Звонки от банка, служб безопасности и другие манипуляции
По данным компании Positive Technologies, в 2025 году в каждой второй успешной атаке на бизнес использовались методы социальной инженерии. Письмо от службы безопасности, банка или звонок коллеги с просьбой продиктовать код из SMS — всё это может оказаться частью стратегии мошенников.
Суть приема проста: злоумышленники обманом заставляют человека совершить нужное действие, чтобы украсть его данные. Разберем, какие методы стоят за такими схемами и как от них защититься.
В сфере информационной безопасности социальная инженерия — это совокупность методов психологического манипулирования. С их помощью злоумышленники вынуждают людей раскрывать конфиденциальную информацию или переводить деньги.
Один из известных случаев обмана с помощью социальной инженерии произошел в 2024 году с британской инжиниринговой компанией Arup. Сотрудник финансового отдела получил приглашение на видеозвонок, где присутствовали «коллеги» и «финансовый директор». Все участники оказались дипфейками, созданными с помощью нейросетей. Во время звонка сотрудника попросили перевести средства на указанные счета. Он не заподозрил обмана и выполнил просьбу, после чего компания потеряла 20 млн фунтов стерлингов.
Подобные атаки работают, потому что задействуют базовые психологические механизмы: доверие к авторитету, страх перед последствиями, привычку действовать быстро и не перепроверять информацию. Когда приходит сообщение от руководителя с пометкой «срочно», большинство людей сначала выполняют просьбу и только потом задают вопросы. Мошенники осознанно создают ситуацию, в которой у жертвы нет времени на размышления.
Для бизнеса эта угроза особенно серьезна, потому что сотрудники имеют доступ к финансам, базам данных, рекламным кабинетам и внутренним системам. Ошибка одного человека может привести к потере денег, клиентской базы и репутации. Никакой антивирус не блокирует действия, потому что сотрудник совершает их добровольно. Обычные люди тоже часто становятся жертвами — звонки из банка, сообщения от Госуслуг, фишинговые ссылки в мессенджерах работают так же.
Чаще всего мошенники нацеливаются на тех, кто имеет доступ к ценным ресурсам или принимает решения без длительного согласования:
Маркетологи с доступом к рекламным кабинетам и CRM. Через них можно получить контроль над рекламными бюджетами, клиентскими базами и аналитикой. Для атаки достаточно поддельного письма от техподдержки рекламной платформы с просьбой подтвердить аккаунт по ссылке.
Менеджеры, которые распоряжаются финансами. Такие сотрудники привыкли быстро выполнять указания руководства и получать задания через мессенджеры. Мошенники используют это, отправляя поддельные сообщения от имени директора с просьбой срочно оплатить счет или перевести деньги подрядчику.
Администраторы сообществ в соцсетях и мессенджерах. Злоумышленники представляются сотрудниками ВКонтакте или Telegram, сообщают о ложных нарушениях и угрожают блокировкой. Чтобы сохранить аккаунт, предлагают перейти по ссылке и ввести данные для входа. В итоге доступ к сообществу с тысячами подписчиков оказывается в чужих руках.
Предприниматели. Владельцы бизнеса нередко сами управляют доступами к ресурсам компании. Они склонны принимать решения на ходу, не перепроверять входящие запросы. Мошенники пользуются этой скоростью, имитируя обращения от банков, контрагентов или госорганов.
Новые сотрудники. В первые недели на рабочем месте человек еще не знает внутренних регламентов, не различает привычные процессы от подозрительных запросов. Такой сотрудник может выполнить любое указание «сверху», не задавая лишних вопросов.
Аутсорсеры и фрилансеры. Они работают удаленно и взаимодействуют с заказчиками через мессенджеры и почту. Коммуникация менее формальная, поэтому поддельное письмо от нового менеджера проекта легко принять за обычный рабочий запрос.
Независимо от конкретного метода, большинство атак строятся по одной схеме из четырех этапов:
Изучение информации. Злоумышленник собирает данные о будущей жертве: профили в социальных сетях, информацию о месте работы, должности, именах коллег и руководства. Иногда достаточно номера телефона из открытой базы, а иногда нужен глубокий анализ публикаций, комментариев, стиля общения.
Первый контакт. На основе собранной информации мошенник выбирает подходящий канал связи и создает легенду — правдоподобную историю для взаимодействия с пользователем. Первым контактом может быть письмо на рабочую почту, сообщение в мессенджере или телефонный звонок. Главное условие — канал и тон обращения должны выглядеть привычно, чтобы не вызвать подозрений.
