утрата финансовых средств или платежной информации;

- утрата конфиденциальной информации компании;

- компрометация паролей сотрудников;

- несанкционированный доступ к базам данных пользователей или клиентов организации;

- заражение устройств вредоносным программным обеспечением (ПО), с возможным дальнейшими последствиями, типа полного сбоя работы организации или производства;

- коммерческая разведка;

- использование взломанных учетных записей для осуществления дальнейших атак с применением методов социальной инженерии от имени взломанной компании или лица.

2.1. Фишинг

Фишинг является наиболее распространённым методом мошенничества, при котором преступники создают фальшивые веб-сайты или рассылают электронные письма, выглядящие как настоящие. С помощью манипулятивных приёмов они стремятся убедить жертв перейти по опасным ссылкам. Основная задача – вынудить пользователей раскрыть свои личные данные. Также распространена схема с имитацией писем от банков, где вас просят обновить данные учетной записи из-за «подозрительной активности»

По данным экспертов, в 2024 году в России было зафиксировано свыше 350 тысяч фишинговых веб-ресурсов, что на 50% превышает показатели прошлого года, когда было зарегистрировано 210 тысяч таких ресурсов. Прогнозируется, что в 2025 году эта отрицательная динамика сохранится. Специалисты связывают это с ростом цифровизации в бизнесе, низким барьером для входа мошенников и легкостью создания фишинговых платформ

Примеры фишинга:

Среди наиболее распространенных схем в России можно отметить: взлом аккаунтов в Telegram (свыше 40 тысяч случаев), подделку сайтов, предлагающих мгновенные выплаты (свыше 80 тысяч, чаще всего это онлайн казино, лотереи и другие инвестиционные платформы), а также интернет-сервисов для размещения объявлений и маркетплейсов (свыше 20 тысяч)

В 2022 году стало известно о проведении атаки на Uber. Восемнадцатилетнему хакеру удалось взломать несколько систем компании. Все началось с того, что злоумышленник нашел логин и пароль одного из подрядчиков Uber в даркнете и начал отправлять подрядчику множество запросов на аутентификацию, создавая тем самым спам-атаку. Затем хакер связался с ним через WhatsApp, выдав себя за сотрудника техподдержки, и предложил решение проблемы: для прекращения спама нужно просто подтвердить запрос. Так, при помощи методов социальной инженерии, хакер обошел многофакторную аутентификацию и получил доступ к внутренней сети Uber через корпоративный VPN

Следует обратить особое внимание на методику атаки, известную как Business Email Compromise, которая в последние годы стала весьма распространенной. Эта техника, называемая угоном разговора (Conversation Hijacking)

Ярким примером угонов беседы является инцидент, связанный с трансфером футболиста Леандро Паредеса

Одним из наиболее значительных случаев подобных атак стало преступление, совершенное литовцем Эвалдасом Римасаускасом против двух крупнейших мировых интернет-компаний: Google и Facebook. Римасаускас со своей командой создали фиктивную компанию, представляясь производителем компьютерной техники, который сотрудничал с этими гигантами. Кроме того, они открыли банковские счета на имя этой компании. По данным Министерства юстиции США, в результате этой схемы интернет-гиганты понесли убытки, превышающие 120 миллионов долларов

2.2. Претекстинг

Претекстинг – представляет собой форму мошенничества, которая обычно осуществляется через мобильные устройства. В этом процессе злоумышленник использует заранее подготовленный текст или сценарий, чтобы побудить потенциальную жертву к определённым действиям или получить конфиденциальные данные, необходимые для кражи денег у граждан

Также злоумышленники используют технику, называемую вишингом, или голосовым фишингом. Этот метод заключается в том, что преступники звонят жертвам с целью выманивания их личных данных. Этот метод стал особенно актуальным на фоне роста цифровых технологий и продолжает набирать популярность. В некоторых случаях термины «претекстинг» и «вишинг» используются как синонимы, или же претекстинг рассматривается как одна из форм вишинга

Примеры претекстинга (вишинга):

1. Схема «родственник в беде»:

