Голосовой фишинг впервые обогнал email как главный вектор начального доступа. По данным Mandiant M-Trends 2026, классические фишинговые письма упали до 6 % подтверждённых случаев первичного проникновения, тогда как вишинг вырос до 11 %, а в облачных инцидентах - до 23 %. Между первым звонком и передачей доступа следующей группировке проходит в среднем 22 секунды. Не минуты, не часы - двадцать две секунды на то, чтобы один разговор превратился в полномасштабный инцидент.

Эта статья - навигационный хаб по всей теме социальной инженерии: от классических методов до техник, которые стали реальностью только в последний год. Каждый раздел - точка входа, откуда можно уйти в детальный разбор.
Навигатор по теме

#ПодтемаПодробнее1Методы атак и практическая защита - фундаментальный обзорСоциальная инженерия: методы атак и практическая защита2QR-фишинг через linked devices в Signal - разбор техник APTВзлом Signal аккаунта через linked devices: технический разбор QR-фишинга российскими APT-группировками3Обход KYC-верификации через дипфейки и инъекцииОбход KYC верификации: дипфейки, инъекции и социальная инженерия в атаках на системы идентификации4Фишинг через Telegram и Signal - тактики APT-группФишинг через мессенджеры: как APT-группы атакуют Telegram и Signal и что с этим делать

Что такое социальная инженерия и почему она доминирует в 2026 году
Социальная инженерия - это не взлом системы, а взлом человека. Злоумышленник не ищет уязвимость в коде. Он ищет момент, когда сотрудник примет неверное решение: сбросит пароль по звонку, отправит документ в ответ на «срочную» просьбу руководителя, вставит команду в терминал по инструкции из браузера.

В рамках MITRE ATT&CK социальная инженерия охватывает целый кластер техник: от Phishing (T1566) и его подтехник - Spearphishing Attachment (T1566.001), Spearphishing Link (T1566.002), Spearphishing via Service (T1566.003), Spearphishing Voice (T1566.004) - до Phishing for Information (T1598) на этапе разведки, Impersonation (T1656) для обхода защитных мер и User Execution (T1204), когда жертва сама запускает вредоносный код.

Почему методы социальной инженерии продолжают работать? По данным Unit 42, 36 % всех инцидентов, расследованных в 2025 году, начались именно с социальной инженерии. Техническая защита - файрволы, EDR, SIEM - сильнее, чем когда-либо. Но атакующим не нужно их ломать. Достаточно позвонить на хелпдеск и представиться сотрудником. Группировка Scattered Spider (UNC3944), по данным Mandiant M-Trends 2026, за один звонок на IT-поддержку поднималась до уровня доменного администратора менее чем за 40 минут - без единого запуска вредоносного ПО.

Человеческий фактор в информационной безопасности остаётся слабым звеном не потому, что люди глупы. А потому, что атаки вписываются в нормальные рабочие процессы: сброс пароля, согласование платежа, обновление ПО. Каждое действие выглядит рутинным. Каждое может стать точкой компрометации.

Подробный разбор фундаментальных методов и защиты: Социальная инженерия: методы атак и практическая защита
10 видов социальной инженерии: полная классификация атак на человека
Виды социальной инженерии давно вышли за рамки «нигерийских писем». Вот систематизированная карта методов, актуальных в 2026 году:

МетодКаналКлючевой триггерMITRE ATT&CKФишинг (массовый)EmailНевнимательно� �тьT1566Целевой фишинг (spear phishing)Email, мессенджерыПерсонализация T1566.001, T1566.002Вишинг (voice phishing)ТелефонАвторитет, срочностьT1566.004Смишинг (SMS phishing)SMSСрочностьT1566.003Прете� �стингЛюбойДоверие к легендеT1656Baiting (ловушка)USB, скачиванияЛюбопытствоT1204Qui d pro quoТелефон, чатВзаимностьT1656TailgatingФизи� �еский доступВежливость-ClickFixБраузерТехническая тревогаT1204Deepfake-имперсонацияВидео, голосВизуальное довериеT1656

Каждый из этих методов - отдельная область экспертизы. Ниже я разберу ключевые направления, а для погружения в конкретные техники - используйте навигатор в начале статьи.
Фишинг, вишинг и смишинг: классическая триада получила голос
Фишинг атаки в 2026 году меняют облик. По статистике Anti-Phishing Working Group, во втором квартале 2025 года зафиксировано 1 130 393 фишинговые атаки - рост на 13 % к предыдущему кварталу. Согласно данным Cofense, в 2024 году фишинговые системы обрабатывали в среднем одно вредоносное письмо каждые 42 секунды.

