Социальная инженерия 2026: Полное руководство по защите

Социальная инженерия 2026:  Полное руководство по защите
Добро пожаловать в исчерпывающее руководство по противодействию социальной инженерии в современном цифровом мире. Этот документ создан экспертом в области информационной безопасности для защиты русскоязычных пользователей от самой опасной категории киберугроз.
Telegram-канал  
Топ Кибербезопасности Батранкова

Дата: 9 января 2026 год
Критическая статистика 2026 года
78%
Инциденты ИБ
Три четверти всех инцидентов информационной безопасности в 2025 году связаны именно с социальной инженерией — манипулированием людьми, а не взломом технических систем
$2.1M
Средний ущерб BEC
Атаки BEC (Business Email Compromise — компрометация корпоративной электронной почты) наносят компаниям в среднем 2,1 миллиона долларов США убытков за один инцидент
68%
Атаки в России
Две трети всех успешных кибератак на российских пользователей используют фишинг (поддельные сайты и письма) и вишинг (телефонное мошенничество)
Эти цифры показывают масштаб угрозы. Социальная инженерия стала основным инструментом киберпреступников, потому что взломать человеческую психологию часто проще, чем технические системы защиты. Даже специалисты по информационной безопасности с многолетним опытом могут стать жертвами умело спланированных атак.
Что такое социальная инженерия?
Определение
Социальная инженерия — это психологическое манипулирование людьми с целью получения конфиденциальной информации или совершения определенных действий. В отличие от технического взлома, атаки социальной инженерии эксплуатируют человеческую психологию: доверие, страх, желание помочь, стремление к выгоде.
Мошенники не ломают пароли — они обманом заставляют жертву самостоятельно передать данные или выполнить нужное действие.
Почему это работает?
Человеческий мозг подвержен когнитивным искажениям и автоматическим реакциям. Когда мы находимся под давлением времени, испытываем стресс или видим авторитетную фигуру, критическое мышление отключается. Мошенники это знают и используют.
Даже эксперты ИБ с 30+ летним опытом могут попасться на хорошо спланированную атаку, потому что манипуляция работает на уровне базовых психологических механизмов.
Психология манипуляции: принципы Чалдини
Роберт Чалдини, американский психолог, выделил шесть ключевых принципов влияния, которые мошенники активно эксплуатируют в атаках социальной инженерии. Понимание этих механизмов — первый шаг к защите.
Взаимность
Когда кто-то делает нам одолжение, мы чувствуем обязанность ответить взаимностью. Мошенник: "Я помог тебе с прошлым проектом, теперь помоги мне срочно — отправь данные"
Авторитет
Мы подчиняемся авторитетным фигурам, часто отключая критическое мышление. "Звонит генеральный директор", "Сотрудник ФСБ требует информацию" — под давлением авторитета мы действуем автоматически
Срочность
Цейтнот отключает рациональное мышление. "У нас только 15 минут!", "Сейчас или никогда!" — под давлением времени мы принимаем импульсивные решения без проверки
Социальное доказательство
Мы смотрим на действия других, чтобы определить правильное поведение. "Все сотрудники уже подтвердили данные", "Тысячи пользователей перешли по ссылке" — создается иллюзия нормы
Симпатия
Мы охотнее соглашаемся с просьбами людей, которые нам нравятся. Мошенники создают дружелюбный тон, находят общие интересы, льстят: "Вижу, вы тоже из Москвы!", "Мне нравится ваш профессионализм" — устанавливают эмоциональную связь перед атакой
Обязательство и последовательность
Когда мы публично берем на себя обязательство, мы стремимся действовать последовательно. Мошенник сначала получает маленькое согласие: "Вы же хотите защитить свой аккаунт?", а затем эскалирует: "Тогда подтвердите код из SMS"
Почему даже эксперты попадаются
Существует распространенное заблуждение: "Я работаю в ИБ 10 лет, меня не обмануть". Однако статистика показывает обратное. Специалисты по информационной безопасности регулярно становятся жертвами социальной инженерии, и вот почему:
"10+ лет опыта в информационной безопасности не создают иммунитет к психологической манипуляции. Мы все люди, и наш мозг работает по одним законам."
