UrusMail LogoUrusMail
Все статьи
Соц. инженерия12 марта 2026 г.8 мин

Социальная инженерия: когда взламывают не систему, а человека

Почему человек — слабейшее звено?

Современные системы защиты прекрасно блокируют технические атаки. Но ни один брандмауэр не защитит вас от звонка «из службы безопасности банка», который убедит вас самостоятельно перевести деньги мошенникам.

Социальная инженерия — это манипуляция людьми, а не машинами. Она эксплуатирует базовые психологические механизмы.

Ключевые психологические триггеры

Авторитет — атакующий представляется начальником, сотрудником IT, налоговым инспектором. «Это ваш системный администратор, мне срочно нужен ваш пароль для технических работ».

Срочность — давление времени отключает критическое мышление. «Если вы не подтвердите данные прямо сейчас, ваш счёт будет заморожен».

Взаимность — мошенник сначала делает что-то «приятное», потом просит об услуге.

Социальное доказательство — «все ваши коллеги уже прошли обновление системы».

Дефицит — «это предложение только для 10 первых клиентов».

Симпатия — атакующий выстраивает дружеские отношения прежде чем сделать запрос.

Типичные сценарии

Претекстинг (Pretexting)

Мошенник создаёт правдоподобную «легенду» — притворяется IT-поддержкой, новым сотрудником или аудитором. Звонит и методично задаёт вопросы, собирая данные.

Байтинг (Baiting)

Физически подброшенная USB-флешка с надписью «Зарплаты 2026» в лифте офиса. 45% людей подключают найденные флешки.

Quid Pro Quo

«Я из IT-отдела, у вас проблемы с компьютером?» — предлагает "помощь" в обмен на данные для доступа.

Тейлгейтинг

Физический доступ в охраняемое помещение — злоумышленник просит придержать дверь с полными руками.

Как защититься

  1. Верифицируйте звонящих: положите трубку и перезвоните по официальному номеру
  2. Не поддавайтесь срочности — легитимные организации дают время подумать
  3. Политика нулевого доверия: никаких паролей и кодов по телефону или в переписке
  4. Обучение сотрудников: регулярные симуляции социальных атак
  5. Используйте временные контакты при общении с незнакомыми организациями — временный e-mail вместо основного, чтобы не раскрывать настоящую точку контакта

Тест: распознайте атаку

«Здравствуйте, я Александр из отдела IT-безопасности. Мы зафиксировали несанкционированный вход в ваш аккаунт из Германии. Чтобы заблокировать злоумышленника, мне нужен ваш текущий пароль и код из SMS прямо сейчас».

Это классический претекстинг с триггерами авторитета, срочности и страха. Правильный ответ: положить трубку и связаться с IT-отделом по внутреннему номеру компании.

Все статьи