Но главное изменение - не в количестве писем, а в смене канала. Вишинг - голосовой фишинг - впервые стал доминирующим вектором. Злоумышленники звонят на хелпдеск, представляются сотрудниками, просят сбросить MFA-токен или разблокировать учётную запись. Разговор длится три-пять минут. Никакого вредоносного ПО, никаких подозрительных вложений - только голос и убедительная легенда.

Смишинг развивается параллельно. Сотрудники получают SMS якобы от курьерской службы, банка или корпоративной системы. Ссылка ведёт на клон портала авторизации. На мобильных устройствах фильтрация значительно слабее, чем в корпоративной почте, и пользователи реагируют быстрее - по данным Verizon, медианное время клика по фишинговой ссылке после открытия письма составляет 21 секунду.

Практический takeaway - чеклист распознавания:

• Входящий звонок с просьбой сбросить пароль или MFA - перезвоните по номеру из корпоративного справочника, а не из представления звонящего
  
• SMS со ссылкой от «банка» или «доставки» - откройте сервис через закладку браузера, не по ссылке из сообщения
  
• Письмо с вложением от знакомого отправителя, но с нехарактерным стилем - подтвердите по альтернативному каналу
  
• Любой запрос конфиденциальных данных с ощущением срочности - пауза на верификацию обязательна

В российских реалиях, по данным Solar 4RAYS, в 2025 году десятки организаций в различных регионах получили письма, имитирующие уведомления от службы судебных приставов, с трояном DarkWatchman RAT во вложении.
Претекстинг и имперсонация: почему сотрудники верят звонящим
Претекстинг - это искусство создания легенды. В отличие от массового фишинга, здесь злоумышленник заранее готовит историю, которая будет выглядеть правдоподобно для конкретной жертвы. Он изучает структуру компании через LinkedIn и hh.ru, знает имена руководителей, названия проектов, внутреннюю терминологию.

В моей практике проведения Red Team-операций самые результативные претексты строились на трёх элементах: знание внутренней «кухни» компании, правильный тон общения и эксплуатация иерархии. В российских организациях последний фактор особенно силён - привычка исполнять указания «сверху» без лишних вопросов делает BEC-атаки (Business Email Compromise) разрушительно эффективными.

По данным FBI IC3, совокупные потери от BEC-атак с 2013 по 2023 год превысили 55,4 миллиарда долларов глобально. В 2024 году зафиксировано 21 442 жалобы на BEC с потерями свыше 2,7 миллиарда долларов.

Имперсонация как техника (MITRE ATT&CK T1656) выходит далеко за пределы email. Злоумышленники создают клоны аккаунтов в Telegram и WhatsApp, используют spoofing телефонных номеров через VoIP, а теперь - генерируют голос руководителя с помощью AI. Классический российский сценарий: бухгалтер получает сообщение от «генерального директора» в мессенджере с просьбой срочно оплатить счёт. Аватарка совпадает, стиль общения правдоподобен, а пометка «Не звони, я на совещании» блокирует верификацию.

Если вы бухгалтер или финансист - правило одно: любой запрос на перевод свыше установленной суммы подтверждается голосом по телефонному номеру из корпоративного справочника. Не из сообщения, не из подписи письма - из справочника.
Deepfake и генеративный AI: обман стал индустриальным
Психологические манипуляции в кибербезопасности вышли на новый уровень с появлением доступных инструментов генеративного AI. По данным исследований, количество deepfake-файлов в открытом доступе выросло с 500 тысяч в 2023 году до более чем 8 миллионов в 2025 году. Это не лабораторная угроза - это индустриальное производство обмана.

Реальные кейсы, задокументированные в 2025 году:

• Гонконг, январь 2025: мошенники использовали клонированный голос финансового менеджера для звонка через WhatsApp. Жертва перевела порядка 145 миллионов гонконгских долларов (около 18,5 миллиона USD) на подставные крипто-счета.
  