- мошенник может притвориться вашим родственником или знакомым и с паническим голосом сообщить, что попал в ДТП или оказался под следствием за какое-либо тяжкое преступление;

- кроме того, он может выдать себя за представителя силовых ведомств, который якобы помогает вашему близкому в решении возникшей проблемы;

- для разрешения этой «ситуации» злоумышленники обычно требуют определённую сумму денег, которую необходимо доставить в указанное место или передать какому-либо человек

2. Схема от имени сотрудника банка:

- злоумышленники уведомляют жертву о попытке осуществления перевода крупной суммы денег с её банковского счета. Если жертва хочет отменить перевод, мошенники требуют предоставить данные карты или секретный код, полученный в SMS;

- аферисты могут позвонить жертве после получения пластиковой карты и, выдавая себя за представителей банка, предложить её активировать. В процессе общения они выманивают информацию о банковской карточке;

- жертве могут предложить кредит на подозрительно привлекательных условиях от имени банка, после чего злоумышленники просят оплатить комиссионные сборы или внести деньги для оформления страховки по кредиту

3. Схема мошенничества с использованием сотрудников силовых ведомств и других государственных учреждений выглядит следующим образом:

- злоумышленники информируют жертву о том, что ее банковские средства находятся под угрозой кражи;

- после этого они предлагают ей снять деньги и перевести их на «безопасный» счет;

- часто жертву убеждают взять кредит, чтобы предотвратить действия «воров», то есть чтобы не превышать так называемый «кредитный лимит»;

- в ходе беседы мошенники используют авторитетные названия должностей, оказывают давление, спешат и запугивают жертву, угрожая серьезными последствиями за отказ сотрудничать

4. Использование искусственного интеллекта:

- с применением искусственного интеллекта злоумышленники способны воспроизвести голос, например генерального директора компании и направить голосовое сообщение с просьбой перевести значительную сумму денег на указанный счёт;

- фальшивые видеоконференции – руководитель компании «появляется» на видеозвонке и даёт распоряжения сотрудникам, хотя на самом деле это подделка.

С целью борьбы с телефонным мошенничеством, 26 декабря 2024 года Правительство Российской Федерации приняло Постановление

Также принятый 24 июля 2023 года Федеральный закон Российской Федерации

2.3. Бэйтинг (приманка)

Бэйтинг привлекает внимание жертв с помощью различных приманок. Такой приманкой может служить зараженная вредоносным программным обеспечением USB-накопитель, оставленный в общественном месте. В онлайн-среде приманки могут принимать форму привлекательной рекламы или заманчивых предложений, которые ведут на вредоносные сайты или предлагают установить вредоносные приложения

Примеры бэйтинга:

Мошенники размещают рекламу с привлекательными предложениями, например, «бесплатные фильмы» или «специальные скидки». При клике на такую рекламу пользователь перенаправляется на вредоносный сайт или скачивает заражённое приложение.

В одном исследовании, опубликованном в 2016 году, исследователи разбросали 297 USB-накопителей по территории кампуса Иллинойсского университета. На накопителях были файлы, которые ссылались на веб-страницы, принадлежащие исследователям. Исследователи смогли увидеть, на скольких накопителях были открыты файлы, но не смогли определить, сколько накопителей было вставлено в компьютер без открытых файлов. Из 297 дисков, которые были утеряны, 290 (98%) были найдены, а 135 (45%) из них «вернулись домой»

2.4. Обратная социальная инженерия

Обратная социальная инженерия – это техника манипулирования, при которой человека обманом вынуждают самостоятельно связаться со злоумышленником. В результате между жертвой и хакером возникает высокая степень доверия, так как пользователь начал общение сам.

Пример обратной социальной инженерии:

Установка программ-вымогателей на компьютеры пользователей представляет собой разновидность вредоносного ПО, целью которого является вымогательство. Эти программы могут блокировать доступ к системе или мешать чтению сохраненных данных, зачастую применяя методы шифрования, и требуют от жертвы уплаты выкупа для восстановления прежнего состояния.

