+375 (17) 311-10-14
+375 (17) 311-10-14
Попробовать бесплатно
Попробовать бесплатно
+375 (17) 311-10-14
    DLP-система
    07.04.2025
    10 мин.

    Социальная инженерия в контексте информационной безопасности

    Начнем с простого? Вы понимаете, что такое социальная инженерия сегодня? Давайте поговорим о ее роли в современном обществе в общем и в информационной безопасности в частности.

    Александр Акимов

    Генеральный директор

    Социальная инженерия — это все манипулятивные действия, которые направлены на то, чтобы узнать вашу информацию либо корпоративные данные предприятия. На первый взгляд это не так страшно. 

    Подумаешь: простой мошенник пытается как-то на вас повлиять, чтобы получить доступ к информации. Что она ему даст? Это же не прямой доступ к деньгам. Но это не совсем так. В современном мире парадигма информация=деньги как никогда актуальна. Ваши данные открывают доступ к банковским приложениям, цифровым кошелькам. Либо используются как основа для других атак типа фишинг, вишинг, претекстинг, спир-фишинг.

    В последние годы влияние социнженерии только усилилось. Во многом благодаря сложившейся ситуации в информационном поле человека и предприятия.

    Заметьте: с приходом социальных сетей и мессенджеров мы стали более открытыми. Никогда раньше человечество не переживало такого бума жизни напоказ. Если ранее мы старались скрыть информацию, сделать ее более интимной, недоступной, то теперь все наоборот. В соцсетях публикуются подробности личной жизни, заработка, местонахождения. Отдельные лица могут залить в сториз даже фото своего паспорта или криптокошелька. Неудивительно, что эти открытые данные используются мошенниками. В прессе мы каждый день читаем о подобных случаях:

    “Мне позвонил брат и сказал, что попал в аварию и ему срочно необходима помощь. Он так подробно описывал ситуацию, что я и подумать не могла, что это мошенники и перевела ему на выплату штрафа 3000$”.

    Или

    “Месяц назад мне пришло СМС-сообщение от банка, что я должна внести ежемесячный платеж за кредит, иначе начинает насчитываться пеня за просрочку. Но я не брала никаких денег! Как оказалось после расследования — мошенники оформили микрокредит на мое имя”. 

    И другие многочисленные ситуации. Не сразу жертвы подобных инцидентов поймут, что стали участниками мошенничества, основанного на социальной инженерии. А ведь сами не замечая предоставили всю информацию.

    Окей, возможно, вы подумаете, что это в большей степени актуально для частной жизни конкретного человека, и не используется в атаках на бизнес? Но это тоже ошибка. Вспомните, что какими бы ни были изощренными и прогрессивными системы цифровой защиты, в центре всегда находится конкретный живой человек, со своими чувствами, знаниями и характером. А имея возможность повлиять на этого конкретного человека, мошенник получит доступ и к вашему предприятию.

    Статистика инцидентов с участием социальной инженерии

    Статистика подтверждает, что атаки социальной инженерии остаются одной из самых распространенных угроз в сфере кибербезопасности.

    • Примерно 70–90% кибератак включают в себя методы социальной инженерии, при этом фишинг является самым популярным способом, используемым злоумышленниками.
    • Около 85% организаций столкнулись с атаками, связанными с фишингом и социальной инженерией, что на 16% больше по сравнению с прошлым годом.
    • Компании с числом сотрудников менее 100 подвергаются атакам социальной инженерии на 350% чаще, чем крупные предприятия.
    • 90% всех утечек данных, связаны с манипуляцией людьми, чтобы получить доступ к конфиденциальной информации бизнеса.

    Основные аспекты роста активности мошенников

    Рассмотрим главные факторы роста влияния социальной инженерии и ее использования в кибератаках на предприятие.

    Увеличение доли цифровизации бизнеса

    Современное предприятие основано на потреблении и предоставлении цифровых услуг. Финансово-экономическая, налоговая, бухгалтерская отчетность, кадровая политика  управление персоналом оцифрованы, упакованы в приложения, облачные хранилища либо в принципе хранятся как электронный документ. Это значит, что повысился уровень доступного формата информации, на который могут быть нацелены кибератаки. 