• CFO-мошенничество через видеозвонок: сотрудники мультинациональной компании участвовали в видеоконференции, где все участники, кроме жертвы, были deepfake-генерациями. Сумма потерь составила 25,6 миллиона долларов (по данным CNN).
  
• Обход голосовой биометрии: хакеры использовали deepfake-аудио для прохождения голосовой аутентификации банковских систем, что позволило провести несанкционированные операции на десятки миллионов.

Демократизация инструментов вроде ElevenLabs делает клонирование голоса доступным любому, кто имеет 30-секундный фрагмент речи жертвы - достаточно публичного выступления, подкаста или видео с LinkedIn.

Однако важно не поддаваться панике вокруг AI. Оценка Mandiant в M-Trends 2026 звучит так: 2025-й не стал годом, когда взломы были прямым результатом AI. Подавляющее большинство успешных проникновений по-прежнему происходят из-за человеческих и системных ошибок - слабой верификации личности, избыточных привилегий и непоследовательного применения MFA. AI делает социальную инженерию быстрее и убедительнее, но уязвимости, которые он эксплуатирует, существовали задолго до него.

Особенно уязвим малый бизнес: без выделенного SOC и зрелых процессов верификации AI-фишинг бьёт точнее и дешевле, чем любая традиционная атака. Подробнее о том, как детектировать угрозу, провести аудит и выстроить защиту: AI фишинг атаки на малый бизнес: detection, аудит и защита

Детальный разбор deepfake-атак на системы идентификации: Обход KYC верификации: дипфейки, инъекции и социальная инженерия в атаках на системы идентификации
ClickFix-кампании: рост на 517 % и пользователь как execution engine
Одна из самых тревожных тенденций 2025–2026 - ClickFix-атаки. По данным Cloud Range, их объём вырос на 517 % в 2025 году. Эти кампании не используют вредоносные вложения и не эксплуатируют программные уязвимости. Они эксплуатируют доверие пользователя к браузеру.

Сценарий ClickFix-атаки выглядит так:

1. Пользователь ищет в поисковике что-то обычное - «Zoom installer», «Outlook login»
   
2. Рекламная ссылка или отравленная поисковая выдача ведёт на клон легитимного сайта
   
3. Сайт показывает предупреждение: «Обнаружена подозрительная активность» или фейковую CAPTCHA
   
4. Пользователю предлагают «исправить проблему» - скопировать и вставить команду в терминал
   
5. Команда запускает PowerShell-скрипт, устанавливающий RAT (remote access trojan)

Ключевая особенность: пользователь сам инициирует выполнение кода (MITRE ATT&CK T1204 - User Execution). Endpoint-защита и веб-фильтры могут не сработать, потому что действие выглядит как легитимная активность пользователя. Браузер заменяет inbox как наиболее эксплуатируемая точка входа.

Защитная мера: блокировка запуска PowerShell для пользователей без административных прав через GPO. Команда
для пользовательских учётных записей - первый шаг. Но ещё важнее - обучение: ни один легитимный сервис никогда не попросит вас копировать команду в терминал.
Многоканальные атаки и фишинг через мессенджеры
Социальная инженерия в 2026 году - это не один канал. Это оркестрированная последовательность касаний через email, SMS, голос, мессенджеры и корпоративные платформы. Многоканальный подход повышает доверие жертвы на каждом этапе.

Типичная многоканальная атака разворачивается в три стадии:

Стадия 1 - первичный контакт по доверенному каналу. Сообщение в Slack или Teams от «коллеги» с упоминанием реального проекта. Никаких ссылок, никаких вложений - только контекст.

Стадия 2 - подкрепление через второй канал. Через несколько минут приходит email или звонок, ссылающийся на первое сообщение. Кросс-канальное подтверждение ломает скептицизм.

Стадия 3 - сбор учётных данных или действие. Ссылка на «корпоративный портал», PDF-счёт в рабочем пространстве или просьба подтвердить личность. К этому моменту жертва уже «одобрила» контекст через несколько точек контакта.

В России отдельную угрозу представляют атаки через Telegram и WhatsApp. Взлом аккаунта в мессенджере с последующей рассылкой по контактам жертвы - массовый сценарий. Но APT-группировки действуют тоньше: используют QR-фишинг для подключения к аккаунту через linked devices, получая постоянный доступ к переписке без перехвата пароля.

