Кілька років тому кіберзлочинцю довелося б витратити чимало часу, щоб зібрати інформацію про компанію. Потрібно було шукати контакти, аналізувати відкриті джерела, намагатися зрозуміти структуру організації та знайти людей, які мають доступ до цінної інформації.

Сьогодні все значно простіше. Достатньо відкрити LinkedIn, корпоративний сайт або сторінки співробітників у соціальних мережах. Хто працює в компанії, хто відповідає за фінанси, хто керує IT-відділом, які технології використовуються, які проєкти реалізуються зараз — значна частина цієї інформації часто доступна публічно.

Саме тому сучасні кібератаки дедалі рідше починаються зі спроби зламати сервер чи знайти технічну вразливість. Значно частіше вони починаються з вивчення людей. Кіберзлочинці давно зрозуміли просту річ: переконати людину виконати потрібну дію часто легше, ніж обходити багаторівневий технічний захист.

Такий підхід називається соціальним інжинірингом. І хоча сама назва звучить майже академічно, на практиці йдеться про дуже прості речі: довіру, поспіх, авторитет, страх, бажання допомогти або небажання створювати конфлікт.

Що таке соціальний інжиніринг

Соціальний інжиніринг — це сукупність методів психологічного впливу, спрямованих на те, щоб змусити людину добровільно надати інформацію, підтвердити дію або виконати операцію, яка вигідна зловмиснику.

На відміну від класичного злому, соціальний інжиніринг не намагається подолати захист напряму. Він використовує людину як обхідний шлях. Якщо провести аналогію з офісною будівлею, то зловмисник може не ламати двері та не відключати сигналізацію. Йому достатньо переконати співробітника відчинити двері або провести його всередину як “відвідувача”.

У цифровому середовищі це працює так само. Людину переконують перейти за посиланням, ввести пароль, підтвердити вхід, відкрити вкладення, встановити програму або виконати платіж. У багатьох випадках жертва не відчуває, що робить щось небезпечне. Навпаки, вона часто впевнена, що допомагає колезі, виконує прохання керівника або реагує на важливе попередження служби безпеки.

Чому соціальний інжиніринг працює навіть проти розумних людей

Поширена помилка — вважати, що соціальний інжиніринг працює лише проти недосвідчених користувачів. Насправді жертвами таких атак регулярно стають керівники компаній, IT-фахівці, юристи, бухгалтери та фінансові директори. Проблема не в тому, що ці люди не розуміють ризиків. Проблема в тому, що соціальний інжиніринг використовує не нестачу знань, а особливості людської психології.

Люди схильні довіряти авторитетам. Ми швидше реагуємо на повідомлення, які виглядають терміновими. Нам складніше відмовити керівнику, клієнту або партнеру, якщо прохання здається логічним. Ми прагнемо швидко завершувати завдання і часто діємо автоматично, особливо коли виконуємо знайомі операції.

Саме тому багато атак побудовані навколо авторитету, терміновості або страху. Шахрай може представитися директором компанії, співробітником банку, спеціалістом технічної підтримки або представником партнера. Його головне завдання — створити ситуацію, у якій людина перестає спокійно аналізувати деталі та починає діяти на автоматі.

Особливо ефективно це працює у робочому середовищі. Люди звикли отримувати багато листів, швидко відповідати в месенджерах, підтверджувати запити та виконувати доручення. Якщо підроблений лист або дзвінок добре вписується у звичний робочий контекст, ризик помилки суттєво зростає.

Як готується сучасна атака

Сучасний соціальний інжиніринг рідко починається з першого листа. Найчастіше атака готується заздалегідь. Зловмисник вивчає сайт компанії, відкриті профілі співробітників, новини, вакансії, публікації у соціальних мережах та інші доступні джерела.

Наприклад, на сайті компанії можна знайти імена керівників, напрямки діяльності та контактні адреси. У LinkedIn — дізнатися, хто відповідає за фінанси, хто працює в IT-відділі, хто нещодавно приєднався до команди або шукає нову роботу. У вакансіях часто прямо зазначено, які сервіси використовує компанія: Microsoft 365, Google Workspace, GitHub, GitLab, CRM, ERP чи інші системи.

Після цього атака може виглядати дуже переконливо. Бухгалтер отримує лист нібито від керівника. IT-фахівець — запит нібито від нового співробітника. Менеджер — документ від потенційного партнера. У листі згадується реальний проєкт, реальна посада або справжній контекст роботи компанії.

