What is social engineering in cybersecurity?

Social engineering is the manipulation of people into performing actions or revealing confidential information. Attackers use pretexting, authority impersonation, urgency, and rapport-building to bypass technical security controls entirely. According to the Verizon Data Breach Investigations Report, 68% of breaches involve a human element. It remains the most reliable attack vector because it targets psychology rather than technology.

What are common social engineering tactics used against employees?

The most common tactics include pretexting (creating a fake scenario to justify a request), authority impersonation (posing as IT, a manager, or law enforcement), urgency (pressuring quick action before the target can verify), and reciprocity (offering something first to create a sense of obligation). Attackers often research targets on LinkedIn and social media to make their approach more convincing.

Соціальна інженерія

Recognize manipulation before you comply.

Що таке Соціальна інженерія?

Соціальна інженерія обходить кожен технічний контроль безпеки, націлюючись безпосередньо на людський рівень. Згідно зі звітом Verizon Data Breach Investigations Report, людський фактор присутній у 68% порушень безпеки, що робить атаки на основі маніпуляцій найстійкішою загрозою для організацій. У цій симуляції Вам телефонує людина, яка звучить переконливо, професійно та підготовлено, маючи деталі про Вашу компанію. Абонент використовує претекстинг для побудови правдоподібного сценарію. Він може стверджувати, що телефонує з ІТ-підтримки та проводить екстрене аудитування, що є постачальником, якому потрібно перевірити дані облікового запису, або новим помічником керівника, який підтверджує конфіденційну інформацію від імені керівництва. Він вже знає Ваш відділ, ім'я Вашого менеджера та нещодавні проєкти — все зібране з публічних джерел, таких як LinkedIn та прес-релізи компанії. Ви практикуватимете утримання позицій, коли абонент посилює тиск, використовуючи авторитет, взаємність та штучну терміновість. Симуляція навчить Вас, як перенаправити верифікацію через офіційні канали, не створюючи конфронтацію. Це критично важливо, тому що реальні соціальні інженери розраховують на те, що працівники занадто ввічливі, щоб чинити опір. Ви також навчитесь розпізнавати момент, коли розмова переходить від нормального ділового спілкування до прихованого вилучення інформації — перехід, який відбувається поступово і його легко пропустити без відповідної підготовки. Вправа охоплює верифікацію зворотним дзвінком, позасмугову автентифікацію та конкретні фрази, які соціальні інженери використовують, щоб відмовити Вас від перевірки їхньої історії.

Що ви дізнаєтесь у Соціальна інженерія

Визначати претекстинг, імітацію авторитету та маніпуляцію терміновістю під час живих телефонних та особистих взаємодій
Застосовувати верифікацію зворотним дзвінком та позасмугову автентифікацію для підтвердження особи абонента через офіційні довідники компанії
Розпізнавати момент переходу, коли нормальна ділова розмова переходить у приховане вилучення інформації
Відхиляти запити на інформацію твердо та професійно, не пошкоджуючи легітимні ділові стосунки
Пояснити, як зловмисники використовують публічно доступні дані OSINT з LinkedIn, прес-релізів та соціальних мереж для побудови переконливих претекстів

Соціальна інженерія — Кроки навчання

вступ

Це звичайний вівторок після обіду, і Аліса працює над критичним терміном виконання проекту.
Несподіваний дзвінок

У Аліси несподівано дзвонить мобільний телефон. Ідентифікатор абонента показує «ІТ-підтримка – внутрішня». Оскільки Аліса визнає, що це потенційно представник ІТ-відділу її компанії, вона вирішує відповісти на дзвінок.
Переконливий вступ

Аліса відчуває стурбованість потенційною проблемою безпеки та хоче допомогти її вирішити швидко.
Збір інформації

Аліса, відчуваючи тиск через терміновість і вірячи, що це законна ІТ-підтримка, починає розглядати можливість надання необхідної інформації.
Ескалація запиту

Аліса вважає, що в неї немає іншого вибору, як підкоритися, оскільки її обліковий запис може бути зламано.
Шкідливий веб-сайт

Аліса помітила, що веб-сайт виглядає схожим на сторінку входу в її компанію, хоча в URL-адресі щось не так.
Спроба доступу

Боб успішно перехопив облікові дані Аліси і тепер намагається змусити її завантажити зловмисне програмне забезпечення, замасковане під інструмент безпеки.
Перевірка електронної пошти

Після дзвінка Аліса відкриває свій поштовий клієнт, щоб перевірити наявність обіцяного повідомлення. Серед папки «Вхідні» вона помічає електронний лист від «ІТ-підтримки» з темою «Терміново: засіб діагностики безпеки».
Реалізація

Коли Аліса кладе слухавку, до неї напливають спогади про нещодавнє навчання компанії з кібербезпеки. Вона пам’ятає, як інструктор спеціально попереджав про зловмисників, які видають себе за ІТ-підтримку, створюють помилкову терміновість і намагаються змусити співробітників завантажити шкідливе програмне забезпечення.
Негайне реагування безпеки

Аліса негайно вживає заходів, щоб мінімізувати потенційну шкоду від атаки. Вона знає, що вже надала свої облікові дані шкідливому веб-сайту, а це означає, що її обліковий запис може бути зламано. Озирнувшись на веб-переглядач, вона помітила, що URL-адреса використовувала HTTP замість HTTPS – чіткий червоний прапорець, який вона пропустила під тиском. Вона також записує подумки всю інформацію, яку вона надала під час розмови: ідентифікатор свого працівника, останні чотири цифри свого соціального страхування та облікові дані для входу.

Що таке Соціальна інженерія?

Що ви дізнаєтесь у Соціальна інженерія

Соціальна інженерія — Кроки навчання

вступ

Несподіваний дзвінок

Переконливий вступ

Збір інформації

Ескалація запиту

Шкідливий веб-сайт

Спроба доступу

Перевірка електронної пошти

Реалізація

Негайне реагування безпеки