Подробно о техниках APT-групп в мессенджерах: Фишинг через мессенджеры: как APT-группы атакуют Telegram и Signal и что с этим делать

Технический разбор QR-фишинга в Signal: Взлом Signal аккаунта через linked devices: технический разбор QR-фишинга российскими APT-группировками
Атаки на IT-поддержку: 40 минут до доменного админа без единого эксплойта
Отдельная категория, которую русскоязычные источники практически не освещают, - целенаправленные социальная инженерия атаки на внутренние IT-процессы. Это не фишинг в привычном смысле. Это эксплуатация процедур поддержки.

Сценарий из реальной практики, задокументированный в отчёте Unit 42: злоумышленник звонит на хелпдеск, представляется новым сотрудником, просит сбросить пароль. Через сброс получает доступ к VPN. Через VPN - к внутренней сети. Через внутреннюю сеть - к Active Directory. От звонка до domain admin - менее 40 минут. Ни одного запуска вредоносного ПО. Ни одного срабатывания EDR.

Группировки вроде Scattered Spider используют эту тактику систематически. Они изучают процедуры верификации в компании через OSINT - например, какие вопросы задают при звонке на хелпдеск, какой формат внутренних заявок, какие системы используются для тикетов.

В российских компаниях атаки через HelpDesk, 1С и CRM приобретают специфику: злоумышленник оставляет заявку от имени «нового сотрудника» на выдачу доступа к учётным системам. Если процесс выдачи доступа не включает верификацию через руководителя подразделения - доступ выдаётся в рамках обычного рабочего процесса.

Что делать прямо сейчас:

• Внедрить callback-верификацию для всех запросов на сброс паролей и MFA-токенов
  
• Запретить сброс MFA по звонку - только через заявку с подтверждением руководителя
  
• Ограничить права хелпдеска: уровень доступа, который можно выдать через поддержку, не должен включать административные привилегии

Психологические триггеры: 5 рычагов, которые используют атакующие
Каждая успешная атака социальной инженерии опирается на предсказуемую реакцию человека. Вот пять триггеров, которые я использовал в Red Team-операциях, и которые используют реальные злоумышленники:

1. Срочность. «Перевод нужно сделать до 15:00, иначе контракт сорвётся.» Спешка отключает критическое мышление. По данным Verizon, медианное время от открытия фишингового письма до ввода данных - 49 секунд (21 секунда на клик + 28 секунд на заполнение формы). Меньше минуты.

2. Авторитет. «Я звоню от имени генерального директора.» Иерархическая культура российских организаций делает этот триггер особенно мощным. Сотрудник не задаёт лишних вопросов «начальству».

3. Страх. «Ваш аккаунт заблокирован», «Обнаружена подозрительная активность». Страх потери доступа или наказания заставляет действовать немедленно - именно этого и добиваются атакующие.

4. Взаимность. «Я помог вам с проблемой, теперь подтвердите мой запрос.» Quid pro quo - мощный социальный контракт. Человек чувствует себя обязанным.

5. Социальное доказательство. «Все в отделе уже прошли эту верификацию.» Если коллеги якобы сделали то же самое - внутренний барьер снижается.

Осведомлённость сотрудников в кибербезопасности должна строиться не на абстрактных лекциях, а на отработке конкретных сценариев с этими триггерами. По данным Verizon, средний показатель кликов на фишинг - 2,9 % сотрудников. Кажется мало? В компании на 1000 человек это 29 потенциальных точек входа.
Защита от социальной инженерии: практический чеклист для организаций
Защита от социальной инженерии - это не покупка одного продукта. Это процесс на четырёх уровнях: люди, процессы, технологии, метрики.
Уровень 1: Люди

• Регулярные симуляции фишинга через GoPhish или коммерческие платформы - не реже раза в квартал
  
• Тренировки вишинга: реальные звонки на бухгалтерию и хелпдеск с замером реакции
  
• Разбор кейсов после каждой симуляции - не «кто виноват», а «где процесс дал сбой»
  
• Геймификация: викторины, CTF-элементы, внутренние рейтинги подразделений

Уровень 2: Процессы

• Callback-верификация для любого запроса на сброс пароля, MFA, изменение платёжных реквизитов
  
• Двойное подтверждение финансовых операций свыше пороговой суммы (два независимых канала)
  