Саме тому сучасні атаки дедалі менше схожі на масові розсилки з очевидними помилками. Вони стають персоналізованими, підготовленими та психологічно точними. І це робить їх значно небезпечнішими.

Найпоширеніші види соціального інжинірингу

Соціальний інжиніринг давно вийшов за межі електронної пошти. Сьогодні зловмисники використовують усі канали, через які люди звикли отримувати інформацію та приймати рішення.

Фішинг

Фішинг залишається найвідомішим видом соціального інжинірингу. Користувач отримує лист або повідомлення з посиланням на підроблений сайт, який зовні практично не відрізняється від справжнього. Після введення логіна, пароля або коду підтвердження доступ переходить до зловмисника.

Особливо небезпечні фішингові атаки на корпоративну пошту, хмарні сервіси, VPN, CRM, GitHub, GitLab та інші системи, де один скомпрометований обліковий запис може відкрити шлях до значно ширшої інфраструктури.

Vishing

Vishing — це телефонне шахрайство. Атакувальник телефонує від імені банку, технічної підтримки, служби безпеки, партнера або навіть керівника компанії. У розмові він створює тиск, використовує професійну лексику та поступово підводить людину до потрібної дії.

Телефонний дзвінок часто сприймається переконливіше, ніж лист. Голос створює відчуття особистого контакту, а швидкий темп розмови не залишає часу на спокійну перевірку деталей.

Smishing

Smishing — це атаки через SMS або месенджери. Повідомлення про заблоковану картку, доставку посилки, штраф, підозрілий вхід або необхідність термінового підтвердження давно стали звичним інструментом шахраїв.

Особливість таких атак у тому, що люди часто відкривають повідомлення зі смартфона. На маленькому екрані складніше помітити підозрілий домен, дивну адресу або інші ознаки підробки.

Business Email Compromise та CEO Fraud

Окрему категорію становлять атаки на бізнес-листування. У таких сценаріях шахраї видають себе за керівника компанії, фінансового директора, постачальника або партнера. Мета — змусити співробітника здійснити платіж, змінити реквізити або надати доступ до важливої інформації.

Цікаво, що в багатьох випадках жодного технічного злому не відбувається. Уся атака базується на довірі, авторитеті та правильно побудованій комунікації. Саме тому такі інциденти часто важко пояснити лише “помилкою користувача”. Це радше помилка процесу, у якому критична дія могла бути виконана без достатньої перевірки.

Чому навчання співробітників не вирішує проблему повністю

Коли мова заходить про захист від соціального інжинірингу, одним із перших рішень зазвичай стає навчання персоналу. І це правильний крок. Працівники повинні знати ознаки фішингових листів, розуміти ризики телефонного шахрайства, вміти перевіряти підозрілі посилання та не передавати конфіденційну інформацію стороннім людям.

Але навчання має межі. Люди працюють у реальних умовах, а не в лабораторії. Вони втомлюються, поспішають, відволікаються на дзвінки, наради та десятки паралельних задач. Навіть найдосвідченіший співробітник не може гарантувати стовідсоткову уважність щодня протягом багатьох років.

Саме тому сучасна кібербезпека поступово переходить від концепції “не помиляйтеся” до концепції “система повинна залишатися безпечною навіть тоді, коли людина помилилася”. Це не означає, що навчання не потрібне. Це означає, що навчання має бути лише одним із рівнів захисту, а не єдиною лінією оборони.

Паролі як головна мішень соціального інжинірингу

Більшість атак соціального інжинірингу так чи інакше пов’язані з отриманням доступу до облікових записів. А головним інструментом доступу протягом десятиліть залишався пароль.

Основна проблема пароля полягає в тому, що він є секретом, який людина здатна передати іншій людині. Не має значення, наскільки складною є комбінація символів. Пароль можна ввести на підробленому сайті, повідомити телефоном, записати на аркуші паперу або випадково зберегти у незахищеному місці.

Для невеликої команди пароль може здаватися прийнятним компромісом. Але коли компанія росте, з’являються віддалені співробітники, підрядники, хмарні сервіси, адміністраторські облікові записи та десятки інтеграцій, пароль поступово перетворюється на управлінський борг.

Він дешевий на старті, але може дуже дорого коштувати після інциденту.

