Как устроены атаки на бизнес с использованием социальной инженерии (и как с ними бороться)

Технологии кибербеза активно развиваются, однако наиболее слабое звено цепи — человек — защищено всё ещё недостаточно. По данным Positive Technologies, социальная инженерия использовалась в каждой второй успешной атаке на организации во II квартале 2024 года. Какие психологические манипуляции любят мошенники? Почему они эффективны? Разбираемся на примере громких кейсов из разных отраслей.

Нажмите на ссылку, чтобы перейти к соответствующему разделу.

Социальная инженерия принимает разные формы. В быту вы наверняка встречались со звонками от «банковских сотрудников» или внезапными просьбами занять денег в WhatsApp.

Чаще всего цель атак на рядовых пользователей — как можно скорее выжать финансы. Проводят их, как правило, массово. Атаки на бизнес более персонализированы, и их цель — получить доступ к информации или ресурсам: ради выкупа, причинения вреда конкурентам, захвата ценных данных или их «слива» в сеть.

Расскажем о некоторых мошеннических методах.

Мошенник выдаёт себя за знакомого вам человека или представителя компании и вынуждает сообщить что-либо или совершить действие (например, перейти по ссылке и ввести чувствительные данные). Инструментом может быть звонок, переписка по SMS или в мессенджерах, email, фейковый сайт.

Спам-рассылки, взлом знакомых, сайты-подделки — полбеды. Многие уже научились их замечать. Но есть более изощрённые методы фишинга — особенно когда речь идёт о бизнесе.

Если злоумышленник достаточно осведомлён, с кем сотрудничает ваша компания, он может связаться с вашим менеджером по работе с партнёрами и притвориться новым сотрудником компании-контрагента. Немного погодя «новичку» понадобится база данных, расширенный доступ к вашим ИТ-ресурсам или конфиденциальная информация.

Фишинг сопряжён с email-спуфингом и подделкой URL-адресов — когда мошенники немного изменяют адрес почты или сайта.

В этом случае злоумышленник для достижения своих целей использует любопытство жертвы. В качестве приманки предлагается что-то привлекательное — например, бесплатный продукт или эксклюзивная информация. Если жертва «клюёт», на её устройство может быть установлено вредоносное ПО.

Не хотите переплачивать за лицензионный продукт? Совершенно зря. Бесплатный антивирус, установленный из ненадёжного источника, в лучшем случае окажется бесполезным, а в худшем — заразит вашу систему и украдёт конфиденциальные данные.

Хищники выслеживают добычу на водопое. Если в популярном программном обеспечении есть дыры, они обязательно станут объектом внимания хакеров и причиной заражения устройств множества пользователей. Поэтому пользуемся только доверенным ПО и своевременно его обновляем — даже если переход на новую версию принесёт неудобства.

А ещё популярное ПО могут подделывать — это тоже охота на водопое. В конце января 2025 года на фоне хайпа DeepSeek злоумышленники разместили вредоносные файлы с названиями «deepseeek» и «deepseekai» в репозитории Python Package Index (PyPI). Разработчики думали, что скачивают библиотеку кода китайской нейросети, а на самом деле собственноручно «сливали» свои пароли и ключи доступа к базам данных. Файлы быстро удалили, но это не спасло сотни пользователей.

Если вы пользуетесь сайтами с низкой защищённостью, ваши запросы к веб-серверам могут быть перехвачены и перенаправлены на другие сайты. Это очередной способ заставить вас скомпрометировать собственные учётные записи, скачать вредоносные файлы или отправить деньги преступникам.

*Принадлежит организации Meta, которая признана в Российской Федерации экстремистской.

Несколько лет литовский мошенник проводил одну из самых дерзких атак на бизнес, основанную исключительно на методах социальной инженерии.

Эвалдас Римасаускас знал, что Facebook* и Google сотрудничали с крупным азиатским производителем электроники. Он зарегистрировал фирму с похожим названием и отправлял бухгалтерам компаний счета, замаскированные под реального подрядчика. Также он подписывал контракты от имени руководителей атакованных компаний.

Как только деньги поступали на счета подставной фирмы, Римасаускас переводил их в оффшорные банки по всему миру. Взлома не было — схема держалась на искусной подделке документов и доверчивости сотрудников.

Афера раскрылась только в 2017 году. До этого преступник успел заработать 123 млн долларов.

Как от имени Джо Байдена попросить деньги у его электората? Сблизиться с сотрудником Twitter. По крайней мере, это работало в 2020 году.

Для атаки на социальную сеть хакеры сначала использовали телефонный фишинг, чтобы взломать внутренние учётные записи сотрудников низшего звена. Они находили контакты через профессиональную сеть LinkedIn, представлялись ИТ-специалистами Twitter и убеждали жертв зайти на поддельный сайт, который выглядел как корпоративная система входа. Когда сотрудник вводил логин и пароль, информация мгновенно передавалась хакерам. Затем у сотрудников просили код двухфакторной аутентификации.