Существует несколько типов программ-вымогателей:

- шифровальщики – они шифруют файловую систему на компьютере жертвы и требуют деньги за предоставление ключа для расшифровки;

- блокировщики – такие программы блокируют устройство или экран, запрашивая оплату для восстановления доступа;

- запугиватели (Scareware) – это фальшивые антивирусные программы и другие виды ПО, которые предупреждают пользователей о том, что их устройство заражено вирусной программой или другим вредоносным ПО.

2.5. Водопой

Водопой представляет собой изощренный метод киберугроз, целью которого является компрометация определенной группы людей, основываясь на их привычках в интернет-серфинге. Злоумышленники выбирают сайты, которые часто посещают их жертвы, такие как корпоративные страницы, специализированные порталы или другие ресурсы, которым жертвы доверяют.

Во время подготовки к атаке злоумышленники анализируют слабые места этих веб-ресурсов, что дает им возможность внедрять вредоносные скрипты, чаще всего это JavaScript или непосредственно в HTML-код страниц. Как только пользователь посещает скомпрометированный ресурс, вредоносное ПО запускается, что приводит к установке дополнительных вирусов на компьютер или к его захвату преступниками.

Такой подход особенно эффективен против сотрудников компаний или государственных корпораций, поскольку они могут быть более уязвимы к атакам, направленным на конкретные ресурсы, с которыми они работают ежедневно. Этот метод атак подчеркивает важность защиты сайтов и сетевой безопасности, а также необходимость осведомленности пользователей о возможных угрозах.

2.6. Социальная маскировка

Этот метод связан с выдачей злоумышленника за доверенное лицо, например, сотрудника технической поддержки или менеджера компании

Пример социальной маскировки: недоброжелатель проник в офис организации под видом курьера, произвёл подмену реального роутера на модифицированное устройство и заполучил полный контроль над сетью.

Пример четырехступенчатого цикла социальной инженерии:

1) подготовка: на начальном этапе злоумышленник аккумулирует как можно больше информации о своей жертве или компании, изучает особенности ее работы и внутренние процессы. Он фиксирует все детали, которые будут полезны для последующего проникновения. Полученная информация используется для установления контакта на следующем этапе;

2) проникновение: мошенник начинает общение с выбранной целью, применяя методы социальной инженерии, и стремится завоевать доверие, представляясь другим лицом;

3) эксплуатация: ключевая цель всей схемы – заставить жертву выполнить «целевое действие». Это может быть, например, переход по вредоносной ссылке в электронном письме, ввод конфиденциальных данных в форму на внешнем ресурсе или открытие архива, содержащего вредоносное ПО, прикрепленного к письму;

4) завершение: после выполнения жертвой целевого действия мошенник прекращает общение (в случае фишинговых писем обратная связь изначально не предполагается). Злоумышленник получил то, что ему нужно, и теперь будет использовать собранные данные в своих интересах.

Если злоумышленник не смог добиться успеха с первой попытки, это не означает его поражения. Чаще всего он будет пробовать новые подходы, чтобы «подобрать ключ» к своей жертве.

По данным от Positive Technologies, российской компании, специализирующаяся на разработке решений в сфере информационной безопасности, в 2024 году электронная почта остается главным инструментом социальной инженерии для организаций, составляя 88%, в то время как для частных пользователей основным ресурсом являются сайты с показателем 73%. Злоумышленники активно эксплуатируют популярность социальных сетей среди индивидуальных пользователей для осуществления кибератак. В сравнении с предыдущим кварталом, использование этого метода возросло на 4%. Наиболее предпочтительной социальной сетью среди преступников стал Facebook.

По данным Генеральной прокуратуры Российской Федерации, за первые 11 месяцев 2024 года значительная часть всех мошенничеств (85%, или 350 тысяч случаев) была совершена с использованием информационно-телекоммуникационных технологий и в области компьютерной информации. К ним относятся мошенничества с подменой телефонных номеров, интернет-мошенничества, мошенничества с платежными системами и другие виды кибермошенничества. За 11 месяцев 2024 года общее количество их увеличилось на 7,8%. В целом преступления в сфере IT-технологий и компьютерной информации составляют почти 40% от всех зарегистрированных правонарушений (702,9 тысячи, рост за год на 14,3%)

Необходимые мероприятия для предотвращения атак с использованием социальной инженерии в организации:

1. Обучение персонала. Систематическое и регулярное информирование сотрудников на всех уровнях и в каждом отделе о типах атак и психологических приемах, которые используют злоумышленники для получения необходимых данных.

