04.12.2025 09:26
PRGarda 2 2800 Источник

Привет, Хабр!

На связи Артемий Новожилов, архитектор систем ИБ группы компаний «Гарда» и автор telegram-канала DataSecurity.

Если раньше «социальная инженерия» казалась чем-то из шпионских фильмов, сегодня это обыденная реальность, с которой сталкивается практически каждый ‒ от студентов до директоров компаний. Телефонные звонки от «сотрудников ФСБ», фейковые сообщения от коллег, нейросети, подделывающие голос руководителя ‒ думаю, уже каждый первый лично знает хотя бы одного пострадавшего от мошенничества. По итогам 2024 года ущерб от киберпреступлений превысил 200 млрд рублей ‒ это на 36% больше, чем в 2023 году. При этом раскрываются лишь 23% таких инцидентов, что делает цифровое мошенничество одним из самых безнаказанных видов преступлений.

Что такое социальная инженерия?

Социальная инженерия ‒ это манипулирование восприятием человека. Это не про технологии, а про поведение, где главное оружие ‒ доверие, страх, жалость и спешка. И, по отчету Verizon Data Breach Investigations Report 2023, более 74% атак на компании начинается с человеческого фактора: фишинга, социальной инженерии и ошибок сотрудников.

Почему это выгодно мошенникам:
• практически нулевая вероятность наказания;
• возможность удаленной работы и полной анонимности;
• низкий порог входа – работа по пайплайнам;
• упрощение инструментов OSINT (сбор данных из открытых источников) – сейчас люди сами о себе все рассказывают;
• высокая «маржинальность» – пайплайн поведения мошенника может сгенерировать нейросеть с учетом множества вводных, что повышает качество атаки, и уменьшает время на подготовку.

Телефонные мошенники также используют социальную инженерию во всех своих схемах.

Главная цель злоумышленников – получение денег или доступов к ним любым способом. В основе социальной инженерии лежит манипуляция, а значит, обращение к эмоциям жертвы. Понимание механизмов восприятия, когнитивных искажений, инстинктов и эмоций позволяет преступникам эффективно манипулировать жертвами.

Чаще всего мошенники стараются вызвать страх (через запугивание и жесткое ограничение времени), сочувствие, чувство жалости и желание помочь, и даже любопытство. Опасность в том, что эти атаки эксплуатируют базовые особенности психики, которые невозможно отключить знаниями и логикой. Поэтому даже трезвомыслящие люди, хорошо знакомые с информационной безопасностью, рискуют попасться на уловки мошенников.

Рассмотрим популярные кейсы в связке с психологическими принципами, на которых злоумышленники строят свои атаки. Разберем, как работают современные схемы обмана и что помогает не попасться, ведь «Если ты знаешь врага и знаешь себя, тебе не нужно волноваться за исход сотни сражений» (Сунь Цзы, Искусство войны).

Cхема 1 «Запугивание»

Схема: Жертве звонит сотрудник ФСБ, который утверждает, что со счета был зафиксирован перевод денежных средств противоборствующей в СВО стороне, поэтому в скором времени счет будет заблокирован, а человека вызовут на допрос. Мошенники утверждают, что для сохранения средств их необходимо перевести на безопасный счет как можно скорее, угрожают, просят никому не говорить о ситуации и не прерывать звонок. Причем иногда звонку предшествует реальное зачисление на счет жертвы небольшой суммы «по ошибке» с просьбой вернуть средства. Именно операция по возврату и становится тем самым переводом, который потом применяют для запугивания.

Здесь мошенники в первую очередь пользуются принципом авторитета: мы склонны подчиняться фигурам, обладающим властью, статусом или экспертностью. Даже голос, напоминающий знакомый, снижает уровень критичности. Поддельное удостоверение, служебный стиль речи или просто уверенное и даже наглое поведение все это формирует ложное доверие.

Вдобавок, мошенники стараются нагнетать обстановку и создают чувство срочности: под давлением времени человек действует на автомате, не успевая критически оценить ситуацию. Это хорошо изученный механизм в психологии – при мобилизации «системы 1» (быстрого мышления) человек руководствуется эмоциями, а не логикой.

Еще один психологический инструмент: чувство страха. Оно активирует инстинктивную реакцию «бей или беги». В этот момент человек готов выполнять любые инструкции, лишь бы избежать угрозы. Особенно эффективно, если угрозу «подтверждают» документами, звонками, реальными переводами или ссылками.