Избыточная уверенность: Эксперты часто переоценивают свою защищенность, что делает их менее бдительными. "Я знаю все схемы" — эта мысль создает ложное чувство безопасности.
Профессиональная деформация: Технические специалисты сосредоточены на защите систем, но забывают, что они сами — самое слабое звено в цепи безопасности.
Сложные атаки: Современные мошенники изучают свои цели, создают многоэтапные сценарии, используют искусственный интеллект для персонализации атак. Против таких методов одних знаний недостаточно.
Человеческий фактор: Усталость, стресс, многозадачность, личные проблемы — всё это снижает бдительность даже у опытных профессионалов.
Эволюция методов: Мошенники постоянно совершенствуют техники. То, что работало вчера, может быть неэффективно сегодня, а новые методы появляются ежедневно.
Система 1 и Система 2: почему мы живем на автомате
Для объяснения того, почему даже эксперты попадаются на уловки мошенников, обратимся к концепции двух систем мышления, разработанной лауреатом Нобелевской премии Даниэлем Канеманом:
Система 1: Быстро и интуитивно
Это наше автоматическое мышление. Оно работает без усилий, быстро, основываясь на шаблонах, интуиции и эмоциях. Система 1 обрабатывает огромные объемы информации и принимает мгновенные решения, что позволяет нам эффективно функционировать в повседневной жизни, не затрачивая ментальной энергии.
Система 2: Медленно и логично
Это наше рациональное, аналитическое мышление. Оно требует усилий, концентрации и используется для решения сложных задач, критического анализа и взвешенного принятия решений. Система 2 позволяет нам сомневаться, проверять и обдумывать информацию.
Ловушка социальной инженерии
Мы по большей части живем на "автопилоте", используя Систему 1, потому что это энергоэффективно. Мошенники виртуозно пользуются этой особенностью, создавая ситуации, которые вызывают автоматические эмоциональные реакции — чувство срочности, страх, уважение к авторитету. Их атаки нацелены на то, чтобы не дать Системе 2 включиться и подвергнуть информацию критической проверке. Таким образом, социальная инженерия специально разработана, чтобы удерживать жертву в режиме Системы 1, предотвращая критическое мышление и делая нас уязвимыми.
Эта концепция подробно описана в книге Даниэля Канемана «Думай медленно... решай быстро» (Thinking, Fast and Slow), а также в книге Максима Дорофеева «Джедайские техники», где автор использует метафору «обезьянки» для описания Системы 1.
О чем пойдет речь
01
Классический фишинг
Изучим традиционные схемы: поддельные сообщения от руководителя, атаки под видом государственных органов, мошенничество через Почту России и налоговую службу
02
ИИ-атаки 2026
Разберем новейшие угрозы с использованием искусственного интеллекта: deepfake-голоса и видео, мошенничество с ошибочными переводами, персонализированные атаки на основе ИИ
03
Безопасность Госуслуг
Пошаговые инструкции по защите и восстановлению доступа к порталу Госуслуг, критические настройки безопасности, алгоритм действий при взломе
04
Топ-10 правил защиты
Практические правила и контрольный список действий, которые помогут защититься от 95% атак социальной инженерии
Глава 1
Классический фишинг
Фишинг — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей: логинам, паролям, данным банковских карт. Название происходит от английского "fishing" (рыбалка) — мошенники "ловят" жертв, забрасывая приманку в виде поддельных сообщений.
Классический фишинг использует электронную почту, SMS, мессенджеры и телефонные звонки. Мошенники выдают себя за доверенные организации или знакомых людей, создавая убедительные легенды. Несмотря на десятилетия существования, эти методы остаются чрезвычайно эффективными.
Атака через Telegram: сценарий взлома генерального директора
Рассмотрим детально реальную схему атаки, которая происходит за считанные минуты и заканчивается полной компрометацией аккаунта руководителя компании.