Давление. Когда контакт установлен, включаются психологические рычаги. Мошенник создает ощущение срочности, апеллирует к авторитету или запугивает последствиями бездействия. Цель этого этапа — лишить человека времени на размышление и проверку информации.
Результат. Жертва выполняет нужное действие: называет код подтверждения, переходит по ссылке, вводит данные на поддельном сайте или переводит деньги.
На практике это может выглядеть так: злоумышленник через социальные сети изучает информацию о менеджере или работнике бухгалтерии, узнает имя генерального директора. Затем создает поддельный аккаунт в мессенджере с фотографией и именем руководителя и пишет сотруднику: «Нужно срочно оплатить счет, я сейчас на переговорах и не могу позвонить, реквизиты отправлю следом». Если сотрудник выполнит просьбу, не связавшись с настоящим руководителем по другому каналу, деньги окажутся у мошенников.
С развитием нейросетей мошенники начали подделывать голос и внешность. Это реальная угроза или пока единичные случаи?
К сожалению, это уже не единичные случаи. О них даже стали крутить социальную рекламу по телевидению на федеральных каналах. Нейросети сейчас сильно продвинулись: даже школьник может написать правильный промпт и «скормить» ИИ шаблоны голоса и внешности, чтобы создать убедительную копию любого человека.
Чем дальше ИИ будет развиваться, тем больше этим будут пользоваться мошенники и жулики. Увы, регулировать это вряд ли получится.
Злоумышленники используют разные способы воздействия в зависимости от цели, канала связи и уровня подготовки атаки. Ниже разберем методы, которые встречаются чаще всего:
Фишинг — поддельные письма, сообщения и формы, которые имитируют официальную коммуникацию от известных компаний, банков или государственных органов. Цель в том, чтобы заставить человека перейти по ссылке и ввести свои данные на поддельном сайте, визуально неотличимом от настоящего.
Например, сотрудник получает письмо якобы от Яндекс Директа с предупреждением о блокировке рекламного кабинета. В письме ссылка на «страницу подтверждения», где нужно ввести логин и пароль. Адрес сайта отличается от настоящего одним символом, но в спешке это легко не заметить. Данные уходят мошенникам, и они получают полный доступ к аккаунту.
Вишинг — атака через телефонный звонок. Мошенник представляется сотрудником банка, налоговой, Госуслуг или службы поддержки. Сообщает о «подозрительной операции», «задолженности» или «попытке взлома» и просит продиктовать код из SMS, данные карты или выполнить определенные действия для «защиты» аккаунта. Звонок создает эффект срочности, который не дает времени на проверку.
Мне позвонили, представившись технической поддержкой Альфа-банка. Человек по ту сторону уверял, что на мое имя взят кредит, поэтому мне необходимо зайти в приложение и назвать свои персональные данные. Долгие расспросы на тему почему и с какой целью ему нужны эти данные утомили мошенника, и он решил перестать тратить на меня свое время. После похода в отделение банка я окончательно удостоверилась, что никакие кредиты на меня не оформлялись, и это была обычная попытка развода.
Смишинг — то же самое, что и вишинг, но через SMS или сообщение в мессенджере. Типичный пример: «Ваша посылка задержана, для получения подтвердите данные по ссылке» или «Обнаружен вход в аккаунт с нового устройства, если это не были вы — перейдите по ссылке». Короткий формат сообщения и знакомый отправитель снижают бдительность.
Претекстинг — мошенник заранее придумывает правдоподобную легенду и роль, чтобы войти в доверие ― претекст. Может представиться IT-специалистом, который проводит аудит, новым сотрудником из смежного отдела или проверяющим от подрядчика. Легенда подкреплена деталями: мошенник знает имена коллег, название внутренних систем, даты событий. Все это делает убедительной просьбу предоставить доступ или данные.
На сайте Сбера можно узнать о конкретных схемах такого мошенничества от имени госсервисов и банков. Злоумышленники часто представляются сотрудниками ФСБ, ЦБ РФ, ФНС и предоставляют поддельные удостоверения и письма от организаций.
Бейтинг — приманка, рассчитанная на любопытство или желание получить что-то бесплатно. В физическом мире это может быть USB-флешка с надписью «Зарплатная ведомость», оставленная на видном месте в офисе. В цифровом ― ссылка на «закрытый инструмент для маркетологов», «бесплатный курс» или «секретный шаблон». При переходе на устройство загружается вредоносное ПО, а при вводе данные уходят злоумышленникам.