Под учётками младших сотрудников злоумышленники провели атаку социальной инженерии на старших сотрудников, у которых были доступы к базе данных пользователей. Так хакеры завладели аккаунтами Илона Маска, Билла Гейтса, Барака Обамы, Джеффа Безоса, Канье Уэста, Джо Байдена, Уоррена Баффета, Apple, Uber и т. д. С них были опубликованы твиты о бесплатной раздаче биткоинов: отправляйте тысячу долларов — получите две!

Фейковая раздача биткоинов принесла хакерам около 120 тысяч долларов. Их быстро поймали и осудили, но для Twitter инцидент стал началом масштабной работы над кибербезопасностью.

Вьетнамский стартап Sky Mavis — создатель популярной NFT-игры Axie Infinity, которая даёт пользователям зарабатывать криптовалюту. В 2022 году со счетов компании украли сумму, эквивалентную на тот момент примерно 540 млн долларов.

Виной — не сложные уязвимости блокчейн-платформы, а социальная инженерия. Хакеры опять же использовали LinkedIn, чтобы выйти на сотрудников Sky Mavis. Они представлялись рекрутерами перспективной компании (вымышленной) и предлагали пройти собеседование.

Одним из соискателей оказался старший инженер Sky Mavis. После серии интервью он получил предложение о работе — в виде PDF. Файл содержал вредоносный код, который, будучи открыт на рабочем компьютере, дал хакерам доступ к ИТ-инфраструктуре Sky Mavis. Проникнув в корпоративную сеть, преступники нашли ключи для подтверждения транзакций и вывели криптовалюту.

Вернуть удалось только 5% похищенных средств, потому что воры задействовали сложную схему отмывания денег.

А вот отечественный пример. В январе 2025 года зафиксирована серия атак на российскую промышленность. Шпионы рассылали приглашения на семинары по стандартизации оборонной продукции. К письму прилагался архив, который нужно было открыть, чтобы прочесть документ с подробностями, и код для распаковки. Когда пользователь вводил код, вредонос заражал систему.

Передаём слово представителю клиента «ОБИТ»!

Ещё один инцидент, который показывает, что для взлома крупной компании не надо обладать феноменальными навыками программиста.

Злоумышленник узнал контакты сотрудника Uber, который имел доступ к важным ИТ-системам. Предположительно, данные о корпоративном устройстве утекли из сторонних сервисов (возможно, вновь из профессиональной сети наподобие LinkedIn).

Жертве многократно отправляли push-уведомления от системы многофакторной аутентификации, запрашивая подтверждение входа в корпоративную сеть. Когда сотрудник уже был раздражён, хакер написал ему в WhatsApp, представившись специалистом ИТ-службы Uber. Он заявил, что уведомления — это системный сбой, и предложил исправить проблему. Сотруднику нужно было подтвердить один из запросов.

Доверившись «поддержке», сотрудник одобрил запрос на вход и дал хакеру полный доступ к корпоративной системе Uber — с внутренней документацией и переписками сотрудников.

В нашей стране злоумышленники часто устрашают сотрудников органами власти: Федеральной службой безопасности, налоговой или министерствами.

Преступники создают поддельные аккаунты в мессенджерах, оформленные именами и фотографиями ведущих менеджеров, и пишут линейным сотрудникам. Представляясь руководителями, они информируют о предстоящем звонке из «органов» и требуют отчёт по его итогам, настаивая на конфиденциальности разговора. Затем жертва получает звонок с неопознанного номера, где у неё запрашивают конфиденциальные данные.

Иногда преступники подделывают голос и лингвистические привычки руководителя и используют телефонный фишинг. Это оказывает ещё большее впечатление на жертв.

Перечисленные нами инциденты показывают, насколько опасными могут быть атаки на человеческий фактор. Даже опытные специалисты из сферы технологий могут стать жертвами социальной инженерии, если преступники действуют тщательно и убедительно.

Любому руководителю следует внедрить строгую политику безопасности и повышать осведомлённость сотрудников о методах социальной инженерии. Как это делать?

Во-первых, постоянно изучайте свежие публикации на тему кибербезопасности, даже если вы не специа��изируетесь на ИТ.

О базовых мерах защиты мы писали в статье «10 главных правил кибербезопасности для бизнеса. Антивируса недостаточно!»

Во-вторых, наймите грамотного специалиста по информационной безопасности, чтобы он регулярно исследовал и закрывал уязвимости корпоративной ИТ-инфраструктуры.

В-третьих, вы можете привлечь опытного ИТ-партнёра, чтобы тот провёл аудит информационной безопасности вашей организации, создал чёткую стратегию и обучил сотрудников самым актуальным методам защиты.

Кибербез — одна из ключевых компетенций оператора ИТ-решений «ОБИТ». Мы сотрудничаем с лучшими поставщиками средств защиты и внедряем их с высокой вовлечённостью в ваши бизнес-процессы.

Подписывайтесь на наш VC-блог, чтобы регулярно получать полезную информацию об ИТ для бизнеса.