1
14:37 — Первый контакт
Вы получаете голосовое сообщение в Telegram: "Виктор, срочно нужна помощь с контрактом! Звоню с нового номера, старый потерял." Голос похож на вашего CEO, интонации знакомые
2
14:39 — Давление
Следом приходит еще одно голосовое: "Времени совсем нет, клиент ждет. Я сейчас на встрече, не могу говорить. Тебе придет SMS с кодом — просто перешли мне, это подтверждение для электронной подписи"
3
14:41 — Ловушка
Приходит SMS: "Код подтверждения входа в Telegram: 12345. Никому не сообщайте этот код." Вы думаете, что это для подписи контракта, и пересылаете код "генеральному"
4
14:42 — Взлом
Мошенник использует код для входа в ВАШ аккаунт Telegram. Теперь у него полный доступ ко всей вашей переписке, контактам, и он может действовать от вашего имени
Telegram: признаки мошенничества
Красные флаги ❌
Новый номер телефона: Контакт пишет не с номера, сохраненного в вашей записной книжке, а с нового, неизвестного
Искусственная срочность: "Нужно прямо сейчас", "Через 5 минут будет поздно", "Клиент ждет" — создается давление времени
Требование секретности: "Никому не говори", "Это конфиденциально", "Только между нами"
Нерабочее время: Сообщения приходят поздно вечером, в обеденный перерыв, в выходные — когда проверить информацию сложнее
Просьба переслать SMS-код: Любой запрос на пересылку кодов подтверждения — 100% признак мошенничества
Правильные действия ✅
Перезвоните по корпоративному номеру: Не отвечайте на неизвестный номер, позвоните на рабочий телефон, который точно принадлежит руководителю
Проверьте через секретаря: Свяжитесь с помощником CEO или секретарем и уточните, действительно ли руководитель пытается с вами связаться
Используйте корпоративную почту: Попросите дублировать запрос через официальные каналы коммуникации компании
Никогда не пересылайте коды: Запомните раз и навсегда: коды подтверждения из SMS не предназначены для пересылки кому-либо
Золотое правило: Если просят переслать SMS-код — это мошенник. Без исключений. Коды подтверждения предназначены ТОЛЬКО для вашего личного использования на вашем устройстве.
Защита от поддельных сообщений от руководства
1
Только корпоративная почта
Установите правило: все деловые запросы от руководства должны приходить через корпоративную электронную почту с доменом компании (@вашакомпания.ru). Личные мессенджеры используются только для неформального общения, но не для финансовых операций или передачи конфиденциальной информации
2
Игнорируйте личные каналы
Если руководитель просит что-то срочное через Telegram, WhatsApp или личный email — это повод для проверки. Попросите продублировать запрос через официальный канал. Легитимный руководитель поймет необходимость безопасности
3
Проверка через секретаря
Если у CEO есть помощник или секретарь, всегда сверяйтесь с ним при получении нестандартных запросов. Секретарь знает расписание и планы руководителя и может подтвердить или опровергнуть запрос
4
Второй канал связи
Получили запрос в Telegram — перезвоните по корпоративному телефону. Пришло письмо на почту — свяжитесь через мессенджер. Это называется "верификация по второму каналу" и она критически важна
ПРАВИЛО #1: ВСЕГДА ПРОВЕРЯЙТЕ ПО ДРУГОМУ КАНАЛУ СВЯЗИ
Атака под видом государственных органов
Один из самых распространенных и эффективных видов социальной инженерии — звонки и сообщения от лица правоохранительных органов, прокуратуры, налоговой службы, Роскомнадзора и других государственных структур. Мошенники эксплуатируют естественный страх граждан перед властью и правовыми последствиями.
Эти атаки особенно опасны, потому что затрагивают глубинные психологические механизмы: страх наказания, уважение к закону, желание избежать проблем. Даже полностью законопослушные граждане, которым объективно нечего бояться, под давлением могут совершить необдуманные действия.
