Доверчивые лица: компании научатся выявлять уязвимых для аферистов сотрудников

Людей, восприимчивых к возможным атакам кибермошенников, теперь начнут заранее выявлять HR-службы компаний и предприятий. Для этого специалисты будут анализировать активность сотрудников в корпоративных системах и адаптировать к моделям их поведения программы обучения защите информации. Помочь бизнесу и госучреждениям перейти от реактивных мер борьбы с хакерами к предупреждению утечек должна помочь классификация социоинженерных атак, разработанная российскими учеными. О том, насколько она может быть эффективна и какие сегодня сценарии практикуют аферисты, — в материале «Известий».

Атаки-угрозы, атаки-поощрения и «медовые ловушки»

Чтобы повысить защищенность граждан и организаций от цифрового мошенничества, ученые РАНХиГС и Санкт-Петербургского Федерального исследовательского центра РАН разработали новый подход к систематизации социоинженерных атак.

— Большинство преступлений построено на методах социоинженерного воздействия на человека, — объясняет соавтор исследования, проректор по науке Президентской академии Артур Азаров. — Благодаря применению манипулятивных технологий перед жертвой разворачивается настоящее представление, с предъявлением подложных документов, постоянным вовлечением в переговоры с различными якобы должностными лицами. В случае успеха отдельных сценариев люди теряют существенные финансовые средства и несут репутационные издержки.

Есть разные подходы к защите пользователей от социоинженерных атак, но для их эффективного внедрения требуется анализ ситуации, подчеркивается в исследовании. Ключевой недостаток существующих систем — разрозненность описаний самих атак. Авторы же классификации впервые увязали все типы мошенничества с универсальной процессуальной цепочкой.

Первый этап — сбор информации: здесь формируется ложный, но правдоподобный сценарий: выигрыш в лотерее, блокировка счета, требование пройти диспансеризацию. Наличие этой фазы определяет, будет ли атака массовой или целевой, то есть на конкретного человека.

Второй этап — установление контакта. Ученые проанализировали семь основных каналов, включая фишинг через мессенджеры, создание фейковых профилей в соцсетях и на сайтах знакомств, поддельные веб-ресурсы. Особое внимание уделено трем типам инициации контакта: от неизвестного отправителя, известной организации или доверенного лица.

Третьим этапом стала эксплуатация отношений. Используемые манипуляции разделили на атаку-поощрение с обещанием выгоды и атаку-угрозу с шантажом блокировкой счета или утечкой данных. Яркий пример — «медовые ловушки», где мошенник создает привлекательный образ для выманивания средств.

Последний этап — реализация. Финалом атаки должно стать действие жертвы: раскрытие конфиденциальных данных, переход по вредоносной ссылке, установка зловредного ПО или авторизация на фейковом ресурсе.

— Классификация позволяет предусмотреть траектории атак и внедрить точечные меры профилактики на каждом этапе, — подчеркнула соавтор работы, советник проректора по науке Академии и ведущий научный сотрудник СПб ФИЦ РАН Татьяна Тулупьева. — Важный превентивный момент — распространение информации о многочисленных видах атак для широкой аудитории, чтобы любой пользователь имел возможность распознать воздействие, которое на него пытаются оказать злоумышленники.

Сохранить миллиарды

Для бизнеса и госучреждений это означает переход от реактивных мер к предиктивной аналитике. Например, HR-службы смогут выявлять сотрудников с высокой восприимчивостью к атакам-угрозам через анализ их активности в корпоративных системах и адаптировать программы обучения кибергигиене.

Службы информационной безопасности на основе такого решения смогут разрабатывать системы мониторинга, HR-департаменты создавать тренинги, а госорганы применять анализ при формировании программ цифровой грамотности.

Предложенная разработка позволит снизить успешность атак на 15–20% в среднесрочной перспективе, считает соавтор исследования, руководитель лаборатории прикладного искусственного интеллекта СПб ФИЦ РАН Максим Абрамов.

— Для экономики это означает сохранение миллиардов рублей, — подчеркнул он.

Уже сейчас классификация может объяснить новые схемы мошенничества, отмечают исследователи. Например, недавнюю волну атак, где жертве приходило письмо о «входе в кабинет Госуслуг с нового устройства» с требованием перезвонить по указанному номеру, об этом писали «Известия». Злоумышленники под видом службы поддержки выманивали реальные данные для доступа к аккаунтам.

