Фишинг, спуфинг, вишинг, смишинг, претекстинг, бейтинг, ханитрэппинг — на уловки цифровых мошенников попадаются даже опытные и осведомленные в вопросах технологий и безопасности люди. Как устроены эти атаки и как им противостоять — разбирались вместе с Саркисом Шмавоняном, экспертом по информационной безопасности компании «Киберпротект», и Ольгой Федоровой, клиническим психологом центра поведенческой терапии «Справиться проще».
Компания N потеряла два миллиона рублей после того, как бухгалтер получила поддельное письмо «от генерального директора» с просьбой перевести деньги партнеру. Все выглядело правдоподобно — за исключением всего лишь одной буквы в адресе отправителя. Это не хитроумный взлом, осуществленный профессиональным хакером, а классический случай социальной инженерии — психологической манипуляции людьми с целью совершения ими определенных действий, разглашения конфиденциальной информации или получения доступа к системам.
Социальная инженерия — это «искусство» заставить человека добровольно передать информацию и выдать конфиденциальные данные. Даже взрослые здравомыслящие люди, с их знанием основ цифровой грамотности и пониманием рисков, становятся жертвами атак, потому что в критический момент у них срабатывает «автопилот» — система принятия быстрых интуитивных решений.
К началу 2025 года социальная инженерия остается самым популярным способом атак: ее используют в 50% случаев против организаций и в 88% — против частных лиц.
Эмоции против разума: как работает обман
Когда человек сталкивается с давлением — будь то срочность, страх или информационная перегрузка — активируются автоматические, быстрые способы мышления. Даниэль Канеман в книге «Думай медленно… решай быстро» называет это «Системой мышления 1». Представьте: вечер пятницы, вы торопитесь на встречу с друзьями, и вдруг звонок — «сотрудник службы безопасности банка» сообщает, что с вашего счета пытаются списать крупную сумму. Он говорит уверенно, называет ваши личные данные, на фоне — шум колл-центра. В тревоге вы можете не заметить нестыковки.
Манипуляторы намеренно создают ситуации, которые вызывают сильный эмоциональный отклик — тревогу, страх, чувство вины, воодушевление и даже жадность.
Тревога или страх работают безотказно. «Счет будет заблокирован», «В отношении вас заведено уголовное дело», «Проблема с налогами» — все это погружает человека в состояние паники и стресса, где уже нет места и времени для анализа.
Чувство вины заставляет действовать немедленно. «Вы допустили ошибку в документах, из-за вас компания может потерять контракт» — такое сообщение от «руководителя» может побудить сотрудника нарушить протокол безопасности.
Воодушевление и жадность не менее опасны. За обещаниями крупных выигрышей, эксклюзивных предложений или невероятных скидок часто стоят мошеннические ловушки.
Разнообразие масок: как выглядят атаки?
Каждый день мы сталкиваемся с десятками попыток манипуляции — и, кажется, большинство из них научились распознавать автоматически. Но методы социальной инженерии становятся все изощреннее и часто маскируются под вполне легитимные обращения.
Самые распространенные формы атак включают:
Фишинг — письма от «службы поддержки», «банка», «Госуслуг» и т.д. Они могут содержать как грамматические ошибки и нестыковки, так и выглядеть вполне убедительно — с логотипами и стилистикой «оригинальных» организаций. Цель — заставить жертву перейти по опасной ссылке или скачать вредоносное вложение под предлогом «подтвердить информацию» или «получить подарок».
Спуфинг — мошенники маскируются под других людей или компании, подделывая идентификационные данные: IP-адрес, номер телефона, электронную почту. Цель — завоевать доверие жертвы, получить доступ к устройствам, украсть деньги, личные данные или распространить вредоносное ПО.
Вишинг — звонки от псевдосотрудников банков или компаний. Звонки могут поступать как с поддельных (спуфинг), так и с неизвестных номеров. Современные технологии позволяют подделывать даже голоса.
Смишинг — та же схема, только через SMS. Сообщения часто приходят с поддельных или маскирующихся под официальные номеров и содержат ссылки на фальшивые сайты, где жертву просят ввести конфиденциальную информацию.