Типичные легенды мошенников
Угроза обыском
"Здравствуйте, прокуратура города Москвы. На вас оформлен ордер на обыск в связи с уголовным делом. Для отмены необходимо подтвердить вашу личность — продиктуйте данные паспорта и дайте доступ к банковским счетам для проверки"
Роскомнадзор
"Роскомнадзор. Ваш номер телефона попал в черный список за распространение запрещенной информации. Грозит блокировка и штраф. Для снятия ограничений подтвердите SMS-код и оплатите проверку данных"
Нарушение 152-ФЗ
"Федеральная служба по надзору в сфере связи. Зафиксировано нарушение 152-ФЗ о персональных данных. Штраф 1,5 миллиона рублей. Для урегулирования вопроса необходимо срочно предоставить доступ к Госуслугам"
Тотальная проверка
"ФСБ России. Проводится тотальная проверка утечки данных. Вы попали в список проверяемых. Для исключения из списка подозреваемых переведите средства на защищенный счет для анализа"
Спонсирование терроризма
"Звонит сотрудник ФСБ или полиции: «На ваше имя зарегистрирована банковская карта, с которой переводились деньги террористической организации. Вы обвиняетесь в спонсировании терроризма. Для доказательства невиновности необходимо срочно предоставить данные всех ваших счетов и перевести средства на защищенный счет следствия»"
Как распознать мошенников под видом госорганов
Признаки обмана ❌
Психологическое давление и угрозы: Нагнетание страха, запугивание тюрьмой, арестом счетов, уголовным преследованием
Требование паролей и данных: Просят продиктовать пароли, номера карт, пин-коды, данные паспорта по телефону
Запрос SMS-кодов: Просят подтвердить личность через SMS-код — классический признак попытки взлома
Срочность решения: "Нужно прямо сейчас", "Через час будет поздно", "Последний шанс избежать ареста"
Требование перевода денег: Любые просьбы перевести деньги на "защищенный счет", "для проверки", "в качестве залога"
Запрет обсуждать: "Не рассказывайте никому, идет оперативная работа", "Это тайна следствия"
Как действуют реально ✅
Официальные письма: Настоящие государственные органы направляют уведомления письменно — заказными письмами, повестками, официальными документами
Личное посещение: При необходимости опроса или получения информации сотрудники приходят лично с удостоверением
Через Госуслуги: Многие уведомления приходят через личный кабинет на портале Госуслуг
Никаких денег по телефону: Государственные органы НИКОГДА не требуют переводить деньги по телефону
Право на проверку: У вас всегда есть право проверить информацию, перезвонив по официальному номеру ведомства
ПРАВИЛО #2: ГОСУДАРСТВЕННЫЕ ОРГАНЫ НЕ ЗВОНЯТ С ТРЕБОВАНИЯМИ ПАРОЛЕЙ, ДАННЫХ И ДЕНЕГ
Что делать при звонке от "госоргана"
1
Сохраняйте спокойствие
Первая задача мошенника — вывести вас из равновесия. Паника отключает критическое мышление. Сделайте глубокий вдох, напомните себе, что у вас есть время разобраться
2
Запишите информацию
Попросите назвать: ФИО звонящего, должность, название ведомства, номер дела (если есть), контактный телефон для обратной связи. Запишите номер, с которого звонят
3
Прервите разговор
Скажите: "Я перезвоню вам через официальный номер ведомства для проверки". Вы имеете полное право это сделать. Положите трубку, даже если собеседник протестует
4
Проверьте самостоятельно
Найдите официальный сайт ведомства в Google, посмотрите там официальные контактные телефоны. Позвоните по ним и уточните, действительно ли вас разыскивают
5
Ничего не переводите
Ни при каких обстоятельствах не переводите деньги по просьбе позвонившего. Это 100% мошенничество. Государственные органы не работают так
Фишинг через Почту России и налоговую
Мошенническая схема с использованием бренда Почты России и налоговой службы — одна из самых распространенных в России. Злоумышленники рассылают миллионы SMS-сообщений, надеясь, что определенный процент получателей действительно ждет посылку или имеет дела с налоговой.
Схема работает на комбинации доверия к государственным организациям и естественного любопытства. Когда человек видит "Почта России" и трек-номер посылки, первая реакция — "А вдруг мне действительно что-то пришло?" или "Лучше проверю, может это важное письмо от налоговой".
