Новый тренд-2025: хакеры нанимают психологов для создания «идеальных» атак. Это фантастика или уже реальность? И как у людей создать «иммунитет» к психологическим атакам?
Ваш сотрудник получает письмо от «директора» с требованием срочно перевести 50 тысяч долларов на счет подрядчика. Подпись, стиль, логотип – все идеально, но через некоторое время выясняется, что это был фишинг. В эпоху дипфейков и нейросетей сложные пароли, двухфакторная аутентификация и регулярные аудиты бессильны против хорошо спланированной психологической атаки. Злоумышленники, играя на человеческих эмоциях, таких как страх, жадность, сочувствие, помогают даже опытным профессионалам совершить ошибку.
>Задумайтесь, что происходит, когда ваш сотрудник, поддавшись на уговоры мошенника, случайно отправляет конфиденциальный документ на сторонний e-mail? Или когда системный администратор, поверив в срочность «технической поддержки», предоставляет удаленный доступ к серверам злоумышленникам?
Утечки информации, как преднамеренные, так и непреднамеренные, часто связаны с действиями инсайдеров, которые имеют доступ к конфиденциальной информации. Такие утечки приводят к серьезным последствиям.
Давайте рассмотрим ключевые риски.
- Утрата даже небольшого процента данных может привести к значительным финансовым потерям и даже банкротству компании. Это прямые убытки от мошеннических транзакций, штрафы за нарушение законодательства о защите данных (например, GDPR – General Data Protection Regulation – общий регламент по защите данных), судебные издержки, расходы на восстановление систем и данных.
- Утечки данных могут нанести непоправимый вред репутации компании, что затрудняет восстановление доверия клиентов и партнеров. В современном мире информация распространяется мгновенно, и негативные отзывы могут надолго остаться в сети.
- Последствия утечек могут привести к увольнениям сотрудников, снижению зарплат и падению морального духа.
- Раскрытие конфиденциальной информации о продуктах, технологиях, клиентской базе, стратегиях развития компании могут привести к потере конкурентных преимуществ. В бизнесе знание – это сила, и потеря этого знания может дорого стоить.
- Паралич IT-систем, сбои в работе оборудования, остановка производства, потеря важных данных.
- Судебные иски от пострадавших клиентов и партнеров, уголовная ответственность сотрудников, причастных к утечке данных.
- Предоставление злоумышленникам доступа к критически важным системам и данным, что может привести к более масштабным атакам и взломам. Зачастую одна утечка становится отправной точкой для целой серии кибератак.
Как защитить свою компанию от этой невидимой угрозы и создать устойчивую систему психологической безопасности? Пройдем пять самых важных шагов.
1) Анализ наиболее уязвимых отделов и уровня осведомленности сотрудников о кибербезопасности. Наиболее уязвимыми отделами могут стать отделы финансов, HR, IT.
По данным Kaspersky, в 2023 году через отделы кадров было скомпрометировано более 5 миллионов специалистов российских компаний. Резюме и переписки кандидатов остаются «золотой жилой» для шантажа или социальной инженерии. Злоумышленники используют эти данные для создания персонализированных атак, которые сложно обнаружить.
Около 70% атак на критическую инфраструктуру в России начинаются с социальной инженерии, направленной на IT-персонал.
Для того чтобы выявить уязвимые отделы:
– используйте тесты на проникновение и симуляции атак;
– внедрите симуляции сценариев дипфейков и фишинговых кампаний.
Важно, чтобы используемые для этого инструменты могли не только имитировать атаки, но и проводить глубокий анализ конфигураций системы, выявляя уязвимости на уровне приложений и сервисов. При выборе решения обратите внимание на наличие функций автоматизированного тестирования на проникновение и возможность проверки найденных уязвимостей с использованием эксплойтов. Это позволяет существенно снизить количество ложных срабатываний и более точно определить слабые места, требующие немедленного исправления.
По данным Kaspersky, в 2023 году через отделы кадров было скомпрометировано более 5 миллионов специалистов российских компаний. Резюме и переписки кандидатов остаются «золотой жилой» для шантажа или социальной инженерии.
2) Интерактивное обучение и тренировка специалистов. Формирование культуры безопасности и доверия.
Откровенно говоря, стандартные лекции о паролях уже устарели. В 2025 году давайте рассмотрим интерактивные форматы:
– VR-тренажеры (моделирование звонка «из службы безопасности» с угрозами увольнения);
– геймификация (система баллов за найденные «уязвимости» в тестовых письмах);
– персонализация сценариев (внедрение сценария «Как защитить свои соцсети от сбора данных для атак»; лучше запомнятся как раз те угрозы, которые касаются лично сотрудников);
– разбор реальных кейсов (приглашение спикеров, которые сами предотвратили атаки, – их опыт запомнится в разы лучше лекций);
– организация квестов для отделов (лабиринт из фишинговых ловушек; победитель получит денежный приз на обучение).
3) Разработка и внедрение политик безопасности.
– разработка и внедрение четких политик безопасности, регулирующих обработку конфиденциальной информации;
– лимит на доступ: информацию получают только те сотрудники, которым она необходима для выполнения своих обязанностей;
– многофакторная аутентификация, чтобы предотвратить несанкционированный доступ, даже если пароль будет скомпрометирован;
– установка строгих правил для работы с внешними подрядчиками и партнерами;
– запрет на использование личных устройств для работы с корпоративной информацией.