В 2020 году хакерская группировка FIN7 рассылала американским компаниям обычные бумажные письма с поддельными подарочными картами BestBuy и вложенными USB-флешками. В письме было сказано, что накопитель нужно подключить к компьютеру, чтобы активировать карту. При подключении флешка автоматически запускала вредоносный скрипт и устанавливала на машину программу удаленного доступа.
Позже ФБР зафиксировало аналогичные рассылки от имени Amazon и Министерства здравоохранения США.
Квид про кво — обмен «услуга за услугу». Мошенник предлагает помощь в решении проблемы, а взамен просит доступ к системе. Например, звонит сотруднику, представляется специалистом техподдержки и говорит: «Вижу, что у вас сбоит система. Давайте помогу настроить удаленно, для этого мне нужны ваши данные для входа». Так злоумышленник получает доступ к закрытым ресурсам.
Тейлгейтинг — метод получения физического доступа в защищенное помещение. Мошенник проходит в офис вслед за сотрудником, представляясь курьером, подрядчиком или новым работником. Может нести коробки, чтобы у него были заняты руки, и попросить придержать дверь. Оказавшись внутри, получает доступ к компьютерам, документам или сетевому оборудованию.
Компании редко раскрывают подобные инциденты, но показательные примеры регулярно появляются в практике пентестеров — специалистов, которые проверяют безопасность организаций, имитируя действия злоумышленников. Например, британская компания OmniCyber Security в рамках тестирования безопасности одной из финансовых организаций описала, как консультант вошел в здание в потоке сотрудников, изготовив поддельный бейдж по фотографиям из LinkedIn (заблокирована в РФ). Он провел в офисе несколько часов, работал за свободным столом и подключал устройства к корпоративной сети. За все это время ни один сотрудник не задал ему ни одного вопроса.
Часто злоумышленники комбинируют несколько методов в рамках одной атаки. Например, сначала собирают информацию через открытые источники, затем используют претекстинг для первого контакта по телефону, а после отправляют фишинговое письмо со ссылкой, которая выглядит как продолжение разговора. Чем больше методов задействовано, тем убедительнее выглядит обман и тем больше шансов на успешную атаку.
Методы социальной инженерии постоянно совершенствуются, но у большинства атак есть общие признаки:
Срочность и давление. Фразы вроде «немедленно», «последний шанс», «аккаунт будет заблокирован через 10 минут» — классический прием. Настоящие организации не ставят ультиматумов и дают время на принятие решений. Если собеседник торопит и не позволяет взять паузу — это повод насторожиться.
Нестандартный канал связи. Руководитель, который обычно пишет на рабочую почту, вдруг отправляет срочный запрос в личные сообщения в мессенджере. Банк, который всегда связывается через приложение, внезапно звонит с незнакомого номера. Любое отклонение от привычного формата коммуникации — сигнал о том, что стоит перепроверить контакт: например, перезвонить, написать в другой мессенджер.
Запрос конфиденциальных данных. Пароли, коды из SMS, реквизиты карты, доступы к системам — ни одна легитимная организация не запрашивает подобное через звонок, письмо или мессенджер. Если собеседник просит назвать или ввести такую информацию, есть высокая вероятность, что это мошенник.
Несовпадение адреса отправителя или домена. Письмо приходит с адреса support@yandeks-direct.ru вместо настоящего домена support@yandex.ru, номер телефона не совпадает с официальным, а ссылка ведет на сайт с лишним символом в URL. Эти детали легко не заметить, если не перепроверять данные.
Просьба обойти стандартные процедуры. «Никому не говори», «не согласовывай, просто сделай», «это конфиденциальная операция» — такие формулировки изолируют жертву от коллег и регламентов, лишая возможности получить второе мнение.
Ни один из этих признаков сам по себе не означает, что происходит атака. Но сочетание двух и более — серьезный повод остановиться, не выполнять просьбу и проверить информацию через независимый канал: перезвонить по официальному номеру, написать коллеге напрямую или уточнить у службы безопасности.
Какие схемы социальной инженерии встречаются на практике чаще всего?
Самое простое — конечно же, любыми способами выудить код двухфакторной авторизации на восстановление пароля. Зная номер телефона, можно попытаться взломать практически любой аккаунт, а дальше работает только инженерия — мошенники представляются сотрудниками компаний или правоохранительных органов.