Другие варианты подобных схем

Поддельный звонок от банка с использованием подмены номера. Жертве сообщают о «подозрительной активности по вашим счетам».
Звонки «из военкомата»: угроза вручения повестки с предложением «урегулировать вопрос» за вознаграждение.
Звонки от родных в беде: якобы близкий человек звонит, и рассказывает о произошедшей аварии или драке, и что его арестуют, если немедленно не передать нужную сумму.
Звонки из поликлиники, особенно если накануне жертва реально посещала врача. Сообщают о «плохих анализах», предлагают срочно заплатить за экстренное обследование/операцию в хорошем месте у проверенных врачей. Опасно, что знают все данные человека: ФИО, иногда номер полиса ОМС.
Звонок от сотрудника провайдера: мошенник говорит о том, что в ближайшее время истекает срок договора и номер телефона будет заблокирован. Для удобства можно продлить договор удаленно, нужно лишь назвать цифры из смс. Разумеется, пришедший код не имеет ничего общего с телеком-оператором, и подтверждает доступ на Госуслуги.

? Кейсы:

Мошенники подделали голос сотрудника МВД, используя публичные видеозаписи и аудиофрагменты с YouTube. Жертва, уверенная в подлинности звонка, перевела более 2,5 млн рублей.

Также в последнее время участились случаи мошеннических рассылок от имени Федеральной службы безопасности РФ. Такие письма приходят сотрудникам российских компаний на личную или корпоративную почту и содержат информацию о якобы проводимой проверке или расследовании в рамках уголовного дела. Внешне такие письма могут выглядеть убедительно, например:

Во вложениях могут находиться вредоносные файлы, в том числе содержащие бэкдоры скрытые программы, которые позволяют злоумышленнику получить удаленный доступ к компьютеру без ведома пользователя.

Важно: госорганы направляют письма только на официальную почту компании и оформляют запросы в установленном порядке.

Еще один вариант с уловкой, повышающей достоверность слов мошенников: звонит «майор ФСБ». Говорит, что необходимо перевести деньги на безопасный счет. При этом уверяет, что это он, точно товарищ майор. В качестве гарантии в Telegram высылает самоудаляющимся письмом фотографию своего удостоверения с фамилией. Называет госогран, в котором работает и адрес.

Жертва, заподозрив, что что-то не так, кладет трубку и начинает гуглить это место и эту фамилию. Находит сайт данного госоргана (он оказался одним из первых в поиске), а там фотографию и ФИО конкретного сотрудника. После этого жертве перезванивает товарищ майор и отмечает, что не следовало искать информацию о нем в интернете, ведь они договорились о поддержании конфиденциальности. Жертва в шоке и действительно верит, что звонят из ФСБ. На самом деле злоумышленники подделали сайт одного из управлений и прикрутили к нему счетчик посещений.

Красные флаги

  1. Безопасный счет: нигде, ни в каком банке не существует такого понятия как «безопасный счет». Если о нем зашла речь – это 100% мошенники.

  2. Сотрудник ФСБ: настоящие сотрудники ФСБ никогда не решают финансовые вопросы по телефону, тем более – с гражданскими лицами. А письма отправляют только на официальную почту компании и оформляют запросы в установленном порядк.

  3. «Как можно быстрее»: создание ощущения цейтнота отключает критическое мышление.

  4. «Не кладите трубку», «никому об этом не говорите, даже родственникам»: это попытки удержать внимание жертвы, не дать опомниться и оградить от тех людей, которые могут критически взглянуть на ситуацию.

Cхема 2 «Сочувствие, жалость и помощь»

Схемы: Знакомый, друг или коллега в мессенджере, соцсети или по е-мейлу:

  • просит проголосовать за ребенка в конкурсе;

  • просит деньги в долг; помочь вывести деньги с какого-то сервиса, пополнить счет и заплатить за номер телефона. Часто описываются сложные и эмоционально цепляющие ситуации: потерял кошелек в командировке, близкий родственник в больнице и срочно нужны деньги на операцию и тому подобное;

  • присылает ссылку на «год бесплатного Telegram Premium», просит оплатить за него подписку или доступ к какому-нибудь сервису;

  • присылает ссылку на поддельные сборы на благотворительность.