Дополнительно внедрите:
– системы обнаружения и предотвращения вторжений (IDS/IPS), анализирующие сетевой трафик и выявляющие подозрительную активность;
– решения для защиты от утечек данных (DLP), предотвращающие утечку конфиденциальной информации;
– системы управления идентификацией и доступом (IAM), контролирующие доступ и блокирующие несанкционированные действия;
– антивирусное ПО нового поколения (NGAV), использующее машинное обучение для обнаружения скрытых угроз.
4) Технические меры защиты для обнаружения лжи и мониторинга.
Решения на основе машинного обучения обнаруживают большинство поддельных доменов до их попадания в почтовые ящики. Вот некоторые из этих решений:
– использование анализа голоса (некоторые современные алгоритмы определяют стресс в речи с точностью 89%, при аномалиях система автоматически запрашивает видеоподтверждение);
– применение паттернов переписки (нейросети сравнивают стиль письма с историей сообщений, что позволило, например, в «Яндексе» выявить 45 поддельных писем от «партнеров» за месяц);
– внедрение AI-фильтров в сервисы почты и мессенджеры (в 2025 году 80% фишинговых писем содержали ссылки на сайты-двойники, отличающиеся всего одним символом;
– проведение автоматизированных фишинговых кампаний (создание массовых фишинговых писем с помощью ИИ, которые практически неотличимы от настоящих);
— мониторинг поведения пользователей (анализ цифровых паттернов позволяет выявлять аномалии, такие как внезапный доступ сотрудника к файлам, не связанным с его ролью, или попытки экспорта больших объемов данных);
– использование NAC-решений для снижения внутренних угроз.
На фоне участившихся кибератак на критическую инфраструктуру в России спрос на такие системы, позволяющие эффективно бороться с внутренними угрозами, значительно вырос. Функциональность современных NAC-систем позволяет реализовать централизованное управление цифровыми ресурсами предприятия, определяя политики и правила доступа в сеть для пользователей и администраторов, а также осуществлять непрерывный контроль состояния подключенных устройств на предмет соответствия политикам безопасности. Такой подход позволяет значительно снизить риски, связанные с неправомерным доступом и распространением вредоносного ПО внутри сети.
5) Психологическая поддержка и антистрессовые программы.
Нейроученые из МГУ доказали: недосып, высокий уровень стресса, эмоциональное выгорание снижает критическое мышление на 30%. Усталый сотрудник – идеальная жертва. Чтобы минимизировать эти риски и повысить производительность, важно внедрить комплексные меры поддержки. Для этого можно реализовать следующие стратегии:
– доступ к психологической поддержке (анонимные консультации со штатным психологом);
– организация зоны отдыха для сотрудников (комфортные условия для отдыха, где можно расслабиться и отдохнуть от работы);
– проведение спортивных мероприятий (любые активности для поддержания физического и психического здоровья в коллективе);
– обучение техникам саморегуляции (медитации, дыхательные упражнения, визуализация для снижения уровня стресса и повышения концентрации);
– создание гайда действий для сотрудников при стрессовых запросах.
Недосып, высокий уровень стресса, эмоциональное выгорание снижает критическое мышление на 30%. Усталый сотрудник – идеальная жертва.
Вот как может выглядеть гайд:
- Зафиксируйте требование (скриншот/запись). Сохраните все детали, включая отправителя, время, текст запроса и любые приложенные файлы. Это позволит зафиксировать исходную информацию для дальнейшего анализа.
- Сверьте контакт через официальный источник (базу клиентов, сайт). Найдите контакт отправителя (e-mail, телефон, аккаунт в мессенджере) в официальной базе данных компании (например, в CRM-системе, на внутреннем сайте, в списке контактов, предоставленном HR-отделом). Сравните полученный контакт с официальным. Обратите внимание на малейшие несоответствия (опечатки, другие домены, измененные цифры).
- Оцените запрос критически. Задайте себе следующие вопросы: Насколько срочным и необычным кажется запрос (манипуляторы часто создают искусственный дефицит времени)? Соответствует ли запрос стандартным процедурам компании? Не вызывает ли запрос у вас сильные эмоции (страх, панику, чувство вины: это может быть признаком манипуляции)? Зачем этому человеку это от меня? Что я получу взамен? Насколько адекватна компенсация за выполнение работы?
- Переведите разговор на руководителя.
- Сообщите о подозрении. Если у вас есть основания полагать, что вы столкнулись с попыткой манипуляции или мошенничества, сообщите об этом в службу безопасности или ответственному лицу. Ваше сообщение может помочь предотвратить более серьезные инциденты.
В 2025 году манипуляции – это кибероружие массового поражения. Но ваша защита может быть умнее. Внедрите указанные выше шаги. Поощряйте сотрудников задавать вопросы и проверять информацию через официальные каналы, чтобы предотвратить попадание под манипуляции.
Анастасия ДЬЯЧЕНКО, методист лаборатории развития и продвижения компетенций кибербезопасности аналитического центра кибербезопасности компании «Газинформсервис»
