Більшість успішних атак на компанії сьогодні починаються не зі зламу серверів, а з одного листа, дзвінка чи повідомлення в месенджері. Зловмисники грають на довірі, поспіху та бажанні співробітника «просто виконати роботу». Це і є соціальна інженерія — маніпуляція людьми замість технікою. Розуміння того, як вона працює, — перший і найважливіший крок до захисту бізнесу.

Що таке фішинг і соціальна інженерія простими словами

Фішинг — це спроба виманити дані, гроші чи доступ під виглядом легального листа, повідомлення або дзвінка: від «банку», «постачальника», «податкової» чи навіть «керівника компанії». Соціальна інженерія — ширше поняття: будь-яка маніпуляція, що змушує людину порушити звичні правила безпеки — передати пароль, змінити реквізити оплати, відкрити вкладення, впустити «сервісного техніка» в офіс.

Головна відмінність від технічного злому в тому, що атакують не програму, а психологію: авторитет, терміновість, страх помилки, бажання допомогти колезі.

Типові сценарії атак на бізнес

  • Лист від «керівника» — прохання терміново оплатити рахунок або купити подарункові картки, поки «начальник у відрядженні й недоступний».
  • Підміна постачальника — лист нібито від партнера з новими банківськими реквізитами для оплати за вже узгодженим договором.
  • Фальшива техпідтримка — дзвінок «з ІТ-відділу» або від «служби підтримки» популярного сервісу з проханням встановити програму віддаленого доступу.
  • Фішингові сторінки входу — копія сторінки пошти, банку чи корпоративного порталу, що краде логін і пароль.
  • Атака через HR або бухгалтерію — фальшиве резюме чи «акт звірки» із шкідливим вкладенням.
  • Атака через соцмережі та месенджери — особисте повідомлення співробітнику від імені «партнера» або «клієнта» з проханням щось відкрити чи переказати кошти.

Червоні прапорці, які варто помітити

  • Незвична терміновість і тиск: «зробіть зараз, інакше буде проблема».
  • Прохання діяти в обхід звичної процедури — без другого підтвердження, без узгодження з бухгалтерією.
  • Зміна реквізитів оплати «раптово», особливо ближче до кінця дня чи перед вихідними.
  • Адреса відправника трохи відрізняється від справжньої (зайва буква, інший домен).
  • Прохання передати пароль, код підтвердження або встановити невідому програму.
  • Спроба уникнути перевірки через офіційний номер телефону чи інший канал зв'язку.
  • Емоційний тиск: погрози, обіцянки покарання, апеляція до авторитету «згори».

Як перевірити підозрілий контакт

  • Зв'яжіться з відправником через окремий, вже відомий канал — офіційний номер телефону чи пошту з сайту компанії, а не з контактів у самому листі.
  • Перевірте домен пошти вручну — уважно, символ за символом.
  • Якщо йдеться про компанію-партнера чи постачальника — перевірте її в незалежному джерелі: офіційному реєстрі компаній, сервісі перевірки бізнесу з відгуками, публічній інформації про засновників і роки роботи.
  • Будь-яку зміну банківських реквізитів підтверджуйте голосом за раніше відомим номером, а не через новий контакт у листі.
  • Не відкривайте вкладення і не переходьте за посиланнями, якщо є найменший сумнів — краще запитати колегу чи керівника.

Як захистити компанію системно

  • Правило подвійного підтвердження для платежів. Будь-яка зміна реквізитів чи великий переказ — тільки після підтвердження другою особою іншим каналом зв'язку.
  • Навчання співробітників. Регулярні короткі інструктажі й приклади реальних схем працюють краще за одноразові лекції.
  • Чіткі процедури. Пропишіть, хто і як може змінювати реквізити, авторизувати платежі, надавати доступ до систем — і дотримуйтесь цього без винятків «для VIP-клієнта».
  • Двофакторна автентифікація на пошті, банківських і корпоративних сервісах суттєво знижує ризик навіть при викраденому паролі.
  • Культура «можна перепитати». Співробітник не повинен боятися зупинити підозрілий платіж чи перепитати керівника — навіть якщо лист виглядає терміново і «зверху».
  • Перевірка нових контрагентів перед укладенням угоди чи оплатою: реєстраційні дані, реальна адреса, відгуки та історія роботи на ринку.

Що робити, якщо атака вже відбулась

  • Негайно повідомте банк, якщо гроші вже переказані — іноді платіж можна зупинити або відкликати.
  • Змініть паролі й перевірте доступи до всіх систем, де могли бути скомпрометовані дані.
  • Повідомте колег і партнерів, якщо атака могла зачепити й їх (наприклад, через скомпрометовану поштову скриньку).
  • Зверніться до кіберполіції або відповідного підрозділу правоохоронних органів — навіть якщо суму не вдасться повернути, заява допоможе в розслідуванні та може попередити інші компанії.
  • Проаналізуйте, що саме спрацювало, і оновіть внутрішні процедури, щоб закрити цю вразливість.

Фішинг і соціальна інженерія розраховані на швидкість і довіру. Тому найкращий захист — уповільнити процес прийняття рішень там, де йдеться про гроші чи доступ, і зробити перевірку звичною частиною роботи, а не винятком.