• Регламент обработки запросов из мессенджеров: ни один запрос конфиденциальных данных через Telegram или WhatsApp не выполняется без подтверждения по корпоративному каналу
  
• «Стоп-правило»: любой сотрудник имеет право взять паузу на верификацию, даже если запрос исходит от руководства

Уровень 3: Технологии

• Антифишинговые фильтры на почте с проверкой DMARC, DKIM, SPF
  
• Блокировка запуска PowerShell и cmd для непривилегированных пользователей
  
• MFA, устойчивая к фишингу: аппаратные ключи FIDO2 вместо SMS-кодов
  
• Мониторинг аномалий в процессах идентификации: всплеск запросов на сброс паролей, нетипичные гео-логины

Уровень 4: Метрики
Без измерений нет улучшений. Вот ключевые метрики для управления рисками социальной инженерии:

МетрикаЦелевое значениеКак измерятьClick rate на фишинг-симуляции 95 %LMS-платформа

30-дневный план усиления защиты от социальной инженерии
Большинство организаций знают о проблеме, но не знают, с чего начать. Вот конкретный план:

Дни 1–7 - аудит текущего состояния:

• Провести «слепую» фишинг-симуляцию (email + вишинг) без предупреждения сотрудников
  
• Проверить процедуру сброса паролей на хелпдеске: позвонить и попытаться сбросить пароль тестовой учётной записи без прохождения верификации
  
• Собрать данные: кто кликнул, кто сообщил, сколько времени прошло до реакции

Дни 8–14 - закрытие критических разрывов:

• Внедрить callback-верификацию для сброса MFA и паролей
  
• Настроить DMARC в режиме reject для корпоративного домена
  
• Ограничить запуск PowerShell через GPO для рядовых пользователей

Дни 15–21 - обучение:

• Провести разбор результатов симуляции с командами (без «позора» - только анализ паттернов)
  
• Запустить короткий awareness-модуль по актуальным сценариям: вишинг, ClickFix, мессенджер-фишинг
  
• Раздать памятку с «красными флагами» и контактом для репорта

Дни 22–30 - верификация:

• Повторить фишинг-симуляцию и сравнить click rate с первой
  
• Зафиксировать baseline-метрики для ежеквартального трекинга
  
• Задокументировать обновлённые процедуры и назначить ответственных

Куда движется социальная инженерия: экспертный прогноз
Генеративный AI не создал новую проблему - он ускорил существующую. Phishing-as-a-service с AI-шаблонами стоит от 200 долларов в месяц на криминальных форумах. Deepfake-инструменты стали массовым продуктом. Голосовой фишинг обогнал email. ClickFix превращает пользователя в собственный execution engine.

Но суть не меняется: атаки работают, потому что организации не проверяют запросы, дают избыточные привилегии и не тренируют людей на реальных сценариях. По оценке Mandiant, инвестиции в исправление процессных разрывов - верификации, минимальных привилегий, сегментации доступа - дадут больше отдачи, чем паника вокруг AI-угроз.

В ближайший год ожидайте: рост атак через корпоративные мессенджеры и платформы коллаборации (Teams, Slack), усиление ClickFix-кампаний через отравление поисковой выдачи, и дальнейшую интеграцию deepfake в multi-channel атаки. Организации, которые не внедрят callback-верификацию и phishing-resistant MFA в 2026 году, будут терять деньги на тех же сценариях, что и сегодня - просто с более убедительным голосом на другом конце провода.
Проверьте готовность вашей команды
Codeby проводит Red Team-операции с полным покрытием социальной инженерии: целевой фишинг, вишинг, физическое проникновение, атаки через мессенджеры. Мы не просто проверяем - мы строим процессы, которые закрывают выявленные разрывы. Свяжитесь с нами для оценки устойчивости вашей организации к атакам на человеческий фактор.
Вопрос к читателям
Scattered Spider поднимается от звонка на хелпдеск до domain admin за 40 минут - без малвари, только через социальный претекст и стандартные инструменты AD. Какую конкретную процедуру callback-верификации вы используете (или планируете внедрить) для запросов на сброс MFA через хелпдеск? Интересует формат: кто инициирует обратный звонок, по какому номеру, какие данные запрашиваются для подтверждения, как обрабатываются запросы в нерабочее время. Поделитесь конфигурацией - соберём лучшие практики.

```