    Рост количества цифровых продуктов

    Изменился и ландшафт продукции и услуг, создаваемых и продаваемых компаниями. Сегодня бизнес может строиться полностью на работе в онлайне: предприятия предоставляют собственные онлайн-услуги. Например, маркетинговые и продюсерские агентства, дизайн-студии, многочисленные школы цифрового обучения. Все эти компании могут никогда и не встретиться физически со своим клиентом, полностью переведя общение в сеть. Либо могут создавать цифровой продукт: многочисленные IT-разработчики тому подтверждение. Как видим, до какого-то физического воплощения бизнеса, материального продукта, представленного покупателю, дело так и не доходит, а цифровой формат более уязвим перед атаками любого типа.

    Рост доли удаленных сотрудников

    Рост числа удаленных сотрудников также усиливает риски информационной безопасности, особенно в сфере социальной инженерии. Работа вне защищенного офисного окружения делает сотрудников более уязвимыми для фишинговых атак, подмены личности и других мошеннических схем. При этом следует помнить, что удаленный сотрудник все еще находится в периметре предприятия, имеет все необходимые доступы к корпоративной инфраструктуре и может преднамеренно или нет «впустить» туда мошенника. 

    Кстати, киберпреступники сегодня активно используют электронную почту, мессенджеры и звонки, выдавая себя за коллег, руководство или IT-службу, чтобы выманить учетные данные или добиться выполнения вредоносных действий.

    Минусом роста доли удаленных сотрудников конечно является отсутствие личного взаимодействия между коллегами, что значительно снижает возможность быстро проверить подозрительные запросы. Также из негативного —  дистанционная работа ослабляет корпоративную культуру кибербезопасности. Невнимательность сотрудников, использование личных устройств и незащищенных каналов связи только усугубляют проблему.

    Типы атак социальной инженерии

    С увеличением доли цифрового бизнеса и цифровых сервисов, а также ростом количества удаленных сотрудников, компании становятся более уязвимыми перед атаками, основанными на социальной инженерии. Основные аспекты таких атак включают.

    Рост числа фишинговых атак

    Используется как классический фишинг в виде рассылки поддельных писем и сообщений с целью кражи учетных данных, так и другие типы более таргетированного воздействия. К ним относится SaaS-фишинг, ориентированный на перенаправление трафика на облачные сервисы (например, поддельные страницы входа в Microsoft 365, Google Workspace), и спир-фишинг: персонализированные атаки на конкретных сотрудников и топ-менеджмент.

    Важно понимать! Социальная инженерия чаще всего идет в комбинации с другим типом атак для того, чтобы сделать негативное воздействие максимально достоверным, направленным на конкретного человека.

    Атаки через личные мессенджеры и соцсети

    Не открою никому тайну, что социальная инженерия часто встречается в мессенджерах (WhatsApp, Telegram, Signal), когда злоумышленники представляются коллегами, клиентами или поставщиками.

    Фишинг через социальные сети (LinkedIn, Facebook, Instagram) — еще одна боль.  Как правило представлен в виде фейковых профилей в соцсетях, цель которых получение доверительной информации или распространение вредоносных ссылок.

    Взлом личной почты и ее использование для атак

    Компрометация личных почтовых ящиков и получение доступа к вашей личной переписке приводит к дальнейшему распространению фишинговых писем среди коллег. Мошенники рассчитывают, что получатели этих писем вам доверяют, а значит будут менее внимательны к безопасности.

    Бизнес-компрометация или атаки, связанные с подменой отправителя в мошенничестве с финансовыми транзакциями. Реже встречается из-за своей сложности в реализации, так как атака требует максимального погружения и изучения жертвы, а также понимания процесса обмена ценностью между партнерами.

    Подмена поставщиков и клиентов

    Популярны и такие схемы, где злоумышленники внедряются в цепочку поставок и подменяют банковские реквизиты. Либо связываются в вами не через официальные каналы связи (через соцсети, например), выдают себя за ваших деловых партнеров и манипулируют сотрудниками.

    Распространение вредоносного ПО через цифровые каналы

    Одна из основных целей социальной инженерии — это повышение количества инфицированных вредоносным ПО компьютеров. И в этом мошенники значительно преуспели. Baiting или приманивание (рассылка зараженных файлов под видом полезных документов), передача вредоносного ПО через облачные сервис (распространение вредоносных ссылок в Google Docs, OneDrive, Dropbox), атаки через взломанные аккаунты с использованием доверенных контактов для распространения вредоносных программ. Все эти действия не имели бы такого успеха, если б не применялась социальная инженерия.

    Что ж, перешли к главной теме: как защититься?

