Социальная инженерия

Социальная инженерия

Социальная инженерия — психологическое манипулирование людьми с целью совершения ими определённых действий или разглашения конфиденциальной информации. В отличие от технического взлома, атака эксплуатирует доверие, страх и срочность: жертва сама переводит деньги, называет код или проходит верификацию в интересах мошенника. Не регулируется отдельным законом; атаки квалифицируются по ст. 159, 159.3, 159.6, 272 УК РФ. Применяется в финтехе, онлайн-банкинге, корпоративной среде и при онбординге клиентов.

Кратко:

  • Основные виды: фишинг, вишинг, смишинг, претекстинг, дипфейк-атаки, спир-фишинг
  • Более 94% хищений у клиентов банков совершены через социальную инженерию (F6, 2025–2026)
  • KYC не защищает от дропа — нужны поведенческий антифрод и мониторинг транзакций
  • Дипфейки позволяют обойти liveness-детекцию: синтетическая личность на нелегальных площадках от $5
  • Ответ бизнеса: многоуровневая архитектура (liveness + device fingerprint + мониторинг по 375-П)

Социальная инженерия атакует человека, а не систему. По данным Банка России, в 2025 году мошенники похитили 29,3 млрд рублей, и подавляющее большинство успешных хищений совершено через манипуляцию: жертву убеждают самостоятельно перевести деньги или раскрыть данные. По оценке компании F6, более 94% инцидентов с хищением средств клиентов финансовых организаций связаны с применением социальной инженерии.

Фишинг — наиболее распространённая форма атаки. Вишинг, смишинг, претекстинг, приманка и СМС-бомбинг — разновидности единого подхода: злоумышленник создаёт правдоподобный контекст, в котором жертва действует сама. Генеративные модели ИИ в 2025–2026 годах радикально ускорили и удешевили все три составляющих — убедительный источник, нужная эмоция и призыв к действию генерируются автоматически.


Какие виды атак социальной инженерии применяют мошенники в финтехе?


Каждый вид атаки эксплуатирует один или несколько каналов коммуникации, но логика одна: создать ситуацию, в которой жертва сама совершает нужное злоумышленнику действие.

Вид атаки

Описание

Типичный сценарий в финтехе

Фишинг

Поддельное сообщение (email, мессенджер), имитирующее банк или сервис; цель — данные карты, логин, OTP

Письмо «от банка» с просьбой обновить данные на поддельном сайте

Вишинг

Звонок от имени службы безопасности банка или правоохранителей; жертву убеждают перевести деньги

Звонок «из ЦБ»: срочно переведите деньги на «безопасный счёт»

Смишинг

SMS с поддельной ссылкой; часто в связке с СМС-бомбингом

«Ваша карта заблокирована, перейдите по ссылке» — ведёт на фишинговый сайт

Претекстинг

Злоумышленник создаёт вымышленный сценарий, выступая IT-специалистом или коллегой

«Мы проверяем учётную запись, назовите последние четыре цифры карты»

Приманка (Baiting)

Жертве предлагают бонус или выигрыш в обмен на данные

«Вы выиграли 5 000 руб.! Введите реквизиты карты»

Quid pro quo

Злоумышленник предлагает «помощь» в обмен на доступ

«IT-поддержка» просит установить приложение удалённого доступа

Дипфейк-атака

Синтетическое аудио/видео с голосом или лицом руководителя; применяется для обхода биометрии

«Голосовое» от «директора»; в KYC — синтетическое лицо вместо реального

Спир-фишинг

Таргетированный фишинг с персонализированным сообщением на основе данных о жертве

Письмо сотруднику комплаенса с вложением-вредоносом


Как работает атака социальной инженерии: три обязательных элемента


Независимо от канала — звонок, письмо, мессенджер — успешная атака строится на трёх элементах.

  1. Доверие. Злоумышленник убедительно имитирует источник, которому жертва доверяет: банк, госорган, работодатель, коллега. Используются официальные домены, корпоративные логотипы, спуфинг номера телефона и данные из похищенных баз.
  2. Срочность или страх. Жертву лишают времени на проверку: «Ваш счёт заблокируют через 15 минут», «Налоговая выставила требование». Дефицит времени отключает проверочное поведение.
  3. Призыв к действию. Жертву направляют к конкретному шагу: перейти по ссылке, назвать код, установить приложение, перевести деньги на «безопасный счёт». Каждое действие выглядит логичным в рамках созданного контекста.

Для KYC-оператора и комплаенс-команды: убедительно выглядящий онбординг — не гарантия того, что человек действует самостоятельно. Поведенческий анализ сессии и мониторинг транзакций нужны именно там, где все три элемента уже сработали.

