Социальная инженерия в бизнесе: корпоративные угрозы и защита персонала

Социальная инженерия — это манипулирование людьми с целью получения конфиденциальной информации или выполнения определённых действий. В корпоративной среде она ответственна за более чем 80% успешных кибератак: взломать человека значительно проще, чем взломать защищённую систему. Казахстанский бизнес несёт ежегодно миллиарды тенге потерь именно из-за социально-инженерных атак.

Техники социальной инженерии в бизнес-среде

Фишинг и спир-фишинг

Спир-фишинг (целевой фишинг) — персонализированные письма, имитирующие коммуникацию от руководства, партнёров или регуляторов. В отличие от массового фишинга, атакующий изучает жертву заранее: имя, должность, проекты, коллег. Письмо выглядит абсолютно достоверно. Цель — заставить сотрудника перейти по ссылке, открыть вложение или совершить платёж.

Вишинг (голосовая атака)

Мошенник звонит сотруднику, представляясь IT-поддержкой, аудитором АРРФР или топ-менеджером: «Нам нужно срочно верифицировать ваш аккаунт», «Директор просил перевести средства на этот счёт до конца дня». Давление срочностью и авторитетом — главные рычаги.

Претекстинг

Претекстинг — создание вымышленного сценария для получения информации. Мошенник звонит в бухгалтерию, представляясь сотрудником банка: «Нам нужно сверить реквизиты вашего расчётного счёта для обновления системы». Получив данные, использует их для мошеннических транзакций.

Физическая инфильтрация (тейлгейтинг)

Злоумышленник входит в охраняемое здание следом за сотрудником, не прикладывая пропуск: «Спасибо, руки заняты». Оказавшись внутри, получает доступ к физическим ресурсам: компьютерам, серверным, документам.

«По данным IBM, 95% успешных кибератак в корпоративной среде начинаются с социальной инженерии. В Казахстане средние потери от одного корпоративного инцидента, связанного с социальным манипулированием, составили $870 000 в 2023 году.»

Уязвимые позиции в компании

Как выстроить защиту в компании

1. Обучайте сотрудников регулярно. Один раз в квартал проводите тренинг по распознаванию фишинга. Используйте реальные примеры атак на казахстанские компании.
2. Проводите симуляции фишинговых атак. Специализированные сервисы (KnowBe4, Phished) позволяют отправить сотрудникам тестовые фишинговые письма и оценить готовность команды.
3. Внедрите процедуру верификации нестандартных запросов. Любой срочный перевод, запрос данных или смена реквизитов — только через подтверждение по альтернативному каналу.
4. Установите политику «нулевого доверия». Каждый запрос верифицируется независимо от того, кто его делает.
5. Создайте культуру безопасности. Сотрудник должен знать, что может остановиться и проверить, даже если это затормозит «срочный» процесс.

О защите корпоративного банковского счёта от связанных атак — в статье Безопасность корпоративного счёта. О BEC — наиболее финансово опасной форме корпоративной социальной инженерии — в материале BEC: корпоративный email-фрод.

Самое слабое звено в любой системе безопасности — человек. Инвестиции в обучение сотрудников возвращаются многократно: один предотвращённый успешный спир-фишинг экономит миллионы тенге. Безопасность начинается с осведомлённости.