Security

Атаки и социальная инженерия

Социальная инженерия — взлом не системы, а человека: жертву обманом убеждают самой отдать пароль, деньги или доступ.

Что такое Атаки и социальная инженерия

Социальная инженерия — это методы атаки, которые нацелены не на уязвимость в коде, а на человека. Атакующий не подбирает пароль и не ищет дыру в Nginx — он звонит, пишет письмо или разворачивает поддельную страницу и убеждает жертву самостоятельно отдать пароль, перевести деньги или запустить файл.

Работает это потому, что эксплуатирует не логику, а базовые реакции: страх («ваш счёт заблокируют»), спешку («решение нужно за 10 минут»), уважение к авторитету («это служба безопасности банка»), желание помочь. Ни один файрвол от такого не спасает — сотрудник совершает действия под своей легитимной учёткой, и для системы это штатная работа.

Основные приёмы

Приём Суть Типичный сценарий
Фишинг Массовая рассылка с поддельной ссылкой «Подтвердите пароль», ссылка на клон формы входа
Целевой фишинг (spear phishing) Письмо под конкретного человека, с деталями Письмо «от гендиректора» бухгалтеру
Вишинг Голосом, по телефону «Служба безопасности банка», подмена номера
Претекстинг Выдуманный правдоподобный повод «Я из подрядчика по 1С, дайте доступ»
Байтинг Приманка Флешка «Зарплаты 2026» на парковке
Quid pro quo Услуга в обмен на доступ «Помогу починить VPN, продиктуйте код»
Tailgating Проход за сотрудником через турникет Физическое проникновение в офис или ЦОД

Что такое брутфорс

Брутфорс (brute force, «грубая сила») — это уже не социальная инженерия, а её техническая противоположность: полный перебор вариантов пароля или ключа, пока не совпадёт. Разновидности:

  • Классический перебор — все комбинации подряд. Против длинных паролей бесполезен.
  • Словарная атака — перебор по списку реальных паролей из утечек. Основной рабочий вариант.
  • Credential stuffing — подстановка пар «логин-пароль» из чужих утечек. Работает на тех, кто использует один пароль везде.
  • Password spraying — один популярный пароль против тысяч аккаунтов. Обходит блокировку по числу попыток.

На практике брутфорс и социальная инженерия комбинируются: сначала фишинг собирает логины, потом их перебирают. Защита от перебора — лимит попыток, 2FA, длинные уникальные пароли из менеджера паролей, запрет парольного входа по SSH в пользу ключей.

# отключить парольную аутентификацию SSH — снимает 99% брутфорса с сервера
sed -i 's/^#\?PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
systemctl restart sshd

Спуфинг и антиспуфинг

Спуфинг — подмена идентификатора отправителя, чтобы жертва поверила источнику: подмена адреса в шапке письма, номера звонящего, IP-адреса в пакете, DNS-ответа. Антиспуфинг — совокупность мер, доказывающих подлинность отправителя.

Для почты это три записи в DNS, которые нужно настроить на любом домене:

SPF    v=spf1 ip4:203.0.113.10 include:_spf.example.net -all
DKIM   подпись письма приватным ключом, публичный — в TXT-записи
DMARC  v=DMARC1; p=reject; rua=mailto:dmarc@example.com

Без них ваш домен можно свободно использовать в фишинговых рассылках. В биометрии антиспуфингом называют другое — liveness detection, распознавание живого человека вместо фотографии или дипфейка.

Как защищаются

Технические меры лишь снижают ущерб: 2FA обесценивает украденный пароль, DLP ловит отправку файла наружу, SIEM видит вход из другой страны. Основное — процессы: регулярные учебные фишинговые рассылки, правило «второй канал» для любого платежа, культура, где «я тормознул и переспросил» поощряется, а не наказывается.

Связанные термины

Готовы запустить GPU-задачу?

Запустить GPU-сервер