Социальная инженерия: что это, как работает и как защититься
Атаки, которые не взламывают системы — они взламывают людей
В 2025 году доля успешных кибератак с применением социальной инженерии в России выросла с 49% до 60%. При этом среднее число инцидентов на одну компанию увеличилось на 51%. Почти в половине всех случаев злоумышленники не взламывали системы — они просто убеждали людей открыть дверь самостоятельно.
Антивирус не поможет, если сотрудник сам вводит пароль на поддельном сайте. Файрвол не остановит человека, который выполняет «срочное поручение от руководителя» и переводит деньги мошенникам. Именно поэтому социальная инженерия остаётся самым дешёвым и при этом одним из самых эффективных инструментов атакующих.
💡 По данным Positive Technologies, в 2025 году социальная инженерия применялась в каждой второй успешной атаке на российские организации. В 2026 году угроза усиливается: ИИ позволяет злоумышленникам создавать персонализированные сценарии, клонировать голоса и генерировать дипфейк-видео руководителей.
Что такое социальная инженерия
Социальная инженерия — это манипуляция людьми с целью получить доступ к данным, системам или помещениям без их взлома. Никаких эксплойтов и нулевых уязвимостей — только психология. Атакующий создаёт ситуацию, в которой жертва сама делает нужное ему действие: переходит по ссылке, называет пароль, открывает файл или переводит деньги.
Термин пришёл из социологии, но в кибербезопасности он описывает конкретный класс атак — направленных не на технику, а на человека. Файрвол не анализирует намерения сотрудника, антивирус не читает его мысли. Именно поэтому технические средства защиты не могут закрыть эту угрозу полностью.
В 2026 году угроза становится острее. Злоумышленники всё активнее используют генеративный ИИ: создают сверхперсонализированные фишинговые письма без единой ошибки, клонируют голоса руководителей для вишинга и генерируют дипфейк-видео для сложных схем мошенничества. Если раньше фишинговое письмо можно было распознать по корявому русскому языку, сегодня этот признак уходит в прошлое.
💡 Социальная инженерия эксплуатирует не уязвимости в коде, а уязвимости в человеческой психологии. Это делает её универсальным оружием: одинаково эффективным против рядового сотрудника, финансового директора и технического специалиста.
Основные техники социальной инженерии
Социальная инженерия — не одна техника, а целый арсенал методов. Одни работают через цифровые каналы, другие — по телефону или вживую. Разбираем каждый вектор, потому что знать как выглядит атака — первый шаг к тому, чтобы её остановить.
Фишинг
Массовые или целевые письма с поддельных адресов — под видом банков, госорганов, HR-службы или руководства. Письмо содержит вредоносную ссылку, поддельную форму входа или заражённое вложение. Целевой фишинг (spear phishing) идёт дальше: атакующий предварительно изучает жертву через OSINT — узнаёт имя, должность, проекты, коллег — и создаёт письмо, которое выглядит как личная переписка. По данным Secpost, более 40% сотрудников российских компаний уязвимы к фишингу, каждый третий вводит рабочие учётные данные на поддельных страницах.
Вишинг
Голосовые звонки от «службы безопасности банка», «сотрудника IT-поддержки» или «представителя ФНС». Цель — получить данные карты, одноразовый код или удалённый доступ к компьютеру. В 2025–2026 году злоумышленники начали применять клонирование голосов с помощью ИИ: достаточно нескольких минут публичных записей руководителя, чтобы создать убедительную имитацию.
Смишинг
SMS и сообщения в мессенджерах с вредоносными ссылками. Классические сценарии: «ваша посылка задержана», «подтвердите данные для получения выплаты», уведомление от «Госуслуг» о новом документе. Короткое сообщение не вызывает подозрений — и именно в этом его сила.
Претекстинг
Атакующий создаёт детально проработанную легенду: представляется новым сотрудником, подрядчиком, аудитором или IT-специалистом. Заранее изучает жертву и окружение через открытые источники — LinkedIn, соцсети, сайт компании. Выстраивает доверие, затем запрашивает нужную информацию или действие. Это один из самых трудно распознаваемых методов — потому что атакующий говорит правильные слова и называет реальные имена.
Тейлгейтинг
Физическое проникновение в охраняемое помещение: злоумышленник проходит следом за сотрудником через дверь с пропускной системой, пока та ещё открыта. Часто используется в связке с претекстингом — атакующий представляется курьером или техником по обслуживанию оборудования.
Бейтинг
Подброшенный USB-накопитель или QR-код в публичном месте. Флешка с наклейкой «Зарплаты Q1 2026» или «Конфиденциально» — и любопытный сотрудник подключает её к рабочему компьютеру. Метод примитивный, но статистически эффективный даже в технически грамотных организациях.
Квид про кво
Атакующий предлагает «помощь»: звонит в компанию, представляется IT-специалистом и предлагает решить проблему с компьютером. Под видом устранения неполадок устанавливает вредоносное ПО или получает учётные данные. Работает особенно хорошо в компаниях, где IT-поддержка реально бывает перегружена и звонит сама.
Как работает психология атаки
Прежде чем разбирать конкретные техники, важно понять механизм. Все атаки социальной инженерии эксплуатируют один или несколько психологических триггеров — и именно знание этих триггеров позволяет вовремя остановиться.
Шесть триггеров, на которых строятся атаки
Авторитет. Письмо «от генерального директора» или звонок «из службы безопасности банка». Мы склонны выполнять указания тех, кого воспринимаем как вышестоящих — и атакующие это знают. Достаточно убедительно представиться, чтобы получить нужное действие.