Мошенник не угрожает и не давит – он «просит», «нуждается», вызывает жалость. И часто от имени близкого человека. В таких ситуациях происходит эмоциональный захват: человек сочувствует, боится упустить шанс помочь. Преступники эксплуатируют дискомфорт жертвы от мысли, что та может выглядеть бездушной, жадной, нечуткой. Формируется ощущение, что если сейчас же не помочь, то пострадает кто-то беззащитный. Также срабатывает нежелание показаться подозрительным: люди боятся «перебдеть», переспрашивать и проверять. Для этого подобные сообщения часто приходят в позднее время, когда неудобно проверять, и человек скорее помогает, чем разбирается.

? Кейсы:

  • аккаунт коллеги был взломан через Telegram Web, далее пошла массовая рассылка ссылок на «голосование за ребенка». В итоге только в одной организации было заражено более 15 устройств;

  • в Екатеринбурге в 2024 году сотрудник IT-компании перевел 15 тыс. рублей после просьбы «коллеги» в Telegram. Оказалось, что аккаунт был взломан.

Проверим себя?

Методы проверки:

Проверяем ссылку на сайте:

Проверяем домен через сервис Who is:

Красные флаги

  1. Необычное поведение: просьба о деньгах от человека, который никогда раньше такого не просил. Стиль общения не совпадает с привычным (нет приветствия, резкая формулировка, без смайлов или, наоборот, слишком эмоционально).

  2. Отсутствие возможности перезвонить или связаться иначе: «Я не могу сейчас говорить», «Телефон разряжен», «Не могу говорить голосом». Все это попытка ограничить возможности для проверки.

  3. Срочность и эмоциональное давление: «Очень срочно», «Только ты можешь помочь», «Умоляю», «Без тебя никак». Создается стресс и давление, чтобы человек не задумался и сразу действовал.

  4. Просьба перевести деньги без подтверждения личности: указание только номера карты или телефона, отсутствие деталей, которые знает только настоящий человек (фамилия, должность, внутренняя информация и т.п.).

  5. Использование чувствительных тем: болезни, дети, смерть, несчастный случай, бедствия, арест, командировка, потеря документов. Это вызывает автоматическое сочувствие и снижает критичность восприятия.

  6. Невнятная или подозрительная ссылка: ведет не на официальный ресурс (например, не на голосование, а на Google-диск или подозрительный домен), не совпадает с контекстом (ссылка на .apk-файл вместо голосования).

  7. Противоречие реальности: коллега просит помочь, когда он рядом в офисе; родственник «пишет из поездки», хотя вы точно знаете, что он дома

  8. Отказ отвечать на уточняющие вопросы: вы просите назвать, как вас зовут или где познакомились ‒ в ответ игнорирование или уход от ответа.

  9. Сообщение пришло не в том канале: друг обычно пишет в Telegram, а тут приходит сообщение в WhatsApp или Instagram.

Если сработал хотя бы один флаг, нужно проверить личность человека, который обратился за помощью. Можно уточнить известную только вам двоим информацию или связаться через другой канал связи.

Схема 3 «Втирание в доверие (implied trust)»

Этот тип атак ‒ один из самых коварных, потому что не вызывает тревоги. Наоборот: жертва чувствует комфорт, узнавание и уверенность, что разговаривает со «своим». И именно это делает технику особенно эффективной.

Схемы: Коллега или руководитель просит срочно перевести деньги. Часто используют Telegram, голосовые сообщения и даже deepfake. Контекст всегда один ‒ спешка, срочность, авторитет.

Как воздействуют мошенники:

  • используют имя, аватарку, стиль общения реального человека ‒ коллеги, начальника, родственника. Типовая фраза: «Привет, это я. Слушай, нужна срочная помощь ‒ ты на месте?». Возникает автоматическое доверие, так как мы узнаем контакт;

  • создают деловой или внутренний контекст: мошенник говорит о «внутренних процессах», чтобы казаться частью команды. Используются реальные имена руководителей, названия отделов, внутренние шаблоны и аббревиатуры;

  • ссылаются на «руководителя», «высшее руководство», «службу безопасности». И жертва подчиняется, не желая выглядеть препятствием. Типовая фраза: «Генеральный попросил, чтобы ты сделал это в первую очередь. Он в курсе»;

  • используют корпоративные рутины: просьбы оформить платеж, согласовать документ, открыть файл или передать код. Жертва воспринимает это как часть ежедневной рутины. Типовая фраза: «Скинь, пожалуйста, отчет за Q1 ‒ у меня доступа к SharePoint нет». Часто делают это вечером, в пятницу или под конец рабочего дня, когда внимание рассеивается;

  • апеллируют к командному духу, срочности и корпоративной лояльности, что сотрудник не хочет подвести коллегу или руководителя. Типовая фраза: «От тебя все зависит, если сейчас не отправим ‒ сорвется сделка».