Генеративные модели ИИ усилили все три элемента. По оценке Интерпол (Global Financial Fraud Threat Assessment, март 2026 года), схемы с применением ИИ приносят злоумышленникам в 4,5 раза больше прибыли. Глобальные потери от финансового мошенничества в 2025 году — 442 млрд долларов.

По отчёту ЦАСИ («Кибердом») за I квартал 2026 года, количество дипфейков в мошеннических схемах выросло вдвое; доля видео, сгенерированных по текстовому промту, увеличилась с 17% до 51%.


Насколько масштабна угроза: статистика ЦБ, МВД и Интерпол за 2025–2026 годы


Обзор Банка России: в 2025 году объём операций без добровольного согласия клиентов составил 29,3 млрд рублей (+6,4% к 2024 г.), количество таких операций выросло на 31,2% — до 1,5 млн. Банки предотвратили 134,2 млн мошеннических попыток, сохранив клиентам 13,9 трлн рублей.

По данным МВД России, за 10 месяцев 2025 года ущерб от дистанционных хищений превысил 154 млрд рублей. Число голосовых атак во II квартале 2025 года снизилось на 30%, но объём похищенного продолжает расти.

По данным Positive Technologies, социальная инженерия применяется почти в 70% кибератак. По оценке F6 — более чем в 94% инцидентов с финансовыми потерями банковских клиентов.


Как социальная инженерия обходит KYC и что с этим делать?


Атака на KYC-процесс позволяет злоумышленнику создать легитимно выглядящую личность или встроить подставного человека в финансовую инфраструктуру. Три вектора:

  • Обход через дропа: Злоумышленник убеждает реального человека — дропа — добровольно пройти верификацию. Такой клиент пройдёт биометрию по 115-ФЗ, но действует в чужих интересах.
  • Атака на сотрудников: Спир-фишинг нацелен на операторов верификации или комплаенс-специалистов. Организации обязаны выявлять такие попытки по п. 5 ст. 7 ФЗ № 115-ФЗ.
  • Манипуляция при онбординге: Под предлогом «помощи» злоумышленник получает коды подтверждения или доступ к ЕСИА — аккаунт создаётся при полном формальном соответствии.

Особую угрозу представляют дипфейк-атаки. Схема (I4C, Индия, июнь 2026): видеозвонок для сбора биометрии жертвы → запись обрабатывается ИИ → используется для обхода liveness-детекции. По данным Group-IB, один индонезийский банк зафиксировал более 1 100 таких попыток за три месяца. На нелегальных платформах «комплекты синтетических личностей» — от 5 долларов.

Число фишинговых доменов во II квартале 2025 года выросло на 53% — мошенники компенсируют снижение числа голосовых атак.

О технических механизмах защиты биометрии — Liveness-детекция и защита от дипфейков.


Как квалифицируются атаки социальной инженерии по УК РФ?


Специального закона нет. Атаки квалифицируются по общим нормам УК РФ.

Норма

Что охватывает

Санкция

Ст. 159 УК РФ

Хищение путём обмана или злоупотребления доверием

До 10 лет (ч. 4)

Ст. 159.3 УК РФ

Мошенничество с электронными средствами платежа

До 10 лет (ч. 4)

Ст. 159.6 УК РФ

Мошенничество в сфере компьютерной информации

До 10 лет (ч. 4)

Ст. 187 УК РФ, ч. 3–6 (ФЗ от 24.06.2025 № 176-ФЗ)

Передача карты, перевод по чужому указанию, операции с чужим счётом

Ч. 3–4: до 3 лет + штраф 100–300 тыс. руб.; ч. 5–6: до 6 лет + штраф до 1 млн руб.

Ст. 272 УК РФ

Неправомерный доступ к компьютерной информации

До 7 лет (ч. 4)

Для финансовых организаций: ст. 8 ФЗ № 161-ФЗ обязывает приостанавливать переводы при признаках операций без добровольного согласия. Перечень признаков — Положение ЦБ № 375-П.

Практический вывод: организация обязана фиксировать попытки манипуляции с сотрудниками (п. 5 ст. 7 ФЗ № 115-ФЗ), вести журнал инцидентов и передавать данные в ФинЦЕРТ. Игнорирование признаков из перечня № 375-П создаёт регуляторный риск и лишает банк права отказать в возврате средств.


Как финтех-компания должна противодействовать социальной инженерии?


Технические меры и организационные процедуры решают разные части задачи и применяются в связке.