    Так, предлагаю перейти к главной части: защите от социальной инженерии. Здесь необходимо понять, что защита должна строится на тех же принципах, что и атаки. Поскольку главный объект воздействия — это человек, то и защита предприятия в первую очередь должна строиться вокруг него. Необходимо окружить ваших сотрудником таким комплексом защиты, который позволит снизить воздействие социальной инженерии, выявить манипуляцию еще в начале ее использования и искоренить.

    С поправкой на современные цифровые реалии рекомендую следующие меры:

    • Внедрение многофакторной аутентификации (MFA).
    • Ограничение использования личных мессенджеров для работы.
    • Мониторинг аномальной активности в цифровых сервисах и обмена цифровой информацией с внешними источниками.
    • Реализация политик безопасности для удаленных сотрудников.

    Внедрение многофакторной аутентификации (MFA)

    Представьте ситуацию: злоумышленник с помощью методов социальной инженерии получает ваш пароль. Это мог быть фишинговый сайт, письмо от «службы поддержки» или телефонный звонок от мнимого сотрудника банка. Если единственным средством защиты является пароль, учетная запись оказывается полностью скомпрометированной.

    Однако, если включена многофакторная аутентификация (MFA), одного пароля недостаточно. Для входа требуется второй фактор – временный код, биометрические данные или аппаратный токен. Этот дополнительный уровень защиты делает атаку значительно сложнее. Даже если пароль попал в руки злоумышленника, без второго фактора он не сможет завершить процесс аутентификации.

    Кроме того, многофакторная аутентификация минимизирует последствия утечек данных. Если база учетных записей становится доступной третьим лицам, украденные пароли бесполезны без соответствующих кодов подтверждения. А в случае попытки входа пользователь-владелец информации получает уведомление и может своевременно принять меры — сменить пароль и усилить защиту аккаунта.

    Таким образом, многофакторная аутентификация снижает эффективность атак социальной инженерии, добавляя критически важный барьер между злоумышленником и учетной записью пользователя.

    Ограничение использования личных мессенджеров для работы

    Представьте, что сотрудник компании получает сообщение в личном мессенджере. Отправитель — его руководитель. Тон требовательный: «Нужно срочно переслать финансовые отчеты, я на встрече, времени объяснять нет». Адресат не задумывается — ведь номер знакомый, стиль общения совпадает. Он отправляет файлы. Только позже выясняется: его «руководитель» — злоумышленник, который подделал профиль и использовал открытую информацию, чтобы создать доверие и быть похожим на настоящего шефа.

    Подмена личности — одна из главных угроз личных мессенджеров. В корпоративных системах сотрудники проходят строгую аутентификацию, а в личных чатах любой может создать профиль с чужим именем, поставить соответствующую аватарку и войти в доверие. Социальные инженеры используют этот фактор, заставляя жертву поверить в подлинность общения. 

    Но даже если сообщение пришло от реального коллеги, остается другая опасность — отсутствие мониторинга и контроля. В корпоративных мессенджерах можно отследить подозрительную активность: резкое изменение переписки, массовую отправку файлов, аномальные запросы. В личных же чатах никто не заметит, если сотрудник передаст конфиденциальные данные или получит ссылку на вредоносный ресурс. Когда компания обнаружит утечку, будет уже поздно — восстановить цепочку событий окажется трудно или почти невозможным.

    Поэтому использование личных мессенджеров в рабочих целях — это не просто неудобство, а потенциальная угроза. Там, где нет строгой идентификации и контроля, социальные инженеры получают пространство для манипуляций, а компания остается беззащитной перед утечками и мошенничеством. Если только на рабочем компьютере не установлена DLP-система. Об этом предлагаю поговорить подробнее.

    На мой взгляд — применение DLP-системы для современного предприятия не просто прихоть, это потребность! В том числе в борьбе с инструментами социальной инженерии.

    Даже на примере использования личных мессенджеров в работе. Предприятие может запретить и закрепить в соглашении, что сотрудники не должны использовать персональные соцсети и мессенджеры на работе. Однако на практике абсолютной чистоты исполнения этого запрета сложно добиться. Особенно для удаленщиков. Выход есть — использовать средства мониторинга активности пользователей. Так, с помощью DLP-системы, и в частности Falcongaze SecureTower, можно отслеживаться пользовательские коммуникации, в том числе за пределами предприятия. SecureTower перехватывает информацию в большинстве социальных сетей и мессенджеров, в том числе достаточно редких.

