Согласно исследованию Positive Technologies, в первом полугодии 2025 года на социальную инженерию пришлось около 50% кибератак. Сегодня угрозы для бизнеса связаны не только с техническими уязвимостями, но и с особенностями человеческого поведения в цифровой среде.
Дмитрий Пойда, аналитик по расследованиям AML/KYT провайдера «Шард», объясняет, как злоумышленники используют психологические механизмы для манипуляции, какие факторы делают даже опытных сотрудников уязвимыми и как выстроить защиту, основанную на устойчивых поведенческих паттернах.
По какому принципу злоумышленники выбирают жертв
Злоумышленники обычно нацеливаются на компании, которые находятся в фазе роста или изменений. Чаще всего это стартапы, финтех- и криптокомпании, бизнесы с распределенными командами и активным присутствием в соцсетях. Такие организации быстро развивают процессы, и у них меньше формальных правил безопасности — это делает компании уязвимыми.
Публичность компании также повышает угрозу. Активность сотрудников и руководителей в соцсетях, участие в конференциях, открытые вакансии и публикации позволяют злоумышленникам составить наиболее полную картину внутреннего устройства компании — понять, кто в компании принимает решения, и оценить текущие приоритеты.
При выборе жертвы атакующие учитывают в том числе и совокупность человеческих и организационных факторов, которые повышают вероятность ошибки. К ним относятся чрезмерное доверие внутри команды, отсутствие привычки проверять входящие запросы, размытые зоны ответственности сотрудников и концентрация полномочий у отдельных специалистов.
Особенно для злоумышленников привлекательны организации, где важные операции могут быть инициированы без многоступенчатого подтверждения.
Первыми точками входа часто становятся сотрудники, которые регулярно взаимодействуют с внешним миром и большим потоком информации: служба поддержки, HR, SMM- и PR-специалисты, комьюнити-менеджеры. Специалисты в этих сферах привыкли постоянно общаться с внешними контактами, быстро реагировать и помогать, что делает их уязвимыми для социальной инженерии.
В крипто- и финтех-компаниях особое внимание уделяют сотрудникам с доступом к кошелькам, API-ключам, административным панелям и системам согласования транзакций. Даже небольшая ошибка или доверие к несанкционированному «авторитету» может привести к серьезным финансовым потерям.
Как формируется психологическая уязвимость
Атака редко начинается с давления или прямых требований. Чаще всего процесс строится вокруг регулярного, внешне нейтрального контакта. Постепенно присутствие злоумышленника становится привычным и перестает вызывать настороженность отдельного сотрудника.
Параллельно создается правдоподобная версия происходящего. В общении используются реальные профессиональные или биографические детали, которые усиливают ощущение достоверности и персонального подхода. В условиях неопределенности психика склонна принимать логичные связные объяснения — они снижают тревогу и избавляют от необходимости постоянно сомневаться и перепроверять информацию.
Например, в августе 2024 года криптоинвестор потерял около 243 млн долларов в результате двухэтапной схемы с социальной инженерии. Сначала злоумышленники разыграли сценарий с попытками взлома Google и попросили подтвердить личные данные, чтобы «защитить» аккаунт. Затем последовал второй этап — обращение уже от имени криптобиржи Gemini с сообщением о риске потери средств. На фоне стресса и срочности инвестор выполнил инструкции и установил «защитное» приложение, которое позволило мошенникам получить удаленный доступ к его устройствам и криптокошелькам.
Под эмоциональным давлением способность к рациональному анализу снижается. Злоумышленник начинает восприниматься как надежный источник. В таких условиях человек склонен игнорировать тревожные сигналы, оправдывая рискованные действия логичными на первый взгляд причинами. Страх финансовых или репутационных потерь постепенно вытесняет взвешенное принятие решений, подменяя его импульсивными реакциями.
