# Социальная инженерия в бизнесе: корпоративные угрозы и защита персонала > Социальная инженерия — самый эффективный инструмент корпоративных мошенников. Разбираем техники манипуляции, целевые атаки на персонал и строим систему защиты компании. - **Дата публикации:** 2025-06-30 - **Автор:** Сергей Волков - **Язык:** Русский - **Теги:** кибербезопасность, антифрод, Казахстан, мошенничество, банки --- _Социальная инженерия_ — это манипулирование людьми с целью получения конфиденциальной информации или выполнения определённых действий. В корпоративной среде она ответственна за более чем 80% успешных кибератак: взломать человека значительно проще, чем взломать защищённую систему. Казахстанский бизнес несёт ежегодно миллиарды тенге потерь именно из-за социально-инженерных атак. ## Техники социальной инженерии в бизнес-среде ### Фишинг и спир-фишинг _Спир-фишинг_ (целевой фишинг) — персонализированные письма, имитирующие коммуникацию от руководства, партнёров или регуляторов. В отличие от массового фишинга, атакующий изучает жертву заранее: имя, должность, проекты, коллег. Письмо выглядит абсолютно достоверно. Цель — заставить сотрудника перейти по ссылке, открыть вложение или совершить платёж. ### Вишинг (голосовая атака) Мошенник звонит сотруднику, представляясь IT-поддержкой, аудитором Национальный банк или топ-менеджером: «Нам нужно срочно верифицировать ваш аккаунт», «Директор просил перевести средства на этот счёт до конца дня». Давление срочностью и авторитетом — главные рычаги. ### Претекстинг _Претекстинг_ — создание вымышленного сценария для получения информации. Мошенник звонит в бухгалтерию, представляясь сотрудником банка: «Нам нужно сверить реквизиты вашего расчётного счёта для обновления системы». Получив данные, использует их для мошеннических транзакций. ### Физическая инфильтрация (тейлгейтинг) Злоумышленник входит в охраняемое здание следом за сотрудником, не прикладывая пропуск: «Спасибо, руки заняты». Оказавшись внутри, получает доступ к физическим ресурсам: компьютерам, серверным, документам. > «По данным IBM, 95% успешных кибератак в корпоративной среде начинаются с социальной инженерии. В Казахстане средние потери от одного корпоративного инцидента, связанного с социальным манипулированием, составили $870 000 в 2023 году.» ![Социальная инженерия в бизнесе: техники и защита](/blog/images/sotsialnyi-inzhiniring-biznes-1.jpg) Как мошенники манипулируют сотрудниками и как этому противостоять ## Уязвимые позиции в компании Должность Целевые атаки Что выманивают Бухгалтер / финансист BEC, вишинг от «директора» Платёж на счёт мошенника IT-специалист Запрос «сброса пароля» Учётные данные привилегированных пользователей Секретарь / ресепшн Претекстинг, физическая инфильтрация Данные сотрудников, пропуск в здание HR-специалист Фальшивые резюме с вредоносными PDF Данные сотрудников, доступ к HR-системам Руководитель Спир-фишинг, дипфейк-звонок Корпоративные стратегии, подпись документов ## Как выстроить защиту в компании 1. **Обучайте сотрудников регулярно.** Один раз в квартал проводите тренинг по распознаванию фишинга. Используйте реальные примеры атак на казахстанские компании. 2. **Проводите симуляции фишинговых атак.** Специализированные сервисы (KnowBe4, Phished) позволяют отправить сотрудникам тестовые фишинговые письма и оценить готовность команды. 3. **Внедрите процедуру верификации нестандартных запросов.** Любой срочный перевод, запрос данных или смена реквизитов — только через подтверждение по альтернативному каналу. 4. **Установите политику «нулевого доверия».** Каждый запрос верифицируется независимо от того, кто его делает. 5. **Создайте культуру безопасности.** Сотрудник должен знать, что может остановиться и проверить, даже если это затормозит «срочный» процесс. О защите корпоративного банковского счёта от связанных атак — в статье [Безопасность корпоративного счёта](/blog/korporativnye-scheta-bezopasnost). О BEC — наиболее финансово опасной форме корпоративной социальной инженерии — в материале [BEC: корпоративный email-фрод](/blog/korporativny-bec-fraud). Самое слабое звено в любой системе безопасности — человек. Инвестиции в обучение сотрудников возвращаются многократно: один предотвращённый успешный спир-фишинг экономит миллионы тенге. Безопасность начинается с осведомлённости.