СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ: СОВРЕМЕННЫЕ РЕАЛИИ И ПЕРСПЕКТИВЫ

АННОТАЦИЯ

В данной обзорной статье проводится комплексный анализ современного состояния и перспектив развития социальной инженерии как ключевого вектора кибератак. Приводятся примеры современных методов социальной инженерии - от массового фишинга до высоко персонализированных атак с использованием искусственного интеллекта (ИИ) и технологий глубокого обучения, таких как дипфейк [1, 2]. Особое внимание уделяется тенденциям 2024-2025 годов, включая геополитическую обстановку, эксплуатацию удалённого формата работы и продолжение смещения активности злоумышленников в мессенджеры [1].

Ключевые слова: мошенничество, социальная инженерия, фишинг, общество, тренды, искусственный интеллект, жертвы.

Введение

Современная социальная инженерия представляет собой обширную сферу целенаправленных манипулятивных приемов, используемых злоумышленниками для побуждения жертв к определенным действиям и/или раскрытия конфиденциальной информации [3]. Объединяющей чертой всех методов является создание искусственной ситуации, провоцирующей выгодные для атакующего реакции, основанные на эксплуатации человеческих эмоций и когнитивных ошибок.

Методы социальной инженерии

Основные методы социальной инженерии можно разбить по следующим категориям:

• Фишинг (phishing);
• целевой фишинг (spearphising);
• вишинг (vishing, voice phishing);
• смишинг (smishing, SMS phishing);
• претекстинг (pretexting);
• ловушки с физическими носителями (дорожное яблоко).

Фишинг – особый вид мошенничества, который базируется на психологических и технических приёмах, с целью получения конфиденциальных данных (паролей, логинов, номеров банковских карт и т.п.).

Основным средством осуществления фишинга являются поддельные электронные ресурсы или электронные документы. Это могут быть письма электронной почты, сайты в сети, документы. Злоумышленники маскируют свои сообщения под рассылки различных крупных компаний или государственных органов.

Целевой фишинг – подвид фишинга, который отличается предварительной подготовкой целевой атаки на конкретный объект (человек, группа людей, организация).

Вишинг представляет собой речевую форму мошенничества, осуществляемую по телефону. Злоумышленники, вводя абонентов в заблуждение под вымышленными предлогами, склоняют их к совершению определенных операций, маскируя свои истинные намерения под заботу об интересах жертвы. Данный вид киберпреступности часто развивает схемы, используемые в фишинговых атаках [4]. В последние годы мошенники могут использовать технологии дипфейк для создания реалистичных аудио и видео сообщений для получения доверия жертвы. Данные жертвы, доступные в сети, могут стать основой для такой атаки.

Смишинг – разновидность фишинга, использующая SMS-сообщения. Его еще называют SMS-фишингом [5].

Претекстинг – метод социальной инженерии, предполагающий обращение к жертве по телефону с заранее заготовленным сценарием (претекстом, от англ. pretext — повод, предлог). При помощи различных психологических приемов мошенник пытается вывести жертву из спокойного состояния и узнать необходимые ему сведения. Нередко претекстингу предшествует подготовительная работа. Например, мошенник может заранее узнать девичью фамилию матери жертвы, имя домашнего животного и другие личные сведения. Для создания реалистичных претекстов мошенники могут использовать современные технологии ИИ (например, ChatGPT, DeepSeek, Gemini).  Более того, мошенники могут использовать дообученные модели, основанные на утечках конфиденциальных данных, для получения доверия жертвы.

Целью злоумышленника является получение конфиденциальных данных. Чаще всего преступники охотятся за финансовой информацией — паролем и логином от онлайн-банка, PIN-кодом кредитной карты и т. п. [6]

Тактика «Дорожное яблоко» заключается в целенаправленном распространении инфицированных носителей информации (флеш-накопителей, дисков) в пределах целевой организации. Носителям придается вид, вызывающий доверие или любопытство: они могут быть стилизованы под пропуски, премиальные подарки, документы с интригующими названиями или под корпоративные устройства. В результате их подключения к корпоративной сети происходит компрометация и хищение данных [3].