Есть еще интересная фишка. Допустим, вы гуглите какой-нибудь софт, особенно если хотите скачать его бесплатно. И вам дается инструкция — ввести в командную строку от имени администратора команду. Вы вводите, и компьютер заражается вирусом. Работает исключительно на продвинутых пользователях, но, тем не менее, действует безукоризненно.
Полностью исключить риск атаки невозможно, но можно существенно его снизить. Меры, которые помогут защитить данные:
Верификация через второй канал. Любой важный запрос стоит проверять альтернативным способом. Если руководитель пишет в мессенджере с просьбой перевести деньги, нужно перезвонить ему по телефону. Если банк сообщает о подозрительной операции, лучше положить трубку и набрать номер с официального сайта.
Двухфакторная аутентификация. Даже если злоумышленник узнает пароль, без кода подтверждения он не сможет войти в аккаунт. Подключить двухфакторную аутентификацию стоит на всех ключевых сервисах: Яндекс ID, ВКонтакте, Госуслуги, рабочая почта, рекламные кабинеты.
Какие ошибки люди допускают, даже если у них включена двухфакторная аутентификация? Есть ли способы, которыми мошенники её обходят?
Главная ошибка любого пользователя, который подвергается действиям мошенников — сообщать код подтверждения третьим лицам.
Важно понимать: никакой сервис никогда не будет спрашивать этот код. Эти цифры (буквы) нужны только вам, чтобы ввести во время авторизации и/или для подтверждения какого-либо действия.
Мошенники обходят это как раз с помощью социальной инженерии и фишинга. Поэтому всегда проверяйте, куда именно вводите код — убедитесь, что сайт или приложение официальные.
Принцип минимальных прав доступа. Каждый сотрудник должен видеть только те данные и системы, которые нужны для его работы. Чем меньше доступов, тем меньше ущерб от возможной компрометации одного аккаунта.
Внутренние регламенты. В команде полезно зафиксировать, как выглядят корректные запросы на доступ, оплату или передачу данных. Когда есть четкий протокол, отличить легитимную просьбу от мошеннической проще. Например, можно установить правило: любой запрос на перевод средств требует подтверждения по телефону или через корпоративную почту.
Обучение команды. Регулярный разбор реальных примеров атак на планерках, рассылка памяток и проведение тестовых фишинг-рассылок помогают сотрудникам быстрее распознавать угрозы.
Технические инструменты. Менеджеры паролей, такие как Kaspersky Password Manager, помогают создавать и хранить сложные уникальные пароли для каждого сервиса. Антивирусы с веб-фильтром, например, Kaspersky или Dr.Web блокируют переход на фишинговые сайты. Корпоративная почта с антиспам-фильтром отсеивает подозрительные письма еще до того, как сотрудник их увидит.
Но если данные уже попали к мошенникам, нужно действовать быстро. Сначала необходимо сменить скомпрометированные пароли и отозвать доступы, которые могли быть переданы злоумышленникам. Затем уведомить команду, и при необходимости — клиентов.
Важно зафиксировать все детали инцидента: сохранить скриншоты, переписку, записать время и хронологию событий. Эта информация понадобится для анализа и, возможно, для обращения в правоохранительные органы.
После стоит разобраться, как атака стала возможной, и устранить уязвимость в процессах: обновить регламенты, ограничить доступы, провести дополнительное обучение. И обратиться в техподдержку затронутых платформ, например, Яндекса, ВКонтакте, банка, Госуслуг — для блокировки подозрительных действий или восстановления доступа.
Несколько полезных статей о том, как обезопасить себя в интернете: Что делать, если взломали Telegram: пошаговая инструкция
Как работает сквозное шифрование и почему оно нужно бизнесу
Цифровой след: почему важно о нем знать
Способы хранения информации: где хранить данные безопасно и удобно
Чтобы не зависеть от блокировок соцсетей, запускайте имейл-маркетинг.
ИИ-помощник Unisender поможет сгенерировать текст и картинки для вашего первого письма.
Социальная инженерия: 7 методов атак мошенников, о которых нужно знать до того, как придет «письмо от директора»
Отписываем от рассылки легко и просто: гид по list-unsubscribe
Сначала шутка, потом билет: как продает контент Aviasales
Пухосос в Яндексе, Prada на Луне и скандал из-за водопоя на ЧМ-2026 по футболу: 11 кейсов июньской рекламы
Искренние письма о работе и жизни, эксклюзивные кейсы и интервью с экспертами диджитала.
Проверяйте почту — письмо придет в течение 5 минут (обычно мгновенно)
