Путь воина социальной инженерии

Приветствую тебя, ученик! Сегодня ты ступишь на путь познания древнейшего искусства влияния на людей.

Это ты после прохождения курса;)

Урок 1. Анна Сергеевна

Человек - слабое звено в любой системе безопасностиЭмоции правят разумом чаще, чем мы думаемДоверие - ключ к успеху в социальной инженерии

А теперь практика:)

(74% успешных кибератак связаны с человеческим фактором)

Представьте что вы сотрудник какой-то компании, а точнее - главный бухгалтер Анна Сергеевна. И тут вам приходит такое письмо:

От: Генеральный директор

Кому: Главному бухгалтеру

Тема: Срочно! Оплата контракта

Анна Сергеевна, добрый день! Крайне срочный вопрос! Только что переговорил с заказчиком по проекту "Альфа". Они настаивают на немедленной оплате авансового платежа в размере 1 250 000 рублей.

Реквизиты получателя:

Получатель: ООО "Бета - Инвест"ИНН: 7700000001Рас/счёт: 40702810200000000103Банк: АО "Коммерубанк"Бик: 044525497Название платежа: Авансовый платёж по договору №456 от 15.07.2025

Важно! Платёж нужно провести до конца рабочего дня, иначе мы рискуем потерять крупного клиента. Я сейчас буду на важной встрече, не могу говорить.

С уважением, Владислав Владимирович

Ну что, Анна Сергеевна? Что будите делать?

Урок 2. На чём мы остановились?

Всем Hi, и это второй урок. На чём мы остановились? Ах да, на Анне Сергеевной.

Это вы:)

Так, во первых: срочность и давление - указание на "крайне срочный вопрос" и необходимость оплаты "до конца рабочего дня" — классический приём мошенников, чтобы заставить действовать без проверки. Далее - невозможность связаться. А документы? Нет никаких подтверждающих документов: ни копии договора, ни счета, ни переписки с заказчиком — только текстовое сообщение. Ещё можно добавить нестандартность платежа: аванс в размере 1 250 000 рублей — крупная сумма, которую обычно сопровождают официальные документы и согласования. Что-то многовато совпадений... Ну ладно, давайте проверим договор №456 от 15.07.2025 — существует ли он, и действительно ли предусмотрен аванс... И как вы думаете, его нет! Вот и всё. Конечно они могли не успеть внести данные в базу... Тогда-а сверим реквизиты с ранее известными данными контрагента, и что вы думаете, и они не совпали!

В таких случаях нужно сохранять спокойствие и не поддаваться срочности сообщения. Кстати, я забыл про ещё один момент... Давайте я вам чек лист сделаю, чтобы вы всё запомнили.

Шаг 1: Сохраняю спокойствие

- Не поддаюсь давлению срочности.

- Не совершаю никаких действий, пока не проверю информацию.

---

Шаг 2: Проверяю достоверность письма

- Сравниваю стиль письма с обычной перепиской Владислава Владимировича. Он обычно так пишет?

- Проверяю адрес отправителя — настоящий ли корпоративный e-mail или подделка?

- Смотрю заголовки и формат — есть ли орфографические ошибки, странные формулировки?

---

Шаг 3: Проверяю документы

- Есть ли **договор №456 от 15.07.2025** в базе?

- Был ли **запланирован авансовый платёж**?

- Сверяю **реквизиты получателя** с теми, что есть в системе.

---

Шаг 4: Ищу подтверждение

- Пытаюсь связаться с Владиславом Владимировичем через альтернативные каналы: телефон, мессенджер, помощника.

- Если он недоступен — отправляю запрос в отдел безопасности или IT, чтобы проверить письмо.

---

Шаг 5: Не провожу платёж

- До получения официального подтверждения и внутреннего согласования платёж не будет выполнен.

---

Урок 3. Скучная теория...

В предыдущей статье мы разобрали пример поддельного письма, но мы не определились с понятиями... Так, что такое поддельное письмо? Это проявление фишинга, а точнее CEO-фишинг. А теперь по порядку:

Классический фишинг...

Что такое фишинг?

Фишинг — это вид интернет-мошенничества, направленный на кражу конфиденциальных данных пользователей: паролей, логинов, данных банковских карт и другой личной информации. Название происходит от английского слова «fishing» (рыбалка), так как злоумышленники «выуживают» данные у доверчивых пользователей.

Основные цели фишинга

Кража денежных средствПолучение доступа к конфиденциальной информацииЗаражение устройств вредоносными программамиНанесение репутационного ущерба

Виды фишинга

1. Электронный фишинг

Массовая рассылка писем от имени банков, магазиновСодержит ссылки на поддельные сайты

2. Смишинг

Фишинговые SMS-сообщенияСсылки на поддельные сайтыТребования срочной оплаты

3. Вишинг

Звонки от имени банков или служб безопасностиПросьба сообщить личные данныеТребование установить подозрительные приложения

4. Целевой фишинг

Персонализированные атаки на конкретных людейТщательная подготовка злоумышленниковИспользование личной информации жертвы

5. Фарминг

Подмена доменных имёнПеренаправление на поддельные сайтыВнешне неотличимые от настоящих

6. QR-фишинг

Размещение вредоносных QR-кодовПодмена платёжных реквизитовКража денежных средств

7. И собственно, CEO-фишинг (также известное как компрометация корпоративной электронной почты) — это особый вид фишинговой атаки, при которой злоумышленники выдают себя за генерального директора или другое высшее руководство компании, чтобы заставить сотрудников совершить финансовые операции или раскрыть конфиденциальную информацию.

Урок 4. Электронный фишинг

Электронный фишинг — это вид интернет-мошенничества, направленный на получение конфиденциальных данных пользователя путем социальной инженерии через электронные каналы коммуникации.

Пример фишингового письма от банка

От: Тема: ВАЖНО: Блокировка вашего банковского счета!

Уважаемый клиент!

Срочно требуется ваше внимание!

Мы вынуждены сообщить вам, что в нашей системе безопасности зафиксировано подозрительное действие по вашему банковскому счету № 4567890123456789.

Для предотвращения несанкционированного доступа к вашим средствам необходимо немедленно подтвердить ваши личные данные.

Пожалуйста, перейдите по ссылке ниже и следуйте инструкциям:

В случае игнорирования данного уведомления ваш счет будет заблокирован через 24 часа.

С уважением,
Отдел безопасности банка

Контактные данные:
Телефон: +7 (495) 123-45-67
Email:

А теперь разберём что здесь не так:

Что нельзя делать:

Правильные действия:

Пример фишингового письма от интернет-магазина

От:
Тема: ВАШ ЗАКАЗ №123456789 ВЫИГРАЛ СУПЕР-ПРИЗ!

Здравствуйте!

Поздравляем вас с выигрышем!

Мы рады сообщить, что ваш недавний заказ в нашем магазине был выбран в рамках праздничной акции «Счастливый покупатель». Вы стали обладателем призового фонда в размере 100 000 рублей!

Для получения вашего приза необходимо:

Важно: количество призов ограничено! Акция действует только 24 часа.

С уважением,
Команда поддержки клиентов
Интернет-магазин «СуперШоп»

Проанализируем:

Что нельзя делать:

Правильные действия:

И помните, настоящие магазины никогда не будут просить вас переходить по ссылкам из писем для получения призов или совершать срочные действия. Все важные уведомления приходят через официальные каналы связи.