? Кейс:

В Гонконге бухгалтер компании Arup перевел мошенникам $25 млн после поддельной видеоконференции с «руководством». По данным South China Morning Post, все началось с фишингового письма от имени британского CFO. Сотрудник финансового отдела сомневался в подлинности, но окончательно убедился после видеозвонка, в котором участвовали дипфейковые образы «начальства», созданные с помощью ИИ.

Красные флаги

  1. Обращение из незнакомого аккаунта с именем знакомого (особенно без истории переписки).

  2. Просьбы, которые раньше человек никогда не озвучивал.

  3. Нагнетание срочности без реальной причины.

  4. Запросы по нестандартным каналам (Telegram вместо корпоративной почты и т.д.).

  5. Уход от ответа на контрольные вопросы («А о чем мы говорили на совещании вчера?»).

  6. Повышенный эмоциональный фон («Очень нужно!», «Ты выручишь!»).

  7. Слишком хорошее знание внутренних процессов от незнакомого человека.

Схема 4 «Любопытство и жадность»

Схемы: В Telegram (возможно, даже от реального контакта, от знакомого) приходит сообщение «Это ты на фото?» с вложением. Во вложении файл формата .apk, который заражает устройства под управлением Android. Еще одна популярная схема: подписка на Telegram Premium якобы в подарок.

Как воздействуют мошенники:

  • нарушение личных границ / зацепка на эго. Схемы с сообщениями «Это ты на фото?», «Ты видел, что о тебе пишут на этом сайте?» или «Тебя упомянули в публикации». Активируется рефлекс самозащиты или любопытство ‒ хочется проверить, что происходит;

  • игра на любви к халяве: бесплатное, срочное, эксклюзивное. Сообщения вида «Скачай Telegram Premium бесплатно», «Ограниченная акция от Steam», «Осталось 2 подарка», «Только для тебя», «Успей до конца дня». Здесь срабатывает реакция жадности / FOMO (fear of missing out) ‒ страх упустить выгоду;

  • имитация корпоративной или геймерской активности. «Ты приглашен в бета-тест новой версии Valorant», «Подарок от Discord», «Новая функция доступна только тебе», «Тестируют на ограниченном числе участников». Активируется желание «попасть в закрытый клуб» и поучаствовать в чем-то, что дает статус или ресурсы;

  • поддельные «документы», «фото», «видео». Помимо упомянутой в начале истории с «это ты на фото?», могут использовать фразы из контекста работы: «вот документы, которые ты просил», «посмотри предложение от партнеров». Особенно опасны вложения в формате .apk, .exe, .docm, .pdf – они часто запускают вредоносное ПО или открывают доступ к данным на телефоне/компьютере;

  • мнимая случайность/ошибка: «По ошибке отправил тебе подарок». В голове срабатывает логика «раз уж отправили – посмотрю, вдруг правда и что-то интересное». Типовая фраза: «Ой, не тебе, но раз уж пришло – можешь оставить себе»;

  • заманчивые обещания без контекста: «Ты выиграл!», «Поздравляем, вы в числе 100 счастливчиков!». Включается автоматическое мышление, жертва радуется «подарку», не проверяя источник. Типовая фраза: «Поздравляем! Ваш номер выиграл в акции магазина DNS». Часто оформляется в виде яркой графики с логотипами реальных брендов.

Этот тип атак нацелен на базовые импульсы: получить что-то интересное, бесплатное или «секретное». Люди кликают не потому, что доверяют, а потому что не могут не посмотреть. Более 60% пользователей, по данным «Лаборатории Касперского», переходят по фишинговым ссылкам, если сообщение вызывает личный интерес или содержит эмоциональный триггер.

? Кейс: В 2024 году мошенники на «Авито» выманивали деньги через поддельные сайты доставки. Потери одной из пострадавших ‒ 82 тыс. рублей.

Красные флаги

  1. Сообщение с фразой вроде «Это ты?» или «Смотри, что я нашел», даже от людей из списка контактов.

  2. Ссылки, ведущие не на официальные ресурсы (или замаскированные).

  3. Вложения в странных форматах ‒ .apk, .zip, .scr, .bat, .docm.

  4. Награды или предложения без участия (вы «выиграли», хотя не участвовали).

  5. Сообщение пришло внезапно, без контекста, от коллеги в нерабочее время, от человека с которым давно не общались или общение было совсем в другом тоне.