На более глубоком уровне этот механизм хорошо объясняется идеями Виктора Франкла, в частности его концепцией экзистенциального вакуума — состояния, при котором человек теряет ощущение контроля и осмысленности происходящего. В таких условиях психика стремится зацепиться за любую понятную цель.
Почему компании теряют контроль
Если подытожить, можно выделить основные маркеры, по которым становится понятно, почему даже компании с продуманной защитой оказываются уязвимыми перед психологическими атаками:
- Иллюзия защищенности через регламенты. Наличие политик, сертификатов и технических средств не гарантирует устойчивости, если не учитывается, как сотрудники принимают решения под давлением, в условиях срочности или неопределенности. Защита работает в «штатном режиме» — и рушится при первом нестандартном сценарии.
- Единоличное принятие критических решений. Если финансовые операции или технические действия могут быть инициированы одним человеком без дополнительного подтверждения, злоумышленнику достаточно повлиять на этого сотрудника. Система при этом остается «непробитой», но бизнес теряет контроль.
- Вера в рациональность опытных сотрудников. На деле даже высококвалифицированные специалисты под стрессом склонны действовать по привычке, а не по инструкции. В условиях временного давления или репутационного риска включается автоматизм — и логика уступает место шаблонам.
- Подготовка к резким атакам вместо длительных сценариев. Современные атаки часто развиваются неделями: злоумышленник постепенно выстраивает доверие, становится «привычным» собеседником, нормализует свое присутствие. На этом этапе нет тревожных сигналов, и именно поэтому он оказывается самым уязвимым. Ведь проверять «своего» кажется излишним.
Что делает такие атаки массовыми
Распространение сценариев социальной инженерии связано с фундаментальными изменениями в цифровой и организационной среде. Порог входа для злоумышленника существенно снизился. Раньше требовались недели на индивидуальную подготовку под конкретную жертву. Сегодня достаточно доступных открытых данных, готовых коммуникационных сценариев и автоматизированных инструментов, чтобы запустить целевую кампанию.
Для злоумышленника каждая попытка атаки практически бесплатна и не несет значимых рисков. В то же время для бизнеса, как уже отмечалось, даже одна ошибка сотрудника может обернуться многомиллионными потерями. Эта асимметрия делает психологические сценарии одним из самых эффективных векторов атак.
Кроме того, поведение людей в условиях давления оказывается удивительно предсказуемым. Независимо от должности, опыта или уровня образования, большинство стремится быстро восстановить контроль над ситуацией и склонно доверять уверенно поданной информации. Эта универсальность позволяет использовать одни и те же сценарии против самых разных организаций.
Наконец, сама цифровая среда усиливает уязвимость. Постоянная доступность, мгновенная коммуникация и стирание границ между рабочим и личным пространством снижают способность к рефлексии. Когда решение нужно принять «прямо сейчас», проверка откладывается — а в условиях стресса может и вовсе исчезнуть из цепочки действий.
Как выстроить устойчивость к психологическим атакам
Защита от вымогателей начинается с подготовки людей к действиям в условиях стресса и неопределенности. Здесь уместна аналогия с профессиональными пожарными. Они тренируют реакции на экстремальные сценарии до тех пор, пока правильные действия не становятся рефлексом.
То же самое справедливо и для кибербезопасности: в ситуации «срочного запроса от CEO» у сотрудника должно быть время на сомнение.
Поэтому обучение эффективно только тогда, когда оно строится на реалистичных сценариях: фальшивых обращениях от руководства, запросах с элементами давления, сообщениях с нехваткой информации или противоречивыми деталями.
Наконец, важно правильно реагировать на инциденты. Вместо поиска «виноватого» стоит анализировать условия, при которых ошибка стала возможной: где возникло давление, почему не сработал механизм проверки, какие сигналы были проигнорированы. Такой подход превращает каждый инцидент не в повод для скрытности, а в материал для улучшения процессов и делает организацию устойчивее к следующей атаке.