Претекстинг — разыгрывание роли. Злоумышленник может представиться новым коллегой или подрядчиком, войти в доверие и собирать информацию, в том числе из ваших соцсетей.
Бейтинг — злоумышленники оставляют зараженные носители (например, флешки с логотипом известной компании) в публичных местах в надежде, что любопытный человек найдет их и подключит к своему устройству, запустив тем самым вредоносное ПО.
Ханитрэппинг — злоумышленник устанавливает доверительные или романтические отношения с жертвой, чаще всего в онлайн-среде. Цель — вызвать эмоциональную привязанность, чтобы в дальнейшем получить доступ к конфиденциальной информации, учетным записям и устройствам или склонить к действиям в интересах атакующего — например, попросить взаймы крупную сумму.
Обратная социальная инженерия — мошенник создает ситуацию, в которой жертва сама обращается к нему за помощью. Например, рассылает письмо с контактами «техподдержки», после чего инициируются сбои в системе. Пользователь связывается по указанным контактам, и в процессе «помощи» атакующий получает доступ к нужной информации.
Все эти сценарии объединяет один принцип: злоумышленники не просто апеллируют к доверию — они мастерски играют на тревоге, страхе, ощущении срочности. Вас не заставляют — вас убеждают. Важно понимать, что социальная инженерия — это не просто звонок «из банка» здесь и сейчас. Это заранее выстроенная стратегия, в которой жертву ведут шаг за шагом. Часто атака начинается задолго до первого контакта. Мошенники собирают данные о жертве из самых разных источников: от соцсетей и форумов до слитых баз, теневых пробивов и утекших корпоративных архивов.
Но даже без доступа к закрытым данным грамотный сбор открытой информации (OSINT) — через публичные профили, фотографии, комментарии, рассылки — позволяет выстроить детальный профиль человека. Овершеринг — избыточная открытость в сети — позволяет мошенникам проще подобрать правдоподобную легенду, втереться в доверие и вызвать нужную реакцию.
Как распознать манипуляцию?
Распознать манипуляцию — значит вернуть себе контроль. Уловки социальной инженерии работают только тогда, когда человек действует импульсивно. Но при этом существуют признаки, по которым можно определить, что вами пытаются манипулировать.
Создание ощущения срочности. «Ваш аккаунт заблокируют через 10 минут», «Обнаружена попытка взлома, требуется срочное подтверждение» — такие фразы нацелены на то, чтобы вы действовали на автомате, без обдумывания и рефлексии. Это подавляет рациональное мышление, создает эффект «туннельного зрения».
Апелляция к страху или жадности. «Если вы не подтвердите свой аккаунт, вы потеряете к нему доступ без возможности восстановления», «Мы выявили попытку несанкционированного доступа. Немедленно переведите средства на безопасный счет, иначе деньги будут утеряны». Цель таких месседжей — спровоцировать сильные эмоции, которые затмевают критическую оценку.
Не менее эффективно в интересах мошенников работает и другая эмоция — жадность. «Поздравляем! Вы выиграли 1 000 000 рублей / ноутбук / автомобиль! Для получения приза оплатите налоговый сбор или доставку», «Постоянным клиентам предоставляем эксклюзивную скидку 70% — только три дня!». Такие посылы активируют стремление к быстрой выгоде, блокируя здравый смысл.
Требования соблюдения конфиденциальности. «Никому не сообщайте о нашем разговоре», «Это служебная информация, вы не имеете права ее разглашать». Такой подход изолирует и лишает жертву объективной оценки или помощи извне.
Нестандартные каналы связи. Сотрудник банка вдруг пишет вам в WhatsApp, хотя обычно от банка приходят SMS с трех- или четырехзначного номера; или коллега просит переслать документы на личную почту вместо корпоративной.
Нарушение логики общения. «Чтобы подтвердить личность, пришлите логин и пароль от вашего аккаунта» — в спокойной обстановке это звучит абсурдно, но в момент паники можно не заметить противоречий.