Содержательная классификация видов атак с учетом психологических особенностей реакций позволяет в том числе и провести ревизию доступных инструментов противодействия, считает доктор экономических наук, профессор кафедры инженерной кибернетики НИТУ МИСИС Сергей Мишуров.

— Эти инструменты помогают отражать атаки как на уровне информационных систем, так и на уровне пользовательских устройств, — сказал эксперт. — В НИТУ МИСИС также регулярно отрабатываются методики противодействия кибермошенникам, исходя из реальных запросов бизнеса. Например, наши студенты разработали легковесный алгоритм для смартфона, который распознает дипфейки. Сейчас команда вместе с экспертами его совершенствует.

Работа вызывает интерес, поскольку актуальность защиты от любых видов атак в современной IT-инфраструктуре уже не считается тривиальной задачей, добавил профессор, доцент факультета безопасности информационных технологий Университета ИТМО Илья Лившиц. По его словам, практически все современные стандарты в области информационной безопасности учитывают полный спектр требований к выявлению сотрудников, потенциально склонных к деструктивным действиям.

— Многие компании ведут профилирование на базе собственных моделей рисков для формирования кадрового резерва, — сказал эксперт.

Кто доверяет мошенникам

Большинство компаний действуют реактивно — проводят обучение после инцидента или закупают технологии, которые блокируют уже известные угрозы, отметила руководитель направления Отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline) Кристина Буренкова.

— Предложенный подход позволяет внедрить предиктивную аналитику рисков, — сказала она. — Если упростить, бизнес получает возможность не ждать, когда сотрудник кликнет по фишинговой ссылке, а заранее оценить, насколько он вообще к этому склонен. Это кардинально меняет подход к управлению человеческим фактором — главным звеном в безопасности.

Ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов полагает, что новый инструмент может быть полезным — компании давно ищут способы просчитывать риски человеческого фактора, ведь именно он остается одним из главных векторов атак.

— Если подобные модели действительно смогут учитывать и поведенческие паттерны, и контекст, это даст HR и ИБ-службам шанс заранее работать с уязвимыми сотрудниками, а не только реагировать на инциденты, — сказал он. — При этом выявлять склонность к доверию мошенникам — задача крайне сложная. Подобным моделям требуется много времени на обучение внутри конкретной организации, чтобы снизить количество ложных срабатываний и более точно различать реальные риски от обычного рабочего поведения.

В кибератаках злоумышленники активно делают ставку на человеческий фактор, поэтому крайне важно учитывать это при выстраивании защиты организаций, указала ведущий эксперт Kaspersky GReAT Татьяна Шишкова.

— Даже самые внимательные и аккуратные пользователи в тот или иной момент времени рискуют попасться на уловки атакующих, например, из-за усталости, спешки, новой правдоподобной легенды злоумышленников, — отметила эксперт.

Наибольшему риску подвержены люди, у которых базовые навыки критического мышления развиты слабо или которые находятся в состоянии эмоционального напряжения, добавила психолог Мария Тодорова. В стрессовой ситуации, например при звонке «из банка» с сообщением о блокировке счета, у человека включается режим паники, и он перестает проверять достоверность информации.

— Выявлять таких людей можно как на уровне корпоративной профилактики, так и в массовых просветительских кампаниях, — пояснила она. — Для бизнеса и госструктур полезно учитывать личностные особенности сотрудников: кто более склонен поддаваться давлению, кто легче реагирует на обещания выгоды. Для гражданского общества важно развивать у людей способность распознавать манипуляции начиная с подросткового возраста.

Именно сочетание технической защиты и психологической профилактики способно снизить результативность атак, считают эксперты.

В последние годы преступность с использованием компьютеров и интернет-технологий быстро растет: с 2018 года их число выросло более чем в семь раз. А их удельный вес — с 15% до 40%, уточнил в феврале 2025 года на международной научно-практической конференции «Уголовно-правовое обеспечение информационной безопасности человечества» глава Следственного комитета Александр Бастрыкин.

«В 2024 году их зарегистрировано 765,4 тыс., что на 13,1% больше, чем в 2023 году, в том числе тяжких и особо тяжких составов — на 7,8%», — сказал глава ведомства.

Ущерб, причиненный гражданам мошенниками с января по август 2025 года, составил 134 млрд рублей, заявил замначальника следственного департамента МВД России Данил Филиппов на XXII Международном банковском форуме в конце сентября 2025 года. Это больше по сравнению с аналогичным периодом предыдущего года, когда ущерб составил 116 млрд рублей.