Срочность. «Ваш аккаунт будет заблокирован через час». «Срочно подтвердите транзакцию». Давление времени отключает критическое мышление — человек действует быстро, не проверяя детали.
Страх. «Мы зафиксировали подозрительную активность на вашем счёте». Тревога ускоряет принятие решений и снижает способность критически оценивать ситуацию.
Доверие и взаимность. Атакующий сначала оказывает небольшую услугу или демонстрирует осведомлённость о жертве — называет имя коллеги, упоминает текущий проект. После чего запрашивает встречный шаг.
Социальное давление. «Все ваши коллеги уже подтвердили данные, вы единственный, кто ещё не прошёл верификацию». Желание не выбиваться из группы — мощный мотиватор.
Любопытство. «Посмотрите, кто просматривал ваш профиль» или подброшенная флешка с наклейкой «Зарплаты Q1 2026». Любопытство — один из самых сложно контролируемых импульсов.
💡 Главный признак атаки социальной инженерии — ощущение, что нужно действовать прямо сейчас. Срочность, страх или давление авторитета в нестандартной ситуации — это сигнал остановиться и проверить, а не повод торопиться.
Реальные примеры атак
Социальная инженерия — не абстракция из учебника. Вот как она выглядит в реальных инцидентах.
Целевой фишинг на финансиста
Бухгалтер получает письмо «от генерального директора» с просьбой срочно провести платёж контрагенту. Адрес отправителя отличается одной буквой от настоящего. Подпись, стиль письма и формулировки совпадают с реальными — данные собраны из LinkedIn и корпоративного сайта. Сотрудник выполняет перевод. К моменту обнаружения деньги уже несколько раз сменили счёт.
Вишинг с клонированием голоса
Финансовый директор получает звонок «от CEO» с просьбой провести срочную транзакцию до конца рабочего дня. Голос неотличим от настоящего — синтезирован на основе публичных выступлений руководителя. Подобные схемы с использованием дипфейк-аудио фиксируются в России с 2025 года и стали одним из ключевых трендов кибермошенничества по данным прогноза anti-malware.ru на 2026 год.
Подброшенная флешка в офисе
В переговорной комнате после встречи с подрядчиком обнаруживается USB-накопитель. Сотрудник подключает его «посмотреть, чей он» — запускается загрузчик вредоноса, который закрепляется в системе и начинает собирать данные. Именно так выглядит бейтинг в корпоративной среде.
💡 Общее у всех этих сценариев — атакующий не ломал ничего технически. Он просто создал ситуацию, в которой человек сам сделал то, что нужно. Именно поэтому защита строится не на технике, а на обучении.
Как защититься: что реально работает
Техническая защита снижает риски, но не устраняет их. Единственный надёжный ответ на социальную инженерию — обученный сотрудник с выработанными рефлексами. Не тот, кто знает, что фишинг существует, а тот, кто автоматически замечает тревожные сигналы и знает, что делать дальше.
Шесть правил, которые работают на практике
Правило верификации по другому каналу. Любой нестандартный запрос — по другому каналу. Написали в почту о срочном переводе — позвони лично. Позвонили с просьбой дать доступ — напиши в корпоративный чат для подтверждения. Это одно правило закрывает большинство сценариев вишинга и целевого фишинга.
Культура «это нормально — уточнить». Сотрудник не должен бояться переспросить или отказать «руководителю», если запрос кажется странным. Страх выглядеть некомпетентным — один из самых эксплуатируемых триггеров в атаках через авторитет.
Регулярные симуляции, а не разовые инструктажи. Только практика формирует навык. Раз в квартал — учебная фишинговая рассылка, разные каналы, разные сценарии. Кликнул — сразу мини-урок, пока «ошибка ещё горячая».
Обучение распознаванию триггеров. Срочность, страх, давление авторитетом в нестандартной ситуации — это сигналы, а не причина действовать быстро. Когда сотрудник знает о триггерах, они перестают работать автоматически.
Чёткие процедуры для нестандартных ситуаций. Платёжные инструкции по телефону не выполняются без письменного подтверждения. Запросы на доступ от «IT-поддержки» проверяются через официальный тикет. Процедура снимает необходимость принимать решение в момент давления.
USB-политика. Подключение неизвестных носителей к рабочим устройствам — под запретом. Этот простой регламент полностью закрывает вектор бейтинга.
💡 Компании с непрерывным циклом Security Awareness снижают долю ошибочных кликов с 30–40% до 1,5% за 12 месяцев. Обучение — единственный инструмент, который напрямую закрывает вектор социальной инженерии.
Как системно выстроить защиту от социальной инженерии
Знать о техниках атак — важно. Но знания без регулярной практики не защищают. Следующий шаг после этой статьи — выстроить в компании программу Security Awareness: симуляции атак, обучение под конкретные роли и аналитика уязвимостей по отделам. Подробно о том, как выбрать платформу и с чего начать — в материале Security Awareness: как обучить сотрудников и выбрать платформу.
Курсы по противодействию социальной инженерии
Повышение осведомлённости сотрудников — один из ключевых методов минимизации рисков социальной инженерии. Подобрали проверенные курсы для старта:
«Фишинг — тебе пишут мошенники»
SberCyberSecurity School — практический курс о том, как распознавать фишинговые письма, сообщения и звонки.
Академия Айспринг — вводный курс по основным техникам социальной инженерии и методам защиты.
«Курс по противодействию социальной инженерии и мошенничеству»
Data Secure на Stepik — углублённый курс с практическими сценариями противодействия манипуляциям и мошенничеству.