MFA: важливий крок, але не завжди фінальна відповідь

Багатофакторна автентифікація стала логічною відповіддю на недоліки паролів. Додатковий фактор у вигляді SMS-коду, мобільного застосунку, push-повідомлення або апаратного токена значно підвищує рівень захисту та ускладнює компрометацію облікового запису.

Для багатьох компаній впровадження MFA вже є великим кроком уперед. Особливо якщо раніше доступ до пошти, VPN або хмарних сервісів захищався лише паролем. Але важливо розуміти, що не всі варіанти MFA однаково захищають від соціального інжинірингу.

SMS-код можна виманити. Одноразовий код із застосунку можна ввести на фішинговому сайті. Push-повідомлення можна підтвердити випадково або після серії настирливих запитів. У деяких атаках користувач отримує десятки push-повідомлень поспіль. Після кількох хвилин такого “бомбардування” людина просто натискає кнопку підтвердження, щоб припинити потік сповіщень. Такий механізм часто називають MFA fatigue.

Тому питання вже не лише в тому, чи використовує компанія багатофакторну автентифікацію. Важливо, яку саме MFA вона використовує і чи здатна ця система протистояти фішингу та маніпуляціям.

FIDO2 та фішингостійка автентифікація

Одним із найперспективніших напрямків розвитку корпоративної кібербезпеки сьогодні є фішингостійка автентифікація на базі стандартів FIDO2 та WebAuthn.

На відміну від паролів і одноразових кодів, користувач не передає серверу секретну інформацію, яку можна викрасти або повторно використати. Для кожного ресурсу створюється окрема криптографічна пара ключів. Відкритий ключ зберігається на сервері, а приватний залишається всередині автентифікатора.

Якщо користувач випадково потрапляє на підроблений сайт, автентифікатор просто не може використати ключі, створені для справжнього сервісу. Фактично система починає захищати користувача навіть у ситуації, коли він сам припустився помилки.

Саме тому FIDO2 розглядається як один із найефективніших способів протидії сучасним атакам соціального інжинірингу та фішингу. Це вже не просто ще один фактор входу, а зміна самої архітектури доступу.

Чому це питання керівництва, а не лише IT-відділу

Соціальний інжиніринг часто сприймають як проблему IT-відділу. Проте його наслідки майже завжди виходять далеко за межі технічної площини. Компрометація облікового запису може призвести до простою бізнесу, фінансових втрат, витоку даних, репутаційних ризиків та втрати довіри клієнтів.

Керівник не зобов’язаний розбиратися в криптографії, протоколах автентифікації або технічних деталях FIDO2. Але саме керівництво визначає, який рівень ризику є прийнятним для компанії та які ресурси бізнес готовий інвестувати в захист.

Якщо після інциденту з’ясовується, що критичні системи були захищені лише паролями або застарілими методами MFA, питання буде не лише до IT. Питання буде до управлінського рішення залишити все саме так.

Саме тому захист від соціального інжинірингу варто розглядати як частину управління ризиками, а не як окреме технічне завдання.

Нормативна база та міжнародні рекомендації

Необхідність переходу на фішингостійку автентифікацію підтверджується низкою авторитетних міжнародних стандартів і керівних документів. Їхні вимоги та рекомендації формують нормативний контекст, у якому використання FIDO2-автентифікаторів стає галузевою нормою, а не лише технічною перевагою.

NIST SP 800-63-3 та SP 800-63-4 — Digital Identity Guidelines (США)

Американський Національний інститут стандартів і технологій (NIST) у своїх настановах з цифрової ідентифікації запровадив трирівневу модель гарантії автентифікації (AAL — Authentication Assurance Levels). Вже у версії SP 800-63-3 фішингостійка автентифікація на основі криптографічних ключів стала обов’язковою вимогою для рівнів AAL2 та AAL3. Оновлена версія SP 800-63-4 (2025) закріпила FIDO2/WebAuthn як еталонний механізм фішингостійкої автентифікації та прямо назвала passkeys у вимогах до AAL2 і AAL3. Документ також підкреслює, що автентифікатори, вихідні дані яких можна перехопити або відтворити (SMS-коди, push-підтвердження, OTP-застосунки), не є фішингостійкими і не відповідають вищим рівням гарантії.

