Технологии становятся всё надёжнее, защиты — всё сложнее. Но одна уязвимость не подлежит патчам — это человеческое доверие. Именно поэтому злоумышленники всё чаще атакуют не инфраструктуру, а поведение. Им не нужен доступ к коду, когда можно получить доступ к человеку — через панику, срочность или хорошо разыгранное "официальное" обращение.
Что такое социальная инженерия
Проблема заключается не в недостатке знаний, а в человеческой психологии. Люди склонны доверять, особенно если человек представляется сотрудником службы поддержки, старым другом или начальником. Также не стоит забывать, как многие люди склонны поддаваться панике и давлению (нужно очень срочно, срывается сделка, заблокируют счет и т.д.)
Иногда достаточно пары деталей: имя сотрудника, номер договора, название продукта. Такие данные легко добываются через OSINT — LinkedIn, тендеры, пресс-релизы, корпоративные страницы. Для атаки достаточно знать немного контекста - имена сотрудников, номера заказов, номера договоров или имена контрагентов. Такая информация позволяет злоумышленнику выглядеть в глазах жертвы более убедительно, даже без доступа к каким-либо внутренним системам. И этого хватает, чтобы создать у жертвы ощущение правдоподобия.
Основные виды атак
Фишинг, смс-фишинг, вишинг.
Письма от "банка", уведомления от "платёжной системы", голосовые звонки от "службы безопасности" — всё с одной целью: выдать себя за кого-то, кто вызывает доверие. Поддельный сайт, письмо с ошибкой в домене, СМС с пугающим текстом ("С вашей карты списано 320 USD") — и жертва уже звонит, чтобы "уточнить детали".
Компрометация деловой переписки (Business Email Compromise, BEC).
Злоумышленник встраивается в деловую переписку — через взлом почты или подмену домена, например, за счет адреса, отличающегося на один символ. От имени руководителя, юриста или коллеги он присылает письмо с просьбой срочно оплатить счёт. Чтобы повысить правдоподобие, может переслать цепочку писем, где якобы уже шло согласование, а адресат добавлен в копию в последний момент. Всё выглядит как рабочий процесс — и платёж уходит не туда.
Физическое проникновение на объект. Злоумышленники приходят в офис под видом курьера, подрядчика, нового стажёра. Их цель — получить доступ к инфраструктуре: вставить флешку, подключиться к Wi-Fi, сфотографировать логины. Такие атаки особенно опасны для компаний с недостаточным контролем доступа.
Атаки на IT-персонал
Цель - администраторы и служба поддержки. У них — доступ к правам, учёткам, внутренним системам. Один успешно скомпрометированный логин — и злоумышленник получает контроль над всей архитектурой и учетными записями сотрудников.
Как растёт использование удалённого доступа и рандомайзеров
Эксперты прогнозируют общие мировые потери от киберпреступности в размере 10,5 трлн долларов к концу 2025 года. Социальная инженерия не просто остаётся ведущим вектором атак — она становится более масштабной и технологичной
По статистике, средняя доля инцидентов с использованием удалённого доступа и маскировки цифрового следа за последние два года заметно выросла — и продолжает расти. Если раньше такие сценарии были редкостью, то к 2025 они уже становятся нормой: всё больше атакующих заходят через удалённые подключения и скрывают свою активность с помощью рандомизации. Это значит, что атаки всё чаще совмещают социальную инженерию с техническими обходами — подключаясь к корпоративным ресурсам под чужими учётками и скрывая реальные следы.
Доля атак через удалённый доступ (RDP, VPN) продолжает расти
Использование рандомайзеров и маскировки следа увеличивается ежегодно
Как используется OSINT (Open source intelligence)
Атакующие собирают информацию из открытых источников: LinkedIn, корпоративные сайты, новости, посты в соцсетях. Цель достаточно ясна - понять структуру компании, имена ключевых сотрудников, клиентов, поставщиков услуг.
Как распознать атаку? Основные признаки:
Атаки всегда опираются на сценарии, которые провоцируют человека "действовать срочно», под давлением: "сделка срывается", "осталось 3 минуты":
- Необычный способ связи: письмо от начальника с Gmail, Telegram-чат от "техподдержки".
- Запросы на конфиденциальные данные: коды, пароли, документы.
- Неожиданные просьбы, нехарактерные для отправителя. например: дать пароли к системе, предоставить выгрузку финансовых отчетов, предоставить инфраструктурную схему, дать контакты админов / финансистов).
Что должен знать каждый сотрудник
- Не переходите по ссылкам из писем и SMS — заходите вручную.
- Не называйте коды, даже если звонит "служба безопасности".
- Проверяйте домены, адреса, подписи писем.
- Не устанавливайте программы по удалённой просьбе.
- Используйте разные пароли для разных систем и обновляйте ПО.
- Сообщайте о подозрительных инцидентах — и не бойтесь показаться "параноиком".
Что должен делать бизнес
Регулярное обучение.
Реальные кейсы, моделирование атак, тестовые фишинг-кампании. Главное — сделать киберриски частью корпоративной культуры, а не формальным обучением.
Технические меры.
Двухфакторная аутентификация (2FA) и многофакторная аутентификация (MFA), ограничение прав доступа, сегментация сети.
Аудит открытых данных.
Проверьте, кто и что публикует о компании: структуры, контакты, технологии. То, что кажется "публичной информацией", может стать оружием в руках атакующего.
Социальная инженерия — это атака не на системы, а на поведение. Она не требует вирусов и бэкдоров — только убедительного предлога и подходящего момента. Поэтому против неё не спасёт ни один антивирус — если пользователь не знает, что его пытаются обмануть. Для защиты важно не только автоматизация, но регулярное обучение, имитационные тренировки и укрепление культуры безопасности в компании.
Примеры технических признаков удалённого доступа и маскировки
Сегодня можно выявлять целый ряд технических индикаторов, которые помогают распознать подозрительные сценарии:
Удалённый доступ:
Is Remote access
RDP vector length (доступно для SDK-интеграции)
Маскировка и рандомизация:
Is Randomizer issue
Fonts randomization level
Is TLS randomizer
Is Limited Noise Randomizer
Активные звонки:
Is Active call
Is Active VoIP call
Аномалии поведения:
Low values of Cursor movement speed
Low values of Scroll movement speed
Кредитная активность:
Total num of ShortTerm credit applications in 1 day
Total num of Banking credit applications in 1 day
Скорость соединения:
Internet connection speed
...и другие параметры
Эти и другие признаки доступны для интеграции и помогают распознать признаки удаленного доступа и прочих типов соц. инженерии.
Мы не останавливаемся на достигнутом — и уже сейчас активно развиваем наш технологический стек. В ближайшем обновлении продуктов на основе API17 мы планируем существенно усилить механизмы выявления сценариев социальной инженерии и связанных с ними угроз.