Мера

Что блокирует

Инструменты

Анализ цифрового следа устройства

Эмуляторы, массовые регистрации, операторские сессии

Risk-score устройства; корреляция с заблокированными профилями

Liveness-детекция и антидипфейк

Синтетическое лицо при биометрии; попытки использовать чужую биометрию

Пассивный и активный liveness; модели PAD по ISO/IEC 30107-3

Поведенческий антифрод

Копипаст в критических полях, механическая скорость, аномальное время

Мониторинг событий сессии; сравнение с профилем пользователя

Мониторинг транзакций по 161-ФЗ

Переводы мошенникам, схема «безопасный счёт»

Антифрод по ЦБ № 375-П; база мошеннических реквизитов

MFA

Account Takeover при утечке пароля

TOTP, push-подтверждение, аппаратные ключи

Обучение сотрудников и клиентов

Человек под психологическим давлением

Учебные фишинговые рассылки; сценарии реакции на подозрительный контакт

Технический антифрод выявляет аномалии контекста, liveness блокирует синтетические атаки, поведенческий анализ сигнализирует об операторской сессии. Эффективная защита — многоуровневая архитектура, а не набор изолированных решений.

Ни один алгоритм не остановит человека, добровольно передавшего код под давлением. Задача систем — зафиксировать сигналы аномальности и заморозить операцию до её завершения.

Чем социальная инженерия отличается от смежных понятий: фишинг, вишинг, ATO


Связанные понятия (с внутренними ссылками IDX):

Вишинг — голосовой канал (телефон) для атак; Account Takeover (ATO) — захват учётной записи как финал успешной атаки; MFA (многофакторная аутентификация) — барьер при утечке пароля.

Подробнее о процедурах верификации: KYC (Know Your Customer) — проверка клиента согласно 115-ФЗ.


Что обязан проверить комплаенс-офицер при инциденте с социальной инженерией?


Социальная инженерия — манипуляция человеком. Атакующий не ломает систему, а убеждает жертву самостоятельно совершить нужное действие. Классическая периметровая защита не решает задачу.

Статистика 2025–2026: количество голосовых атак снижается, но средний ущерб растёт. По данным Интерпол, AI-усиленные схемы приносят в 4,5 раза больше прибыли, чем классические.

  • Зафиксировать факт попытки манипуляции с сотрудником (п. 5 ст. 7 ФЗ № 115-ФЗ)
  • Проверить, были ли проигнорированы признаки из Положения ЦБ № 375-П
  • Передать данные об инциденте в ФинЦЕРТ (ст. 26.1 ФЗ № 149-ФЗ)
  • Провести разбор инцидента с командой и обновить учебные сценарии
  • Проверить логи liveness-детекции и поведенческого антифрода за период атаки
  • Оценить, был ли задействован дроп — и инициировать проверку онбординг-записей

Источники


Актуально на . Последнее обновление: . Статья содержит данные о нормах УК РФ в редакции ФЗ от 24.06.2025 № 176-ФЗ и статистику Банка России за 2025 год.

