Социальный инжиниринг: невидимая угроза цифровой эпохи. Рекомендации по распознаванию и противодействию манипуляциям

Социальный инжиниринг: невидимая угроза цифровой эпохи.

Рекомендации по распознаванию и противодействию манипуляциям

Социальная инженерия — многозначный термин:

• Социальная инженерия (социалогия) — совокупность подходов прикладных социальных наук.

• Социальная инженерия (информационная безопасность)— метод управления действиями человека без использования технических средств.

Социальный инжиниринг (англ. social engineering) в контексте информационной безопасности — «атака на человека» — это совокупность психологических и социологических приёмов, методов и технологий, которые позволяют получить конфиденциальную информацию путём психологического воздействия на человека, а не технического взлома. В отличие от кибератак на программное обеспечение, социальный инжиниринг эксплуатирует человеческие слабости: доверие, страх, любопытство, желание помочь. Если говорить простыми словами, это манипуляция людьми, чтобы они добровольно выдали пароли, перевели деньги или совершили определенные действия, выгодные злоумышленнику. Это "взлом человека", а не компьютера.

Социальные инженеры выстраивают мошеннические схемы, основываясь на своих знаниях о психологии человеческого поведения. Именно поэтому они легко манипулируют сознанием и действиями пользователей. Разобравшись с мотивами поведения своей жертвы, преступники могут эффективно применять методы психологического манипулирования.

В большинстве атак с применением социальной инженерии злоумышленники вступают в контакт с жертвой.

Жизненный цикл атаки позволяет преступникам выстроить надежную схему обмана пользователя. Как правило, атака на основе социальной инженерии включает следующие стадии:

1. Подготовка- сбор информации о жертве.

2. Проникновение - установление контакта и завоевание доверия.

3. Эксплуатация (манипуляция) - поиск и использование уязвимости жертвы.

4. Исчезновение - прекращение общения с жертвой после достижения поставленной цели.

Эмоциональные манипуляции позволяют злоумышленникам добиваться своего практически в любой ситуации. Под воздействием эмоций люди нередко совершают нелогичные и даже рискованные поступки.

Атаки социального инжиниринга работают благодаря универсальным психологическим триггерам (по Роберту Чалдини):

Понимание этих механизмов — первый шаг к защите.

​Классификация видов социальной инженерии

​1. Фишинг (fishing - выуживание ) и его разновидности

Фишинг - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это самая популярная схема социальной инженерии на сегодняшний день.

Массовый фишинг – это распространенный тип атаки на многих людей сразу. Они не персонализированы – преступники пытаются поймать какого-нибудь доверчивого пользователя.

Целевой фишинг и его разновидность, уэйлинг, – это персонализированные атаки на конкретных пользователей. Жертвами уэйлинга обычно становятся знаменитости, представители высшего руководства компаний и политики.

Классический фишинг — массовые письма/сообщения с целью кражи данных.
Пример: «Ваш аккаунт в Госуслугах заблокирован. Подтвердите данные по ссылке».

Спифишинг (Spear Phishing) — таргетированная атака на конкретного человека с использованием персональных данных.
Пример: Письмо директору школы с темой «Счёт за ремонт спортзала от ООО „СтройГрад“» (реальный подрядчик школы), содержащее вредоносный файл.

Вишинг (англ. vishing — voice fishing) ) — фишинг через телефонные звонки (телефонное мошенничество).
Пример: Звонок «от банка» с сообщением о подозрительной операции и просьбой назвать код из СМС.

Смишинг (Smishing - Sms-fishing) — фишинг через SMS.
Пример: «Вам начислено 5000 ₽ от Минпросвещения. Получить по ссылке...

​2. Претекстинг (Pretexting)

Создание ложного сценария (предлога) для получения информации.
Пример: Звонок «от Рособрнадзора» с проверкой готовности к аттестации, в ходе которой «инспектор» запрашивает логины администраторов системы.

​3. Байтинг (Baiting)

Это метод социального инжиниринга, в основе которого лежит соблазнение жертвы заманчивым предложением или бесплатным товаром, чтобы она выполнила действие, выгодное злоумышленнику. «Наживка» в виде чего-то желанного для жертвы. Злоумышленник подбрасывает «инфицированные» носители информации, которые сопровождаются подписью, призванной вызвать любопытство у жертвы.
Пример: Флешка в учительской — при подключении к компьютеру устанавливает шпионское ПО.

​4. Тейлгейтинг (Tailgating)

Физическое проникновение в защищённое помещение вслед за авторизованным лицом.
Пример: Человек с ноутбуком и папкой просит «подержать дверь» при входе в серверную школы, представляясь «новым ИТ-специалистом».

​5. Кви́д про кво ( от лат. Quid pro quo  — «то за это») — в английском языке это выражение обычно используется в значении «услуга за услугу». 

Предложение «услуги» в обмен на информацию или действие.
Пример: «Бесплатная техническая поддержка» — звонок с предложением «оптимизировать работу компьютера», в ходе которого устанавливают троян.

​6. Фарминг

Перенаправление жертвы с легитимного сайта на поддельный через изменение DNS-настроек или вредоносное ПО.
Пример: При вводе электронного адреса пользователь попадает на точную копию сайта, где происходит кража логина/пароля.

​Современные тренды 2025–2026: ИИ меняет правила игры

​Голосовые атаки с синтезом речи

Генеративные модели позволяют создавать реалистичные голоса родственников или коллег за 10 секунд аудио. В 2025 г. зафиксированы случаи мошенничества с использованием синтезированного голоса директора школы для перевода средств .