  6. Домен сайта похож на известный, но с ошибкой (telegrem-premium.ru и т. п.).

  7. Подарок/подписка/скин/подарочная карта без причины и без просьбы.

Схема 5 «Атаки на геймеров»

Схемы:

  • пользователь получает сообщение (например, через Discord, Telegram или внутриигровой чат) с предложением: «Бесплатные скины в CS2», «Промокод на 500 рублей в Roblox», «Закрытая раздача от Discord». Переход по ссылке ведет на фишинговый сайт, где предлагается ввести логин/пароль или данные банковской карты;

  • мошенник присылает приглашение на «закрытый турнир» или «бета-тест новой игры» с установкой .exe/.apk-файла. На деле ‒ вредоносный файл;

  • мошенники создают фейковый сервис пополнения валюты: жертва вводит платежные данные, после чего происходит списание средств или передается доступ к аккаунту;

  • злоумышленники входят в доверие и общаются с ребенком или подростком, обещают бонусы в игре (скины, валюту) за что просят фото карты, вход в личный кабинет родителей, доступ к телефону кого-то из взрослых.

Как воздействуют мошенники:

  • игра на желании получить редкий бонус или преимущество: сюда относятся фразы типа: «Скин только сегодня», «Участие в бета-тесте новой карты», «Подарок от Twitch», «Промо от Steam». Активируется жадность и стремление не упустить шанс ‒ особенно у подростков;

  • иллюзия причастности к сообществу: «Ты выбран как активный игрок», «Эта награда только для тех, кто играет больше 100 часов». Включается чувство элитности и доверия;

  • маскировка под официальные игровые сервисы: фальшивые сайты с логотипами популярных игр и платформ: Steam, Epic Games, Roblox, Discord, PlayStation. Жертва думает, что взаимодействует с реальным брендом;

  • социальная инженерия через доверие ребенка: мошенник устанавливает контакт с несовершеннолетним, предлагает «игровые деньги», а взамен просит провести платеж, сфотографировать банковскую карту или сообщить СМС-код. Дети могут не распознать угрозу;

  • автоматизация атак: мошенники создают массово фейковые аккаунты в Discord, Steam, Telegram и через них рассылают фишинг, приглашают в турниры, подделывают розыгрыши;

  • заражение устройства через вредонос: файл с «модом» или «лаунчером» на самом деле устанавливает троян, перехватывающий учетные данные и доступ к банковским приложениям.

? Кейс: в Чебоксарах в 2024 году девятилетний ребенок получил сообщение от мошенника, представившегося как админ Roblox. Тот пообещал начислить игровую валюту, если ребенок выполнит несколько «заданий»: сфотографировать карту родителей, оформить микрокредит и перевести деньги. Ущерб ‒ 1,3 млн рублей.

Красные флаги

  1. Обещание бонусов, скинов, валюты ‒ без участия в розыгрыше или без контекста. 

  2. Ссылки ведут на сайты с доменами вроде robluxx.com, steam-giveaway.ru, cs2promo.net ‒ похожие, но фальшивые.

  3. Установка .apk или .exe-файла из неизвестного источника (особенно через Discord, Telegram, форумы).

  4. Просьбы ввести данные карты, логина/пароля от Steam, Discord, PlayStation Network на неофициальных ресурсах.

  5. Общение с незнакомцами в чате с предложением «легкого заработка» или «подключения к турниру».

  6. Моментальное добавление в друзья с просьбой выполнить какое-то действие без объяснений.

  7. «Администратор игры» просит предоставить доступ к телефону или ввести одноразовый код ‒ всегда мошенник.

Схема 6 «Атаки на компании»

Фишинг на корпоративную почту. Например, получение в пятницу вечером письма "Бухгалтерский отчет 2025_СРОЧНО.pdf".

Контекст, срочность, усыпление бдительности ‒ все по классике. ИИ уже способен подготовить такие письма лучше любого джуниор-контент-маркетолога.

? Рекомендация: внедрение политики Zero Trust, постоянное обучение сотрудников, фишинг-тесты и контроль доступа ‒ обязательные меры в стратегии информационной безопасности любой компании.

Уровень 2.0: нейросети, дипфейки и подделка сайтов

Современная социальная инженерия все чаще использует искусственный интеллект, генеративные нейросети и автоматизацию. Это следующий этап эволюции мошенничества, когда человек сталкивается не просто с «обманом», а с технологически убедительной иллюзией.

