Открыть сервис

Социальная инженерия

Социальная инженерия — это совокупность психологических приёмов и методов манипуляции, направленных на получение конфиденциальной информации, несанкционированного доступа к системам или совершения иных действий в интересах атакующего. В отличие от технических методов взлома, социальная инженерия эксплуатирует человеческий фактор — доверие, невнимательность, страх, любопытство или желание помочь. Термин происходит от названия более широкой научной дисциплины, изучающей управление поведением людей, однако в современном контексте чаще применяется в области информационной безопасности.

История развития

Ранние примеры и предшественники

Использование методов манипуляции для получения выгоды известно с древних времён. Например, в античных государствах применялись уловки для сбора разведданных, а в средневековых дворах — техники лести и обмана для получения доступа к власти или деньгам. Однако как самостоятельное понятие социальная инженерия оформилась лишь в XX веке. Первое задокументированное использование термина в контексте взлома приписывается хакеру и специалисту по безопасности Кевину Митнику, который в 1990-х годах детально описал подобные методы в своих книгах, в частности, в «Искусстве обмана» (2002 год). Митник, будучи одним из самых разыскиваемых киберпреступников США, прославился тем, что чаще использовал телефонные звонки и социальные уловки, нежели сложные технические эксплойты.

Этапы институционализации

В 2000-е годы, с ростом осведомлённости о киберугрозах, социальная инженерия стала предметом изучения в области криминологии, психологии и корпоративной безопасности. Были разработаны методики противодействия, такие как программы повышения осведомлённости сотрудников (security awareness training). В 2010-х годах появилась специализированная практика «этичного хакинга» (пентестов), где социальная инженерия легально применяется для проверки защищённости организаций.

Основные методы и техники

Психологические манипуляции

Социальные инженеры используют набор отработанных сценариев, основанных на когнитивных искажениях человека:

Конкретные атаки

Социальная инженерия в контексте информационной безопасности

Роль в цепочке атак

По оценкам аналитиков (в частности, отчётов Verizon Data Breach Investigations Report за 2022-2024 годы), человеческая ошибка является фактором в более чем 70% всех утечек данных. Социальная инженерия часто служит стартовой точкой для сложных атак, таких как целевой фишинг (spear-phishing) или атаки на цепочки поставок. Злоумышленники, получив доступ к одному аккаунту, затем двигаются вглубь корпоративной сети (движение внутри периметра — lateral movement).

Защитные меры

Социальная инженерия как научная дисциплина

Отличие от кибербезопасности

В широком смысле термин социальная инженерия используется также в политологии, социологии и менеджменте. В XIX–XX веках под ним понимали целенаправленное проектирование социальных институтов и изменение общественного сознания (например, в работах Карла Поппера, который критиковал тоталитарные формы социальной инженерии). В этом значении оно обозначает любую систематическую попытку управлять поведением больших групп людей: от рекламных кампаний до политических технологий. В современном контексте, когда речь идет о киберугрозах, этот смысл считается устаревшим или смежным, но не идентичным.

Психологическое обоснование

Методы социальной инженерии опираются на экспериментальные данные социальной психологии. В частности, исследования Стэнли Милгрэма (подчинение авторитету), Филипа Зимбардо (склонность к конформности) и Роберта Чалдини (принципы взаимности, дефицита, симпатии) напрямую цитируются в руководствах по защите от атак. Например, техника «нога в двери» (small request leads to larger one) активно используется в претекстинге.

Примеры известных атак с использованием социальной инженерии

Критический анализ и этические аспекты

Негативные последствия

Социальная инженерия считается одной из самых опасных киберугроз именно из-за сложности защиты: нельзя «залатать» доверчивость человека набором обновлений в отличие от программного обеспечения. Атаки могут иметь катастрофические финансовые последствия (убытки от мошенничества с использованием социальной инженерии оцениваются в сотни миллиардов долларов ежегодно) и подрывать доверие к цифровым сервисам.

Этичное применение

Социальная инженерия применяется в законной практике тестирования на проникновение (пентестинг). Специалисты с разрешения заказчика имитируют атаки, чтобы выявить слабые места в человеческом звене. Однако этичные хакеры обязаны строго соблюдать рамки контракта и не причинять вреда. За пределами этой узкой сферы использование методов социального манипулирования в коммерческих или политических целях остаётся предметом острых дискуссий: где заканчивается «убеждение» в рекламе и начинается обман?

Юридический статус

В уголовном законодательстве большинства стран (включая УК РФ, Главу 28 «Преступления в сфере компьютерной информации») сама по себе социальная инженерия не выделяется как отдельный состав преступления. Однако действия, совершённые с её помощью — мошенничество, кража, шпионаж, неправомерный доступ к компьютерной информации — наказуемы. В делах часто сложно доказать умысел или сам факт манипуляции, что делает расследование особенно трудным.

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →