Мы все подвержены эмоциям: страх перед угрозами, радость от неожиданной выгоды, доверие к авторитетам. Именно эти слабости используют мошенники. Только за 2024 год киберпреступники украли у россиян 168 млрд рублей, а количество зарегистрированных IT-преступлений перевалило за 702 тыс. Рассказываем, какие виды социальной инженерии бывают и как защититься от уловок злоумышленников.
Что такое социальная инженерия
Этот способ получения конфиденциальных данных или доступа к системам, который использует человеческий фактор, а не технические уязвимости программ. Иными словами, это «взлом» психологии человека. Злоумышленники обманывают своих жертв, чтобы те сами раскрыли нужные данные — например, пароли, коды из СМС, информацию о коллегах или клиентах.
Основные методы социальной инженерии: как вас могут обмануть
Собрали основные способы:
1. Фишинг
Злоумышленник присылает электронное письмо, сообщение или ссылку, которая маскируется под официальное уведомление от банка, госуслуг, IT-отдела
Еще существует таргетированный фишинг (Spear Phishing), при котором злоумышленники выбирают конкретных людей или компании. Они заранее изучают свою жертву и адаптируют сообщения с учетом должности и личных характеристик, чтобы вызвать доверие и сделать атаку менее явной.
2. Вишинг
По сути, это голосовой фишинг. Мошенник звонит по телефону, представляясь, например, сотрудником службы безопасности банка. Ссылаясь на «подозрительные операции», он просит продиктовать код из СМС, логин, данные карты.
Злоумышленники постоянно придумывают новые схемы обмана. Одна из последних уловок направлена на кражу доступа к аккаунту «Госуслуг». Вам звонит якобы представитель мобильного оператора и сообщает, что нужно срочно продлить договор или подтвердить данные. Под этим предлогом он просит продиктовать комбинацию цифр из SMS. На деле это проверочный код для входа в аккаунт на «Госуслугах». С ним мошенник получит доступ к личному кабинету и сможет, например, взять кредит на ваше имя.
3. Приманка (Bating)
Жертве предлагают что-то привлекательное или воздействуют на любопытство. В цифровой среде приманкой может быть «бесплатная» загрузка фильма, игры или приложения. Такие файлы могут содержать вирусы или трояны, которые активируются сразу после запуска или установки.
4. Quid pro quo (Услуга за услугу)
Злоумышленник предлагает какую-либо помощь или сервис в обмен на конфиденциальные данные. Один из распространенных сценариев: мошенник звонит сотрудникам компании, представляясь IT-специалистом. Он говорит о «технических сбоях» и предлагает помощь. В ходе «решения проблемы» просит пароль или устанавливает вредоносное ПО.
5. Пугалка (Scareware)
Пользователя запугивают, чтобы заставить его загрузить опасную программу или предоставить личные данные. Примером могут быть всплывающие окна с сообщением: «Ваш компьютер заражен вирусом! Немедленно установите антивирус». Или сообщения в мессенджере с угрозами распространить компромат. Главная цель — вызвать у человека страх и спровоцировать на необдуманные действия.
6. Претекстинг (Pretexting)
Иногда его выделяют в отдельный метод, хотя, по сути, он лежит в основе практически всех техник социальной инженерии. Злоумышленник выдумывает правдоподобную историю, чтобы получить доступ к конфиденциальной информации. Он играет роль «персонажа», например, сотрудника службы безопасности, и использует убедительную ситуацию как повод обратиться к жертве. Типичный пример — сообщение от «родственника», попавшего в беду.
7. Спуфинг
А чтобы сделать легенду более правдоподобной, кибермошенник подделывает адреса электронной почты, номера телефонов, IP-адреса или сайты. Это называется «спуфинг» (от англ. Spoof — «подделка»).
Признаки социальной инженерии: как распознать атаку
Вот на что стоит обратить внимание:
Срочность и давление
Злоумышленнику нужно побудить человека действовать поспешно, не раздумывая. Например, в письме может говориться, что ваша учетная запись будет немедленно заблокирована, если вы не примете меры.
Запросы конфиденциальной информации
Компании не просят пароли, номера банковских карт, паспортные данные или СНИЛС по e-mail, телефону или в мессенджерах.
Обезличенные обращения и странный язык
Фишинговые сообщения часто начинаются с «Уважаемый пользователь» и содержат ошибки.
Вложения или ссылки
Письма с вложениями или ссылками от незнакомых отправителей могут содержать вредоносное ПО или вести на фишинговые сайты. Всегда проверяйте источник перед тем, как кликать.
Использование авторитета
Мошенники притворяются руководителями, сотрудниками техподдержки или службы безопасности, чтобы вызвать доверие. Для большей убедительности они могут поставить эмблему ведомства на аватарку в мессенджере.
Слишком заманчивые предложения
Если вам предлагают крупный приз, инвестиции с фантастической прибылью или редкий товар бесплатно — скорее всего, это ловушка. Мошенники эксплуатируют жадность и желание получить выгоду без усилий.
Способы защиты от социальной инженерии
Соблюдайте простые правила, чтобы уберечь себя от проблем:
1. Не переходите по ссылкам
Если вам пишет незнакомец с сообщением вроде «Вам полагается компенсация, перейдите по ссылке» или «У нас есть вакансия с высоким доходом, установите приложение», — игнорируйте.