2. Тренировки на проникновение. Специалисты по информационной безопасности советуют представителям IT-отделов регулярно проводить тренировки на уязвимости к атакам с применением методов социальной инженерии. Это позволит специалистам выяснить, какие из пользователей более подвержены определённым атакам. Тренировка на проникновение представляет собой искусственно созданную кибератаку на компьютерную систему или отдельных пользователей с целью проверки наличия слабых мест. Регулярные тесты позволяют оценить готовность сотрудников и протестировать потенциальные масштабы утечки данных. Имитацию фишинговых атак можно проводить с использованием специализированного ПО. Во время этих тренировок сотрудникам присылаются фишинговые письма, что помогает выяснить, кто из них поддается методам социальной инженерии. После этого такие сотрудники должны пройти дополнительное обучение.

3. Внедрение строгих процедур. Двухфакторная аутентификация (2FA) представляет собой метод, который требует два различных способа для подтверждения вашей идентичности. К примеру, это может быть сочетание пароля и кода, полученного на ваш мобильный телефон. 2FA считается одним из самых надежных способов защиты от атак, использующих приемы социальной инженерии.

4. Разграничение доступа к защищаемой информации. Сотрудники должны иметь доступ только к той информации, которая необходима для выполнения их работы.

5. Использование защиты от вредоносного программного обеспечения. Необходимо применять комплексный подход, который включает антивирусные решения для интернет-серфинга, защиту электронной почты и антивирусные программы для борьбы со шпионскими приложениями. Некоторые компании предлагают интегрированные решения, но также можно использовать несколько качественных продуктов от разных производителей. Главная задача данной защиты заключается в том, чтобы остановить нежелательные действия, возникающие, когда пользователи переходят по ссылкам в электронных письмах и мессенджерах. Если пользователь нажмет на ссылку (в браузере, почтовом клиенте или мессенджере), и открывшаяся веб-страница будет вызывать подозрения в отношении сетевых угроз, защитная система обязана заблокировать доступ к этой странице, содержащей вредоносный контент.

6. Регулярные обновления операционной системы. Все компьютеры в организации должны своевременно получать обновления, так как разработчики периодически выпускают патчи, необходимые для устранения выявленных уязвимостей.

7. Правильный выбор и регулярная замена паролей. Для повышения безопасности организациям следует установить строгие правила управления паролями. Сотрудники должны регулярно обновлять свои пароли и, что особенно важно, создавать их правильно. Наилучшим решением являются сгенерированные пароли, которые крайне трудно угадать. Кроме того, важным моментом является обучение сотрудников методам безопасного хранения таких паролей.

8. Применение брандмауэра. Качественный сетевой фаервол способен блокировать вредоносные запросы, включая атаки, основанные на методах социальной инженерии. Таким образом, прежде чем пользователи попадут на ваш сайт, они проходят фильтрацию через сетевой фаервол, который определяет безопасность подключения и блокирует его, если оно выглядит как мошенническое.

9. Использование искусственного интеллекта. Использование нейронных сетей и алгоритмов обработки естественного языка (NLP) для защиты от фишинговых атак является эффективным способом борьбы с мошенничеством в сфере онлайн-банкинга. Данные технологии позволяют выявлять и блокировать фишинговые сообщения и сайты, что дает возможность банкам обезопасить своих клиентов от возможных опасностей. Также алгоритмы машинного обучения могут быть тренированы с использованием исторических данных о поведении пользователей и обычных транзакциях. Это позволяет обнаруживать аномалии или необычные действия и шаблоны, которые могут сигнализировать о возможных рисках для безопасности.

10. Системы анализа поведения. Поведенческая аналитика позволяет обнаруживать подозрительные активности, такие как доступ к системе с незнакомого устройства или необычное использование информации.

11. Современная организация пропускного режима. Гарантия физической безопасности, включая организации охраны, внедрения пропускной системы, установки камер видеонаблюдения, сигнализации и контроля доступа к устройствам, способствует предотвращению несанкционированного доступа злоумышленников на защищенную территорию.

12. Создание благоприятной обстановки. Работники должны ощущать уверенность и не бояться делиться своими подозрениями, если у них есть основания полагать, что они стали жертвами социальной инженерии. Тем не менее, они не станут этого делать, если будут опасаться последствий или осуждения со стороны своих коллег. Это имеет большое значение, так как оперативное информирование о подобных инцидентах помогает быстро нейтрализовать угрозу до того, как компании будет нанесён серьёзный ущерб.

Для эффективного противодействия социальной инженерии необходим комплексный подход, в котором технологии и человеческий аспект дополняют друг друга. Защита от социальной инженерии представляет собой сложную задачу, поскольку она нацелена не только на технические средства, но и на человеческие слабости. Даже самые защищенные системы могут оказаться под угрозой, если человек, отвечающий за их использование, станет жертвой манипуляций. Технические решения, такие как антивирусные программы и межсетевые экраны, окажутся неэффективными против фальшивого звонка или письма, если пользователь не сможет своевременно распознать опасность

Прогноз развития алгоритмов социальной инженерии в 2025 году от компании – отечественного разработчика системы автоматизированного управления знаниями сотрудников в области кибербезопасности

- широкое применение искусственного интеллекта (ИИ) для персонализации кибератак в реальном времени. ИИ будет способствовать злоумышленникам в настройке атак, делая их более целенаправленными и убедительными;

- увеличение числа атак с использованием дипфейков и фальшивого медиа-контента, поддельные звонки и видеосообщения будут применяться для создания иллюзии доверия;

- рост количества персонализированных атак на отдельных лиц. Жертвы будут выбираться на основе анализа их социальных связей, общественной активности и личной информации;

- преобладание мессенджеров как главной платформы для мошеннических действий. Мессенджеры продолжат оставаться основными инструментами для атак из-за их широкой популярности и сложности в отслеживании;

- активное использование технологии для обхода современных мер защиты и выявления угроз. Злоумышленники будут шире применять инновационные методы, чтобы сократить риск обнаружения.

Социальная инженерия остаётся одним из наиболее опасных вызовов в сфере информационной безопасности, трансформируясь под влиянием цифровых технологий и ИИ. Проведённое исследование выявило ключевые тенденции 2022–2024 гг.: рост фишинга на 50%, увеличение ущерба от вишинга до 250 млрд рублей, а также активное внедрение дипфейков и генеративного ИИ в атаки. Эти методы, эксплуатирующие человеческий фактор, демонстрируют, что даже технически защищённые системы уязвимы из-за ошибок персонала.

Анализ современных атак подтвердил, что 63% инцидентов включают элементы ИИ, что подчёркивает необходимость пересмотра классических моделей защиты. Законодательные инициативы РФ (ограничение IP-телефонии, заморозка подозрительных транзакций) показали умеренную эффективность, однако их недостаточно для противодействия быстро эволюционирующим угрозам.

В качестве решения предложен комплексный подход, сочетающий технологические инновации (нейросети для анализа поведения, NLP-алгоритмы для детектирования фишинга) с регулярным обучением сотрудников. Особое значение имеет интеграция симуляций атак и поведенческой аналитики, позволяющая минимизировать риски человеческого фактора. Новизна исследования заключается в адаптации рекомендаций к специфике российского киберпространства и прогнозе на 2025 год, где ожидается рост персонализированных атак через мессенджеры, использование дипфейков и ИИ-оптимизированных сценариев.

Практическая значимость работы подтверждается разработкой модели, объединяющей превентивные меры (обновление законодательства, строгие процедуры аутентификации) и предиктивные технологии. Для устойчивости к социальной инженерии критически важно сочетать технические решения с формированием «культуры безопасности» среди сотрудников, где доверие и оперативное информирование об угрозах становятся основой защиты.