Социальная инженерия

19 декабря, 2025, 15:25

Социальная инженерия (Social Engineering) — это метод несанкционированного доступа к информации, системам или физическим объектам, основанный на психологическом манипулировании людьми, а не на использовании технических уязвимостей. Цель злоумышленника — обманом склонить жертву к действиям, нарушающим стандартные процедуры безопасности (например, раскрытию пароля, установке вредоносного ПО, предоставлению доступа в помещение), путем эксплуатации таких человеческих качеств, как доверчивость, любопытство, страх, желание помочь или авторитет.

Возможности и основные виды атак социальной инженерии:

  • Фишинг (Phishing): Массовая рассылка поддельных электронных писем, сообщений в соцсетях или SMS, имитирующих легитимные организации (банки, почтовые сервисы, коллег), с целью кражи учетных данных, персональных данных или распространения вредоносного ПО.
    • Целевой фишинг (Spear Phishing): Тщательно подготовленная атака на конкретного человека или организацию с использованием персональной информации для повышения доверия.
    • Китобойный промысел (Whaling): Фишинг, нацеленный на топ-менеджеров и высокопоставленных лиц (китов).
  • Претекстинг (Pretexting): Создание выдуманного, но правдоподобного сценария (претекста) для получения информации. Злоумышленник представляется доверенным лицом (техподдержкой, сотрудником службы безопасности, аудитором) и под этим предлогом задает уточняющие вопросы.
  • Типаж (Baiting, «Наживка»): Предложение чего-либо желаемого (бесплатного ПО, фильма, флешки с логотипом конференции) в обмен на действие, которое скомпрометирует безопасность (запуск файла, ввод учетных данных на сайте).
  • Кви про кво (Quid pro quo): Предложение помощи или услуги в обмен на информацию. Классический пример: звонок «техподдержки», где «специалист» предлагает решить несуществующую проблему и для этого просит установить программу или отключить антивирус.
  • Тэйлгейтинг/Пиггибэкинг (Tailgating/Piggybacking): Физическое проникновение в охраняемую зону вслед за авторизованным сотрудником без наличия пропуска, под предлогом «поддержать дверь», потому что «забыл бейдж».
  • Вишинг (Vishing — Voice Phishing): Фишинг, осуществляемый по телефону с использованием голосовых технологий, иногда с имитацией голоса руководителя.

Социальная инженерия является одним из самых эффективных методов атак, так как она атакует самое слабое звено в системе безопасности — человека. Защита строится не на технологиях, а на регулярном обучении и повышении осведомленности сотрудников (Security Awareness Training), которое включает в себя симуляции фишинга, обучение распознаванию манипулятивных тактик и четкие регламенты проверки подозрительных запросов. Социальная инженерия часто используется на первом этапе комплексных атак (APT) для получения первоначального доступа в сеть.

Продолжение ниже

Боссы российского кибербеза

Упоминания