Мотивация злоумышленника

Привлекательность социальной инженерии для злоумышленников заключается в ее высокой рентабельности. Взлом человеческого фактора зачастую требует меньше ресурсов и технических навыков, чем преодоление сложных систем защиты. В основе большинства атак лежат базовые психологические триггеры: доверие (к коллеге, бренду, госоргану), страх (упустить возможность, попасть в беду), авторитет (начальника, полиции) и давление времени, что делает атаки дешёвыми, но чрезвычайно эффективными.

Примеры актуальных мошеннических схем

Мошеннические схемы усложняются с каждым днём и становятся многоэтапными. Так, мошенники стали использовать многозвонковые цепочки для удержания жертвы [9]. Как правило первый звонок поступает от мошенника, а второй – от правоохранительного органа. На деле же оба звонка являются мошенническими и ставят своей целью скомпрометировать данные жертвы. Атака строится на доверии человека к звонящему представившемуся представителем правоохранительных органов. Доверие здесь достигается путём введения человека в шоковое состояние после первого звонка и его желанием спасти свои активы. Пример такой фишинговой атаки – замена ключей для домофона [7]. Жертве поступает звонок от якобы управляющей компании, с просьбой назвать код, для получения кодовой комбинации от домофона. После получения кода злоумышленники включают ложное предупреждение, что звонок был заблокирован автоматической системой и кладут трубку. Спустя какое-то время поступает второй звонок, где злоумышленники представляются представителями органов и предлагают продолжить коммуникацию в мессенджере МАКС. Данная тактика эксплуатирует первоначальное доверие пользователей к новым, активно продвигаемым государственным цифровым платформам, которые позиционируются как более безопасные [8]. После этого мошенники могут либо прислать ссылку на скачивание скомпрометированной версии приложения, способной похитить личные данные пользователя, либо продолжить коммуникацию с жертвой уже в мессенджере.

Еще одним трендом 2025 года является адаптация классических схем под актуальную общественно-политическую повестку. Показавшая свою эффективность схема с переводом денег на счёт мошенника изменяется в контексте проведения специальной военной операции. Мошенники угрожают своим потенциальным жертвам, что единовременная выплата в размере 195 000 рублей, которая причитается военным в соответствии с указом Президента РФ, будет удержана из денежного довольствия.

Причина — дисциплинарное взыскание или нарушение при выполнении служебных обязанностей в зоне проведения специальной военной операции (СВО). Для большей убедительности злоумышленники направляют в мессенджер «копию выписки» якобы из приказа Департамента финансового обеспечения Минобороны России. По сценарию, придуманному мошенниками, военнослужащему или его родным, чтобы избежать списания денег и сохранить средства, предлагают перевести все накопления с карты на «безопасный» счет, а затем средства обещают вернуть. Однако, получив обманным путем деньги жертвы, телефонные аферисты исчезают [10].

Анализ трендов через психологические модели

Проведенный анализ современных методов социальной инженерии позволяет сделать вывод о качественной трансформации этой угрозы

в 2024–2025 годах. Эволюция социальной инженерии характеризуется переходом от простых массовых атак к сложным многоэтапным сценариям, интегрирующим цифровые и психологические векторы воздействия. Приведенные в работе примеры — от многоэтапных телефонных атак с использованием мессенджера МАКС до схем, эксплуатирующих военную повестку, — демонстрируют систематический подход злоумышленников к манипулированию человеческим фактором.

С теоретической точки зрения, современные атаки методично эксплуатируют психологические принципы убеждения Р. Чалдини (взаимность, социальное доказательство, авторитет, последовательность (и приверженность), симпатия и дефицит) [11]. Схема с «безопасным счетом» для военнослужащих эффективно сочетает авторитет (подделка приказов Минобороны) и дефицит (искусственное сокращение времени на принятие решения). Двухэтапные звонки, использующие мессенджер МАКС, демонстрируют мастерское применение социального доказательства (доверие к государственным цифровым платформам) и последовательности (логичное развитие сценария от телефонного звонка к цифровому взаимодействию).

Особую тревогу вызывает адаптивность злоумышленников. Глубокое понимание когнитивных искажений позволяет злоумышленникам создавать гиперперсонализированные сценарии, практически не оставляющие жертве времени на рациональный анализ ситуации.

Заключение

Перспективы развития социальной инженерии указывают на дальнейшую интеграцию искусственного интеллекта для автоматизации создания претекстов и анализа уязвимостей конкретных жертв. Возрастает роль государственных мессенджеров как вектора атак, что обусловлено их доверительным статусом в цифровом общении. При этом сохраняется фундаментальный принцип: несмотря на технологическое развитие методов, основой успешных атак остаются базовые человеческие эмоции и когнитивные искажения.

Для эффективного противодействия современной социальной инженерии необходим комплексный подход, сочетающий технологические меры защиты с регулярным обучением пользователей распознаванию психологических триггеров манипуляции. Особое внимание следует уделять разработке методик верификации информации в условиях дефицита времени и эмоционального давления — ключевых составляющих успешных атак. Только интеграция технических и психологических аспектов защиты позволит минимизировать риски, возникающие на стыке человеческой уязвимости и технологических возможностей злоумышленников.

Список литературы:

1. Социальная инженерия и кибератаки 2023 vs 2024. Прогноз от Phishman на 2025 [Электронный ресурс] // Phishman. URL: https://phishman.ru/blog/2025 (дата обращения: 12.09.2025)
2. Социальная инженерия, вооруженная ИИ: как защитить себя? [Электронный ресурс] // Beeline. URL: https://bigdata.beeline.ru/blog/articles/socialnaya-inzheneriya-i-big-data (дата обращения: 12.09.2025)
3. Социальная инженерия: что такое, виды и подходы. [Электронный ресурс] // Solar Dozor, RT Solar. URL: https://rt-solar.ru/products/solar_dozor/blog/3331/ (дата обращения: 12.09.2025)
4. Вишинг (vishing): определение и защита [Электронный ресурс] // Лаборатория Касперского. URL: https://www.kaspersky.ru/resource-center/definitions/vishing (дата обращения: 12.09.2025)
5. Смишинг: что это такое и как защититься [Электронный ресурс] // Лаборатория Касперского. URL: https://www.kaspersky.ru/resource-center/threats/what-is-smishing-and-how-to-defend-against-it (дата обращения: 12.09.2025)
6. Претекстинг: что такое предпосылка для атаки [Электронный ресурс] // Энциклопедия Лаборатории Касперского. URL: https://encyclopedia.kaspersky.ru/glossary/pretexting/ (дата обращения: 12.09.2025)
7. Госдума приняла … (о защите от телефонного мошенничества) [Электронный ресурс] // РИА Новости. 13.03.2025. URL: https://ria.ru/20250313/gosduma-2004651466.html (дата обращения: 12.09.2025)
8. Мошенники в мессенджере Max: риски, схемы и ответственность [Электронный ресурс] // РБК Компании. URL: https://companies.rbc.ru/news/TjVEKHFPbn/moshenniki-v-messendzhere-max-riski-shemyi-i-otvetstvennost/ (дата обращения: 12.09.2025)
9. IT эксперт предупредила о мошеннической схеме с двумя звонками [Электронный ресурс] // Известия. 25.04.2025. URL: https://iz.ru/1877010/2025-04-25/it-ekspert-predupredila-o-moshennicheskoi-skheme-s-dvumia-zvonkami (дата обращения: 12.09.2025)
10. Мошенники стали обманывать военнослужащих и их родных [Электронный ресурс] // Банк России. URL: https://www.cbr.ru/information_security/pmp/typical_fraudulent_schemes/moshenniki-stali-obmanyvat-voennosluzhaschikh-i-ikh-rodnykh/ (дата обращения: 12.09.2025)
11. Чалдини Р. Психология влияния. Как научиться убеждать и добиваться успеха. М.: Бомбора, 2023