Апелляция к авторитету. «Вас беспокоит директор...», «Служба безопасности банка проводит проверку...» — такие фразы активируют психологический эффект подчинения авторитету.
Как защитить себя: практические рекомендации
Эффективная защита от социальной инженерии возможна при критическом мышлении и осведомленности о методах злоумышленников. В любой необычной ситуации первое, что стоит сделать — прервать диалог, остановиться и задать себе вопрос: что сейчас происходит? Эта простая пауза может помочь заметить странности: осознание эмоции — это первый шаг к контролю над ней. Не торопитесь отвечать, переходить по ссылкам или выполнять просьбы — лучше взять время на обдумывание и проверить информацию из независимых источников.
Развивайте цифровую осознанность. Важно понимать: психика устроена так, что мы не можем постоянно быть начеку. Но мы можем научиться действовать осознанно в цифровой среде. Каждый раз, открывая электронную почту или отвечая на звонок, делайте паузу и задавайте себе вопрос: «Я ожидал(а) это сообщение? Есть ли что-то необычное в этой ситуации?» Такая микро-пауза помогает переключиться с автоматического мышления (то, что Канеман называет «Система 1») на более вдумчивое и аналитическое — «Систему 2», где меньше шансов поддаться манипуляции.
Эту же паузу можно встроить технически. Самозапрет на оформление кредитов, снижение суточных лимитов на переводы и блокировка онлайн-операций без физического подтверждения — такие меры работают как «вынужденная пауза» и дают дополнительное время подумать. Как двухфакторная аутентификация, только для бюджета.
Проверяйте информацию по альтернативным каналам. Если вам приходит срочное сообщение о проблемах с доставкой или якобы задержке посылки с просьбой перейти по ссылке или предоставить личные данные — не торопитесь. Зафиксируйте данные входящего звонка или письма (номер телефона, email, время звонка/письма, другие детали). Самостоятельно свяжитесь с поддержкой через официальные и проверенные контакты. Это самый надежный способ проверить подлинность обращения.
Создайте эмоциональную дистанцию. В момент атаки злоумышленники стремятся вызвать сильные эмоции — страх, панику, азарт и т.п. Ваша задача — создать дистанцию. Если вы чувствуете нарастающую тревогу или давление, сделайте глубокий вдох — это даст мозгу возможность перестроиться и включить критическое мышление. Остановите коммуникацию в случае нарастания напряжения и никогда не действуйте под давлением. Положите трубку без объяснения причин или ничего не отвечайте на поступившее сообщение. Назойливого собеседника всегда можно заблокировать.
Используйте технические средства защиты. Они не защищают от всех форм социальной инженерии, но создают дополнительные барьеры и помехи для злоумышленников. Включите двухфакторную аутентификацию везде, где это возможно. Используйте менеджер паролей для создания и хранения сложных уникальных комбинаций, регулярно обновляйте программное обеспечение на всех устройствах.
Технологии и человеческое внимание
Психологические механизмы эволюционировали тысячелетиями. Они помогали нашим предкам быстро реагировать на опасности и выживать в условиях неопределенности. Проблема в том, что сегодня эти же механизмы делают нас уязвимыми в цифровом мире.
По данным исследования компании Mimecast, в 2024 году 95% всех утечек данных были связаны с человеческим фактором — в основном из-за действий инсайдеров, неправильного обращения с учетными данными и других пользовательских ошибок.
Самое слабое звено в системе кибербезопасности — не компьютерный код, а психология человека. Ее «взломать» проще, чем ИТ-систему. И если раньше хакеры искали баги в ПО, то теперь они все чаще изучают поведение людей — как они реагируют на различные ситуации, поддаются ли эмоциям и давлению.
Главный инструмент защиты от таких атак — осознанность. Способность замечать необычное, задавать вопросы и не действовать на автомате под давлением. Важно помнить: ни один банк не запросит пароль или код из SMS, ни одна добросовестная компания не будет требовать немедленных действий и ни один специалист по безопасности не будет торопить с принятием решений.
Свежие комментарии