2. Проверяйте отправителя или звонившего
Если вам приходит сообщение от «знакомого» с подозрительной просьбой, свяжитесь с ним через другой канал связи — позвоните или напишите в другую соцсеть. То же самое касается официальных организаций. Если поступил звонок из «банка», позвоните по номеру, который указан на официальном сайте или в приложении.
3. Настройте антиспам-защиту на смартфоне
Многие операторы умеют предупреждать о подозрительных номерах. Но не полагайтесь только на технологии — даже если звонок не помечен как опасный, сохраняйте бдительность и не спешите сообщать личную информацию.
4. Не сообщайте коды из СМС и PUSH-уведомлений
Никогда не диктуйте и не пересылайте коды — они нужны только для вас.
5. Защитите свои аккаунты
Антивирус поможет блокировать вредоносные ссылки, а двухфакторная аутентификация не позволит злоумышленникам получить доступ к вашему аккаунту даже при утечке данных. Создавайте уникальные сложные пароли для разных сервисов и храните их в менеджере паролей.
6. Будьте в курсе новых схем обмана
Мошенники постоянно изобретают новые способы обмануть и ловко используют громкие события — экономические трудности или социальные потрясения. Следите за новостями и читайте о схемах мошенничества. Чем больше знаете, тем легче заметить подвох. Например, у МВД есть Telegram-канал, посвященный киберпреступлениям.
Примеры социальной инженерии
Собрали несколько ситуаций:
Опасные ЖКХ-квитанции
Мошенники рассылали поддельные квитанции ЖКХ с фальшивыми QR-кодами, ведущими на счета злоумышленников. Визуально документы не отличались от настоящих — содержали реальные логотипы и реквизиты. Но при оплате через банковское приложение деньги перечислялись мошенникам.
«Свадебное приглашение» с вирусом
Злоумышленники рассылали жертвам фальшивые приглашения на свадьбу через мессенджеры. В сообщении просили установить APK-файл — якобы приложение с подробностями торжества. На деле это был троян Tria, который под видом системного ПО получал доступ к личным данным, сообщениям и паролям. Затем вирус автоматически рассылался от имени жертвы ее контактам.
«Это вы на видео?»
Жертвам присылали «зараженный» файл, маскируя их под видео. Сообщения сопровождались фразой «Это вы на видео?», чтобы вызвать любопытство и заставить установить приложение. На деле файл содержал троян, который получал доступ к СМС, уведомлениям и другой конфиденциальной информации, включая банковские данные.
Фейковая почта
Жительнице Москвы позвонил мошенник под видом сотрудника почты и под предлогом пересылки письма из налоговой выманил код из СМС, с помощью которого взломал ее аккаунт на «Госуслугах». Пока девушка пыталась восстановить доступ через МФЦ, злоумышленники клонировали ее профиль, привязали его к своему телефону и продолжали обманывать ее, представляясь службой поддержки. Благодаря помощи сотрудников МФЦ аккаунт удалось восстановить.
Ловушка для геймеров
Жертвами обмана стали любители игр. Схема выглядела так: злоумышленник сначала писал жертве от лица покупателя и предлагал купить игровой аккаунт по привлекательной цене. Затем просил контакт «поручителя», который подтвердил бы, что аккаунт действительно принадлежит продавцу. Получив данные, мошенник создавал поддельный аккаунт «поручителя», и связывался с жертвой от его имени. Он выдавал себя за знакомого и просил продиктовать СМС-код или перевести деньги. Такие случаи встречались в онлайн-играх «Викинги. Война кланов», «Страж Королевства» и Roblox.
Чек-лист: как оставаться в безопасности в мире социальной инженерии
Итак, подводим итоги:
1. Проверяйте подозрительные сообщения
- Не кликайте на ссылки в письмах или СМС.
- Обращайте внимание на ошибки — фишинговые сообщения часто содержат опечатки.
- Звоните в организацию напрямую (по номеру с официального сайта), если что-то кажется подозрительным.
2. Никому не сообщайте конфиденциальные данные
- Никакие службы не просят пароли, коды из СМС или данные карт по телефону или в мессенджерах.
- Не пересылайте PUSH-уведомления и проверочные коды.
3. Будьте осторожны с неожиданными звонками
- Не верьте звонящим «из банка», «техподдержки» или «госорганов» — перезванивайте по официальным номерам.
- Включите антиспам на телефоне, но не доверяйте ему полностью.
4. Не скачивайте подозрительные файлы
- APK-файлы, «документы», «видео» могут оказаться вирусами.
- Не открывайте вложения от неизвестных отправителей.
5. Защитите аккаунты
- Используйте двухфакторную аутентификацию везде, где это возможно.
- Создавайте сложные пароли и храните их в менеджере паролей.
6. Не поддавайтесь эмоциям
- Если вас торопят («Счет заблокируют!», «Срочно переведите!»), стоит насторожиться.
- Слишком выгодные предложения — почти всегда ловушка.
7. Cледите за новыми схемами
- Читайте про мошенничества.
- Делитесь информацией с близкими, особенно — с пожилыми родственниками.