    Перехватывается не только текст. Доступны также функции распознавания речи, текста и печатей на изображениях. Это исключает неоправданный риск раскрытия и утечки конфиденциальной информации через собственные аккаунты. По невнимательности или из умысла — сотрудник не сможет отправить фото договора поставки, например, своему контакту. 

    Мониторинг аномальной активности в цифровых сервисах

    Одной из функций DLP-систем является мониторинг цифровой активности. По каждому из примеров: количеству отправленных email, сообщений в мессенджере, проведенном времени на том или ином сайте либо в социальной сети, есть возможность получить полную картину этой активности. Все отражается в модуле Активность пользователей

    Например, установлен порог количества отправленных сообщений в каком-либо из цифровых сервисов и так далее. При превышении этого порога специалист отдела безопасности получает уведомление о превышении установленного объема коммуникаций и может расследовать дело подробно, вплоть до использования карты взаимосвязей пользователя. 

    Представьте, что мошенник пытается вписаться в доверие к сотруднику и ведет с ним активную переписку. Есть вероятность, что сотрудник в какой-то момент снизит внимание, пустит его в круг доверия и выдаст требуемую информацию. DLP-система же позволяет увидеть все обмениваемые данные, контакты, их частоту и содержание, и заблокировать передачу документов. С SecureTower сделать это достаточно просто.

    Реализация политик безопасности для удаленных сотрудников и не только 

    Политики безопасности — один из главных инструментов каждой DLP-системы. С их помощью система определяет норму поведения, и в случае выхода за установленные рамки — оповещает об инциденте. Чем больше политик безопасности — тем объемнее будет защита данных. Это своеобразный способ моделирования опасностей для компании и установка безопасных допустимых рамок поведения пользователя. Чем больше вариантов ситуаций проработано в политиках – тем лучше. 

    Поэтому я акцентирую внимание на этом инструменте? Он идеален для применения в контексте борьбы с социальной инженерией:

    • инсайдер пытается отправить конфиденциальный документ по почте — система обнаружит;
    • вас уговорили передать логины и пароли от аккаунта — система обнаружит;
    • пытаетесь сделать скрин с экрана — система обнаружит;
    • много переписки с контактами вне контура компании — система обнаружит;
    • обсуждаете и нагнетаете настроения в коллективе — и это обнаруживается с помощью DLP-системы. 

    На примере SecureTower — около 200 негативных сценариев уже проработано и предложено в предустановленных политиках. Специалистам отдела безопасности остается только активировать нужный для данной компании сценарий. А в том случае, когда в списке нет потенциально негативного сценария для конкретной фирмы — можно добавить собственное правило. Какими бы ни были активными мошенники, как бы ни подстраивали давление  — специалист безопасности сможет подобрать или создать подходящее правило сдерживания. Адаптивность — наше все, и это одно из лучших предложений в борьбе с социальной инженерией.

    Вывод

    Социальная инженерия продолжает оставаться одной из самых опасных угроз в сфере информационной безопасности, эффективно обходя даже самые сложные технические системы защиты. Современные кибератаки все чаще основываются не только на уязвимостях программного обеспечения, но и на манипуляции людьми, используя их доверие, невнимательность и открытость в цифровом пространстве.

    Однако защита от социальной инженерии возможна. Исследуйте возможности современных DLP-систем, таких как SecureTower, которые помогают не только выявлять мошеннические схемы на ранних этапах, но и предотвращать утечки данных, обеспечивая высокую степень информационной безопасности вашей компании.

    Важные публикации

    DLP-система - что это такое и зачем нужна?
    DLP-система
    DLP-система - что это такое и зачем нужна?
    DLP-система (от англ. Data Leak Prevention) это специализированное ПО, которое защищает организацию от утечек данных. Данная технология – это не только возможность блокировать передачу конфиденциальной информации по различным каналам, но и инструмент для наблюдения за ежедневной работой сотрудников, который позволяет найти слабые места в безопасности до наступления инцидента.
    Основы информационной безопасности: что такое информационная безопасность?
    Информационная безопасность
    Основы информационной безопасности: что такое информационная безопасность?
    Специалисты аналитического центра Falcongaze SecureTower подготовили статью, в которой объясняются основы информационной безопасности. Она будет полезна всем, кто хочет разобраться, с чего начать знакомство с этой сферой деятельности. Прочитав статью, вы узнаете: точное определение понятия «информационная безопасность»; свойства и способности, которыми должны обладать информация и средства ее обработки; пошаговый перечень общих действий, которые позволят обеспечить информационную безопасность в организации.
    Показать больше

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации