Специфику преступлений в сфере социальной инженерии против финтех-структур рассматривает Виктор Иевлев, директор по информационной безопасности компании «Гарда».
В финтехе принято считать, что основные угрозы связаны с технологиями: уязвимостями в ПО, атаками на инфраструктуру, сложным вредоносным кодом и методами обхода систем сетевой безопасности. На практике большая часть успешных инцидентов начинается иначе — с обычного сообщения в мессенджере, письма на почту или звонка «от знакомого контакта».
Социальная инженерия в последнее время стала полноценным системным бизнес-риском. В 2025 году доля кибератак с использованием этого подхода выросла, по некоторым данным, с 49 до 60%, при этом более 80% атак в мессенджерах так или иначе опирались на психологическое давление и манипуляции. В наступившем 2026-м тренд только усилится: атаковать людей быстрее, дешевле и эффективнее, чем ломать даже среднезащищенную инфраструктуру.
Почему финтех и банки в прицеле злоумышленников
Финансовые структуры особенно привлекательны для преступников, практикующих социальную (криминальную) инженерию, из-за сочетания нескольких факторов. У сотрудников таких компаний есть прямой доступ к финансам и платежным операциям, высокая концентрация клиентских и транзакционных данных, а также постоянное давление по срокам и необходимость быстро принимать решения.
Дополнительно ситуацию усложняет большое число сотрудников, подрядчиков и внешних партнеров, вовлеченных в процессы, и активное использование цифровых каналов общения — от электронной почты до мессенджеров, приложений и сервисных порталов. В такой среде атака чаще строится не на поиске технической уязвимости, а на эксплуатации доверия, регламентов и человеческого фактора.
Как выглядят атаки социальной инженерии сегодня
Современная социальная инженерия почти всегда начинается с подготовки. Злоумышленники активно используют OSINT — анализ и сбор информации из открытых источников. В финтехе и банках эта угроза усугубляется тем, что утечки данных из смежных секторов (медицина, службы доставки, микрофинансы) часто содержат информацию о сотрудниках и клиентах финансовых организаций. Эти данные, профили людей в соцсетях и публикации в СМИ позволяют собрать детальный портрет жертвы.
Далее формируется индивидуальный сценарий атаки. В 2024–2025 гг. чаще всего использовались фишинговые сообщения в почте, мессенджерах и соцсетях под видом коллег, партнеров, регуляторов или руководства компании, когда от сотрудника требуют срочных действий и не дают времени на проверку. Такие сценарии дополняются претекстингом — правдоподобными историями о проверках, обращениях госорганов, предложениями работы, инцидентах или внеплановых задачах. В финтехе особенно эффективны фишинговые письма, имитирующие регуляторные требования или сообщения о проблемах с платежными системами. Также все более заметную роль начинают играть дипфейки с поддельными голосами и видео топ-менеджеров, усиливающие эффект доверия. Их используют в мессенджерах для выманивания доступа к инфраструктуре компании, счетам или платежным данным. Атаки часто сопровождаются угрозами, уговорами или фальшивыми письмами от ЦБ, создавая ложное чувство срочности.
Зачастую злоумышленники не прибегают к какому-то одному методу, а разрабатывают комбинированные атаки. В 71% сложных инцидентов успех обеспечивало сочетание фишинга с вредоносным ПО.
Еще один вектор, который привел к нескольким громким инцидентам в 2025 году, — атаки через цепочки поставок, когда с помощью социальной инженерии выясняется, кто и как поставляет ПО для компании, после чего удар наносится по разработчику или подрядчику.
Почему сотрудники ошибаются даже при наличии инструкций
В большинстве случаев сотрудники действуют логично и добросовестно. Они видят знакомое имя и должность, получают запрос в привычном рабочем канале и оказываются под давлением времени, опасаясь сорвать платеж, сделку или проверку. Злоумышленники сознательно используют эти обстоятельства, играя на страхе, чувстве ответственности и стремлении «сделать все правильно». Паника, срочность и апелляция к авторитету становятся основными инструментами атаки, поэтому в такой модели разовые тренинги и формальные инструкции не дают устойчивого эффекта.
Обучение сотрудников остается важной мерой, но само по себе оно не решает проблему. В условиях реальной атаки человек по-прежнему остается самым уязвимым элементом, особенно когда у него есть избыточные права доступа, отсутствует контроль аномальной активности в сети и нет технических механизмов раннего выявления инцидентов. Если безопасность существует отдельно от бизнес-процессов, она не успевает реагировать на реальные сценарии атак. Поэтому устойчивость достигается не инструкциями, а системным управленческим подходом.
Цена одной ошибки для бизнеса
Последствия успешной атаки социальной инженерии редко сводятся только к прямым финансовым потерям. Как правило, инцидент запускает цепочку проблем: останавливаются операционные процессы, страдает репутация, подрывается доверие клиентов и партнеров, усиливается внимание регуляторов. Компании вынуждены проходить внеплановые проверки и аудиты, отвлекая ресурсы от развития бизнеса. В итоге один успешный сценарий атаки способен перечеркнуть годы инвестиций в цифровые сервисы и безопасность.
Как выстраивать защиту от социальной инженерии
Социальная инженерия сохраняет эффективность по двум фундаментальным причинам. Во-первых, она нацелена на неизменные человеческие эмоции — страх, спешку, доверие авторитету. Во-вторых, этот метод постоянно гибко адаптируется к новым условиям: меняются темы в зависимости от актуальных событий, совершенствуются методы сокрытия полезной нагрузки, внедряются новые инструменты и технологии, включая искусственный интеллект.
В 2026 году эти тренды усилятся. Наиболее конкурентоспособными станут те представители финсектора, которые смогут совместить организационные и технологические меры. Им важно ограничивать объем информации о сотрудниках и внутренних процессах в открытых источниках, выстраивать строгие правила проверки запросов в почте и мессенджерах, особенно связанных с доступами и платежами, и формировать культуру, в которой перепроверка считается нормой, а не признаком недоверия.
Использование двухфакторной аутентификации, регулярное обучение и тестовые фишинговые рассылки, проверка благонадежности сотрудников и подрядчиков, а также постоянный мониторинг подозрительных действий внутри инфраструктуры и защита данных помогут существенно снизить риск успешной атаки. При этом критически важно, чтобы меры безопасности поддерживали бизнес-процессы и не превращались в фактор, который замедляет работу компании.
Современные ИБ-инструменты позволяют закрыть те зоны, где человек может ошибиться. Например, решения класса NDR дают возможность выявлять фишинговые атаки и подозрительную активность уже после первичного проникновения, определять вектор атаки, используемые методы и тактики в привязке к международной базе данных об угрозах MITRE ATT&CK.
В связке с системой ловушек и приманок Deception такие решения не только обнаруживают злоумышленника, но и мешают ему развивать атаку, уводя в ложные сегменты инфраструктуры и снижая потенциальный ущерб. Для руководителей ценность таких инструментов не в технических деталях, а в прозрачности рисков, снижении зависимости от человеческого фактора и возможности принимать решения на основе объективных данных.
Вывод
Социальная инженерия превратилась в зрелый инструмент давления на бизнес, который использует доверие, скорость и человеческие эмоции. Финтех-компании, которые рассматривают такие атаки как управленческий риск и выстраивают системную защиту, получают не только более высокий уровень сетевой безопасности, но и устойчивость бизнеса в целом.
Фото: Предоставлено автором