Часто задаваемые вопросы

Чем социальная инженерия отличается от фишинга?
Социальная инженерия — широкое понятие, описывающее любую психологическую манипуляцию с целью получить данные или деньги. Фишинг — один из инструментов: поддельные письма и сайты, имитирующие банк или сервис. Помимо фишинга, социальная инженерия включает вишинг (голосовые звонки), смишинг (SMS), претекстинг (вымышленный сценарий), приманки и дипфейк-атаки. По данным F6 (2026), более 94% инцидентов с хищением средств у клиентов российских банков связаны с применением социальной инженерии в той или иной форме.
Является ли передача своей банковской карты другому лицу уголовно наказуемой?
Да, с 5 июля 2025 года. ФЗ от 24.06.2025 № 176-ФЗ ввёл ч. 3–6 в ст. 187 УК РФ: передача карты при корыстной заинтересованности — до 3 лет лишения свободы + штраф 100–300 тыс. рублей (ч. 3); передача чужой карты — до 6 лет (ч. 5). При первом нарушении и содействии раскрытию преступления возможно освобождение от ответственности. Это напрямую затрагивает схему «дроппинга» при онбординге.
Обязан ли банк вернуть деньги клиенту, пострадавшему от социальной инженерии?
По ст. 9 ФЗ № 161-ФЗ «О национальной платёжной системе»: если клиент самостоятельно совершил перевод под влиянием манипуляции, банк не обязан возмещать ущерб. Исключение — банк проигнорировал признаки мошеннической операции из перечня Положения ЦБ № 375-П. В 2025 году банки вернули около 5–6% от объёма похищенных средств. Финансовая организация обязана приостанавливать подозрительные переводы (ст. 8 ФЗ № 161-ФЗ) и передавать данные об инцидентах в ФинЦЕРТ.
Может ли KYC-верификация остановить атаку социальной инженерии?
Только частично. KYC проверяет подлинность документов и живое присутствие человека, но не защищает от дропа — реального лица, добровольно прошедшего верификацию в интересах мошенника. Такой клиент формально соответствует требованиям 115-ФЗ. Для противодействия дроппингу необходимы поведенческий антифрод (анализ сессии: копипаст, скорость ввода), device fingerprint и мониторинг транзакций по ЦБ № 375-П. Идентификация личности необходима, но недостаточна — нужен мониторинг контекста операции.
Что такое спир-фишинг и почему он особенно опасен для финтеха?
Спир-фишинг — таргетированный фишинг: злоумышленник собирает данные о конкретной жертве (должность, проекты, контакты) и формирует персонализированное сообщение с вложением-вредоносом или ссылкой. В финтехе атака нацелена на сотрудников комплаенса, операторов верификации и ИТ-администраторов. Компрометация одного сотрудника открывает доступ к базам клиентских данных и операционным системам. Организации обязаны выявлять такие попытки по п. 5 ст. 7 ФЗ № 115-ФЗ и фиксировать инциденты.
Как дипфейки изменили угрозу социальной инженерии при KYC?
Мошенники организуют видеозвонки якобы для «технической проверки» — записывают биометрию жертвы, затем обрабатывают её ИИ и применяют для обхода liveness-детекции при онбординге. По данным Group-IB, один индонезийский банк зафиксировал более 1 100 таких попыток за три месяца. По отчёту ЦАСИ (I кв. 2026), доля видео, сгенерированных по текстовому промпту, выросла с 17% до 51%. Комплект синтетической личности на нелегальных платформах стоит от 5 долларов. Защита — пассивный и активный liveness по стандарту ISO/IEC 30107-3.
Какие технические меры обязан внедрить банк для противодействия социальной инженерии?
Регулятор не предписывает конкретный стек, но Положение ЦБ № 375-П обязывает банк фиксировать признаки мошеннических операций и приостанавливать переводы. На практике применяются: liveness-детекция при биометрии (ISO/IEC 30107-3), поведенческий антифрод (анализ сессии), device fingerprint для выявления эмуляторов, многофакторная аутентификация, мониторинг транзакций и обучение сотрудников. Все инциденты фиксируются и передаются в ФинЦЕРТ согласно ст. 26.1 ФЗ № 149-ФЗ.
Что обязана сделать организация при выявлении попытки манипуляции с сотрудником?
По п. 5 ст. 7 ФЗ № 115-ФЗ финансовая организация обязана выявлять попытки манипулирования сотрудниками, фиксировать факты в журнале инцидентов и передавать сведения в ФинЦЕРТ. Игнорирование признаков из перечня № 375-П создаёт регуляторный риск и лишает банк права отказать в возврате средств клиенту. Рекомендуется проводить учебные фишинговые рассылки и регулярный инструктаж персонала.
Какие статьи УК РФ применяются при атаках социальной инженерии?
Специального состава нет. Атаки квалифицируются по общим нормам: ст. 159 УК РФ — мошенничество (до 10 лет, ч. 4); ст. 159.3 — мошенничество с электронными средствами платежа (до 10 лет); ст. 159.6 — мошенничество в сфере компьютерной информации; ст. 272 — неправомерный доступ к компьютерной информации (до 7 лет). С 5 июля 2025 года ст. 187 УК РФ (ФЗ № 176-ФЗ) криминализировала дроппинг — передачу и использование чужих платёжных карт.
Стать клиентом IDX
Ошибка! Сообщение не отправлено.
Спасибо за вашу заявку!
Наш менеджер свяжется с вами в ближайшее время
13.07.2026
Ключевые термины удалённой идентификации, аутентификации, верификации данных, антифрода и цифрового доверия.
10.07.2026
Новости и ИИ • 3 июля–10 июля 2026 года. Шесть изменений и практические шаги для цифровых сервисов, маркетплейсов, KYC-, антифрод- и комплаенс-команд
10.07.2026
Ключевые термины удалённой идентификации, аутентификации, верификации данных, антифрода и цифрового доверия.
09.07.2026
Технический этап обязательной идентификации клиента, при котором организация подтверждает, что предъявленный документ подлинный, действительный и принадлежит именно этому человеку.
08.07.2026
Ключевые термины удалённой идентификации, аутентификации, верификации данных, антифрода и цифрового доверия.
Подписка на новости