​Deepfake-видео в реальном времени

Технологии вроде Synthesia и HeyGen позволяют создавать видео с «живым» человеком, произносящим любые фразы. Риски для образования:

• Поддельные видео с методическими рекомендациями от министерства

• Фейковые обращения директора с требованиями действий

​Мессенджер-атаки через клонирование аккаунтов

Злоумышленники взламывают аккаунт учителя в WhatsApp/Telegram и рассылают сообщения одноклассникам/родителям с просьбой перевести деньги «на учебные материалы».

​Как распознать атаку: 7 красных флагов

1. Срочность без объяснения причин — «Сделайте СЕЙЧАС, иначе доступ закроют».

2. Запрос конфиденциальных данных — паролей, СМС-кодов, паспортных данных по телефону/почте.

3. Нестандартные каналы связи — директор пишет из личного Telegram вместо корпоративной почты.

4. Ошибки в тексте — грамматические ошибки в «официальном» письме от госоргана.

5. Подозрительные ссылки — адрес не совпадает с официальным сайтом.

6. Неожиданные вложения — файлы с расширением .exe в письмах от коллег.

7. Давление на эмоции — страх («ваш ребёнок в опасности»), жадность («бесплатный грант»), стыд («вы нарушили правила»).

Правило 24 часов: при любом запросе, вызывающем сомнения, отложите действие на сутки и проверьте информацию через официальный канал.

​Защита образовательных учреждений: многоуровневый подход

​Уровень 1. Организационные меры

• Регламент коммуникации: запрет передачи паролей по телефону/почте; чёткие каналы для финансовых операций.

• Двухфакторная аутентификация (2ФА) на все системы (электронный дневник, почта, бухгалтерия).

• Реестр контактов: официальные номера и почты контрагентов, доступные только авторизованным лицам.

​Уровень 2. Технические меры

• Фильтрация входящей почты (спам-фильтры с ИИ-анализом).

• Блокировка подозрительных доменов на уровне школьного шлюза.

• Регулярное резервное копирование данных (защита от вымогательского ПО).

​Уровень 3. Обучение персонала (самый важный!)

• Ежеквартальные тренинги с разбором реальных кейсов.

• Симуляции атак: отправка «тестовых» фишинговых писем сотрудникам с последующим разбором.

• Чек-листы для критических операций:

• Перед переводом денег:

☐ Проверил номер счёта по официальному договору?

☐ Подтвердил операцию личной встречей или звонком на рабочий номер?

☐ Получил письменное распоряжение руководителя?

​Особенности защиты детей и подростков

Учащиеся особенно уязвимы к:

• Байтингу («скачай игру бесплатно» → вредонос)

• Социальному фишингу в соцсетях («твой друг прислал тебе фото» → ссылка на фишинг)

• Эмоциональному шантажу («мы опубликуем твои фото, если не заплатишь»)

Рекомендации для педагогов:

1. Внедрите уроки цифровой гигиены в программу.

2. Используйте игровые симуляторы (например, платформаCyber Polygonот Сбера) для отработки навыков.

3. Создайте памятку с правилами поведения онлайн.

Важно: образовательное учреждение несёт ответственность за утечку персональных данных учеников (ФЗ-152 «О персональных данных»), даже если утечка произошла из-за действий сотрудника, поддавшегося социальной инженерии.

ЦИФРОВОЙ ПАСПОРТ БЕЗОПАСНОСТИ УЧЕНИКА

Памятка по безопасному поведению в интернете

Перед любым сомнительным действием в сети — сверьтесь с правилами!

ОСНОВЫ БЕЗОПАСНОСТИ (для всех возрастов)

7 КРАСНЫХ ФЛАГОВ — СТОП, ПРОВЕРЬ!

Если видишь хотя бы один из этих признаков — немедленно остановись:

ЭКСТРЕННЫЕ КОНТАКТЫ

ШКОЛЬНЫЙ КОД БЕЗОПАСНОСТИ

Запомни три золотых правила:

1. Проверяй информацию.

Еслисомневаешься, уточни у учителя или родителей ДО действия.

1. Никогда не спеши.

Мошенники создают ложную срочность. Отложи решение на 10 минут.

1. Рассказывай, не молчи о проблеме. Даже если «попался» на уловку мошенников, расскажи взрослым. Это не стыдно — это умно!

«Интернет — как большая библиотека: в нём есть книги мудрецов и книги обманщиков. Умение отличать одно от другого — главный навык цифрового века».

Роль педагога сегодня трансформируется: Отхранителя знаний → к архитектору осознанного цифрового поведения.

​Заключение: безопасность начинается с осознанности

Социальный инжиниринг невозможно устранить техническими средствами полностью — он эксплуатирует неуязвимые для кода качества человека: доверие, эмпатию, желание быть полезным. Единственная надёжная защита — образование и культура кибербезопасности.

Для педагога это означает:

• Регулярно обновлять знания об актуальных угрозах

• Создавать в коллективе атмосферу, где можно сообщить о подозрительном запросе без страха осуждения

• Учить детей критическому мышлению как базовому навыку цифровой эпохи

• регулярно обновлять пароли и использовать многофакторную аутентификацию везде, где это возможно. Это существенно снижает риски взлома.

Для защиты от атак на основе социальной инженерии важно в первую очередь привыкнуть проявлять осмотрительность. Прежде чем что-то сделать или ответить, остановитесь и подумайте.

Адрес публикации: https://www.prodlenka.org/metodicheskie-razrabotki/630619-socialnyj-inzhiniring-nevidimaja-ugroza-cifro