FATF — Guidance on Digital Identity (2020)

Група з розробки фінансових заходів (FATF) — міжурядовий орган, що встановлює стандарти протидії відмиванню коштів та фінансуванню тероризму, — вперше включила автентифікацію до своїх настанов з належної перевірки клієнтів саме у документі “Guidance on Digital Identity” 2020 року. FATF офіційно визнав FIDO схваленим методом автентифікації та зазначив, що паролі та інші спільні секрети вразливі до фішингових атак і не забезпечують належного рівня захисту. Цей документ є особливо значущим для фінансового сектору: він формує очікування регуляторів щодо надійності засобів автентифікації при відкритті рахунків та обслуговуванні клієнтів у цифровому середовищі.

ENISA — Digital Identity Standards (2023)

Агентство ЄС з кібербезпеки (ENISA) у звіті “Digital Identity Standards” (липень 2023 року) провело комплексний аналіз стандартів цифрової ідентифікації в контексті впровадження регламенту eIDAS 2.0 та Гаманця цифрової ідентичності ЄС (EUDI Wallet). Звіт детально описує стандарти FIDO2, FIDO U2F та FIDO UAF, а також констатує, що рівень зрілості стандартів FIDO є високим. ENISA підтвердила рекомендацію використовувати FIDO для двофакторної автентифікації, яка вперше була сформульована у спільній публікації “Boosting your Organisation’s Cyber Resilience” 2022 року. Таким чином, для організацій, що працюють або планують працювати на ринку ЄС, застосування FIDO2 набуває характеру регуляторного очікування.

Отже, впровадження FIDO2-автентифікації — це не лише технічне рішення команди безпеки. Це відповідь на консолідовану позицію провідних регуляторних і стандартизаційних органів світу, які одностайно визнають фішингостійку автентифікацію необхідним елементом сучасної архітектури захисту цифрової ідентичності.

Як бізнесу побудувати ефективний захист

Ефективний захист від соціального інжинірингу завжди складається з кількох рівнів. Перший рівень — навчання співробітників та формування культури кібербезпеки. Люди повинні розуміти, які ризики існують, як виглядають типові атаки та чому не можна передавати паролі, коди або доступи навіть у відповідь на переконливі запити.

Другий рівень — чіткі бізнес-процеси. Критичні операції, фінансові платежі, зміни реквізитів, надання доступів та інші важливі дії мають проходити додаткову перевірку. У компанії повинні існувати зрозумілі правила: хто має право ініціювати такі дії, хто їх підтверджує і яким каналом комунікації це робиться.

Третій рівень — багатофакторна автентифікація для всіх важливих систем. Пошта, хмарні сервіси, VPN, CRM, ERP, репозиторії коду та адміністраторські облікові записи не повинні бути захищені лише паролем.

Четвертий рівень — фішингостійка автентифікація для критичних ролей: керівництва, адміністраторів, фінансових служб, IT-команди та співробітників, які мають доступ до конфіденційної інформації або критичних систем.

Жоден окремий інструмент не гарантує абсолютного захисту. Проте правильне поєднання організаційних і технічних заходів дозволяє істотно знизити ризики та зробити більшість атак економічно невигідними для зловмисників.

Не впевнені, наскільки захищені ваші облікові записи?

Соціальний інжиніринг використовує людський фактор, тому навіть добре підготовлені співробітники можуть припускатися помилок. Важливо, щоб одна помилка не призвела до серйозних наслідків для бізнесу.

Ми допоможемо оцінити поточні механізми автентифікації та підкажемо, які рішення дозволять зменшити ризики фішингу, компрометації облікових записів та інших сучасних атак.

Обговорити рішення

Висновок

Соціальний інжиніринг існує стільки ж, скільки існує людська довіра. Змінилися лише канали комунікації та технології. Сучасні атаки дедалі рідше намагаються подолати захист напряму. Натомість вони шукають людину, яка добровільно допоможе обійти цей захист.

Саме тому захист від соціального інжинірингу не може обмежуватися лише навчанням персоналу або черговою пам’яткою про підозрілі листи. Навчання важливе, але справжній захист починається тоді, коли архітектура доступу враховує людський фактор і не дозволяє одній помилці призвести до серйозних наслідків для бізнесу.

Сучасні механізми багатофакторної та фішингостійкої автентифікації дозволяють зменшити залежність від паролів, захистити критичні облікові записи та зробити соціальний інжиніринг значно менш ефективним.

І саме тому питання соціального інжинірингу сьогодні стає не лише технічною проблемою, а частиною управлінського рішення про те, як саме компанія захищає своїх людей, дані та бізнес.