Атаки и социальная инженерия
Социальная инженерия — взлом не системы, а человека: жертву обманом убеждают самой отдать пароль, деньги или доступ.
Что такое Атаки и социальная инженерия
Социальная инженерия — это методы атаки, которые нацелены не на уязвимость в коде, а на человека. Атакующий не подбирает пароль и не ищет дыру в Nginx — он звонит, пишет письмо или разворачивает поддельную страницу и убеждает жертву самостоятельно отдать пароль, перевести деньги или запустить файл.
Работает это потому, что эксплуатирует не логику, а базовые реакции: страх («ваш счёт заблокируют»), спешку («решение нужно за 10 минут»), уважение к авторитету («это служба безопасности банка»), желание помочь. Ни один файрвол от такого не спасает — сотрудник совершает действия под своей легитимной учёткой, и для системы это штатная работа.
Основные приёмы
| Приём | Суть | Типичный сценарий |
|---|---|---|
| Фишинг | Массовая рассылка с поддельной ссылкой | «Подтвердите пароль», ссылка на клон формы входа |
| Целевой фишинг (spear phishing) | Письмо под конкретного человека, с деталями | Письмо «от гендиректора» бухгалтеру |
| Вишинг | Голосом, по телефону | «Служба безопасности банка», подмена номера |
| Претекстинг | Выдуманный правдоподобный повод | «Я из подрядчика по 1С, дайте доступ» |
| Байтинг | Приманка | Флешка «Зарплаты 2026» на парковке |
| Quid pro quo | Услуга в обмен на доступ | «Помогу починить VPN, продиктуйте код» |
| Tailgating | Проход за сотрудником через турникет | Физическое проникновение в офис или ЦОД |
Что такое брутфорс
Брутфорс (brute force, «грубая сила») — это уже не социальная инженерия, а её техническая противоположность: полный перебор вариантов пароля или ключа, пока не совпадёт. Разновидности:
- Классический перебор — все комбинации подряд. Против длинных паролей бесполезен.
- Словарная атака — перебор по списку реальных паролей из утечек. Основной рабочий вариант.
- Credential stuffing — подстановка пар «логин-пароль» из чужих утечек. Работает на тех, кто использует один пароль везде.
- Password spraying — один популярный пароль против тысяч аккаунтов. Обходит блокировку по числу попыток.
На практике брутфорс и социальная инженерия комбинируются: сначала фишинг собирает логины, потом их перебирают. Защита от перебора — лимит попыток, 2FA, длинные уникальные пароли из менеджера паролей, запрет парольного входа по SSH в пользу ключей.
# отключить парольную аутентификацию SSH — снимает 99% брутфорса с сервера
sed -i 's/^#\?PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
systemctl restart sshd
Спуфинг и антиспуфинг
Спуфинг — подмена идентификатора отправителя, чтобы жертва поверила источнику: подмена адреса в шапке письма, номера звонящего, IP-адреса в пакете, DNS-ответа. Антиспуфинг — совокупность мер, доказывающих подлинность отправителя.
Для почты это три записи в DNS, которые нужно настроить на любом домене:
SPF v=spf1 ip4:203.0.113.10 include:_spf.example.net -all
DKIM подпись письма приватным ключом, публичный — в TXT-записи
DMARC v=DMARC1; p=reject; rua=mailto:dmarc@example.com
Без них ваш домен можно свободно использовать в фишинговых рассылках. В биометрии антиспуфингом называют другое — liveness detection, распознавание живого человека вместо фотографии или дипфейка.
Как защищаются
Технические меры лишь снижают ущерб: 2FA обесценивает украденный пароль, DLP ловит отправку файла наружу, SIEM видит вход из другой страны. Основное — процессы: регулярные учебные фишинговые рассылки, правило «второй канал» для любого платежа, культура, где «я тормознул и переспросил» поощряется, а не наказывается.
Связанные термины
- Двухфакторная аутентификация — главный технический барьер против кражи пароля
- Несанкционированный доступ — типичный результат успешной атаки
- Менеджеры паролей — защита от брутфорса и credential stuffing
- Информационная безопасность — общий контекст
- Инцидент ИБ — что оформляют после успешного фишинга
Готовы запустить GPU-задачу?
Запустить GPU-сервер