Схемы:

  • генерация поддельных писем и сообщений
    С помощью LLM (large language models) мошенники создают персонализированные тексты ‒ от фишинга до якобы деловой переписки от имени коллег или контрагентов.
    Тексты содержат профессиональную лексику, корректную пунктуацию, реальный контекст.

  • дипфейки и поддельные голоса
    Используются голосовые дипфейки и видео с подменой лиц (deepfake). Жертве звонит или присылает сообщение человек, которого она хорошо знает ‒ с реальным голосом, а сейчас уже – и с поддельным видеоизображением. Особенно опасно в корпоративной среде: подмена CEO, CFO, директора по безопасности.

  • видеозвонки с фейковым начальством
    Тут подходит вышеописанный пример с гонконгской компанией. Мошенники сгенерировали голоса и внешность топ-менеджмента компании ‒ все выглядело как обычный звонок по Zoom.

  • фальшивые сайты, имитирующие госорганы и бренды
    Поддельные страницы, которые в точности повторяют дизайн реального сайта ‒ вплоть до SSL-сертификатов, URL с похожими доменами. Используются в рассылках, фейковых службах поддержки, «проверке безопасности» и «блокировке аккаунта».

  • мошеннические боты и LLM-агенты
    Злоумышленники создают псевдо-чат-ботов, которые «от лица поддержки» ведут диалог с жертвой. Они могут уточнять логин, сбрасывать ссылки на «восстановление доступа», задавать уточняющие вопросы ‒ и все это на хорошем русском или английском языке.

Как психологически работают мошенники

Если информация выглядит технологически «на уровне» (видео, сложный сайт, сертификат), наш мозг автоматически считает ее достоверной. Дипфейк с «лицом знакомого» или подделка сайта, полностью копирующего структуру Госуслуг, вызывает ощущение «это точно не фейк». И, наконец, когда много визуальных и звуковых стимулов совпадают с ожидаемым паттерном (например, совещание в Zoom), человек не успевает критически все перепроверить.

Красные флаги

  1. Неожиданная видеосвязь с руководством по незнакомой ссылке.

  2. Просьбы в мессенджерах, голосовых сообщениях или видеозвонках ‒ без подтверждения по корпоративному каналу связи.

  3. Сайт визуально «настоящий», но с подозрительным URL (например, gosuslugi.support-mail.com).

  4. Необычные формулировки от лица коллег, слишком выверенный стиль или наоборот ‒ нетипичный для конкретного человека.

  5. Новый домен без истории или недавно зарегистрированный (можно проверить через сервис WHOIS).

  6. Любое «срочное» действие по восстановлению доступа, переводу денег или «подтверждению личности».

Я провел свой эксперимент:

Результат:

Борьба нейросети с моими возражениями:

Что же со всем этим делать?

Увы, но параноидальный режим ‒ это база.

? Вот простые правила:

  1. Любая просьба перевести деньги ‒ уточняем по-другому каналу или лично, задаем проверочные вопросы. Здесь отлично подойдет обсуждение какой-то кулуарной темы. При обсуждении никогда не давайте варианты ответа. Например, «Где ты сейчас?», а не «Ты сейчас в Москве?».

  2. Сотрудник ФСБ/налоговой/МВД/службы безопасности банка/оператора связи ‒ сброс вызова.

  3. Фраза «никому не говорите» ‒ красный флаг.

  4. Ссылки от незнакомцев ‒ не открываем. Никогда.

  5. Подозрительные сообщения от знакомых ‒ перепроверка через другой канал.

Не стыдно показаться параноиком ‒ стыдно потерять все свои сбережения за 5 минут разговора или стать посредником кибератаки.

Дополнительные меры безопасности:

  • включите двухфакторную аутентификацию везде, где это возможно;

  • используйте менеджеры паролей. Пароли должны быть сложными и отличаться для всех сервисов и сайтов;

  • проверяйте URL-адреса, даже если они кажутся знакомыми визуально;

  • настройте самозапрет на оформление кредитов ‒ это усложнит задачу мошенникам, даже если они получат доступ к вашему аккаунту на Госуслугах.

Социальная инженерия ‒ это не про технологии, а про поведение. Это атака на человека, а не на систему. Но хорошая новость в том, что осознанность и критическое мышление ‒ мощная защита.

Социальная инженерия работает в обе стороны: если вы понимаете, как вас атакуют, вы научитесь защищаться

А с какими схемами сталкивались вы? Расскажите в комментариях ‒ чем больше реальных историй, тем лучше мы сможем готовиться к новым угрозам.

Комментарии (2)