Анатомия SMS-фишинга
SMS-сообщение
Вы получаете SMS: "Почта России. Для вас отправление AA1234567CN. Для получения информации о посылке перейдите по ссылке: bit.ly/xxxxx". Выглядит убедительно, есть трек-номер
Поддельная ссылка
Вы переходите по ссылке и попадаете на сайт pochta-rossii.com (обратите внимание: не pochta.ru, официальный сайт!). Сайт выглядит как настоящий: логотипы, цвета, шрифты — всё скопировано
Запрос данных
Сайт просит "подтвердить личность для получения посылки": паспортные данные, ИНН, СНИЛС, иногда — номер карты "для оплаты хранения". Форма выглядит официально
Кража данных
Вы вводите данные, и они мгновенно попадают к мошенникам. С этими данными можно оформить кредит на ваше имя, взломать Госуслуги, получить доступ к банковским счетам
Важно: Настоящая Почта России НИКОГДА не просит вводить паспортные данные, ИНН, СНИЛС или данные карты через SMS-ссылку. Вся информация о посылках доступна на официальном сайте pochta.ru без ввода личных данных.
Новые сценарии 2026: поддельные госсайты
В 2026 году мошенники будут массово создавать поддельные копии государственных порталов. Эти фишинговые сайты выглядят идентично оригиналам, но крадут ваши данные. Вот самые распространенные сценарии:
Сценарий 1: ЕСИА (Госуслуги) + МФЦ
Ваша очередь в МФЦ отменена. Для повторной записи перейдите по ссылке и подтвердите данные через ЕСИА
Поддельная ссылка: gosuslugi-ru.top или esia-login.site
Сценарий 2: Налоговая служба
Вам одобрен возврат НДФЛ в размере 45 000₽. Для получения средств войдите в личный кабинет налогоплательщика и подтвердите реквизиты
Поддельная ссылка: nalogovaya.site или nalog-ru.online
Сценарий 3: Пенсионный фонд (ПФР)
Индексация пенсии на 12,4% требует подтверждения личных данных. Без подтверждения до конца месяца выплата будет приостановлена
Поддельная ссылка: pfr-gov.ru или pensionnyj-fond.site
Сценарий 4: Росреестр
Регистрация сделки №2026/123456 приостановлена. Требуется подтверждение права собственности через личный кабинет
Поддельная ссылка: rosreestr-ru.com или reestr-gov.site
ПРИЗНАКИ ПОДДЕЛЬНЫХ САЙТОВ
Ссылки с неправильными доменами: gosuslugi-ru.top вместо gosuslugi.ru, nalogovaya.site вместо nalog.gov.ru
Запрос СНИЛС, ИНН, серии и номера паспорта на первом экране
Искусственная срочность: "Подтвердите до 23:59", "Последний день", "Через 3 часа доступ будет заблокирован"
Просьба ввести SMS-код или пароль от Госуслуг
Отсутствие HTTPS или неправильный сертификат безопасности
Как распознать поддельные ссылки
Сокращенные URL
Признак: Ссылки через сервисы сокращения: bit.ly, t.ly, goo.gl, clck.ru
Почему опасно: За короткой ссылкой может скрываться любой адрес, невозможно увидеть заранее, куда вы попадете
Что делать: Никогда не переходите по сокращенным ссылкам из SMS от незнакомых отправителей
Похожие домены
Примеры: poshta-russia.com вместо pochta.ru, gosuslugi-gov.ru вместо gosuslugi.ru, sberbank-online.com вместо sberbank.ru
Техника: Мошенники регистрируют домены, очень похожие на настоящие, добавляя дефисы, меняя буквы, используя другую доменную зону
Что делать: Внимательно проверяйте адресную строку браузера. Один неправильный символ = фишинговый сайт
Давление срочности
Признак: "Посылка ожидает до 18:00", "Оплатите до конца дня", "Последний шанс получить"
Психология: Цейтнот создается искусственно, чтобы вы действовали импульсивно, не проверяя информацию
Что делать: Любая срочность = повод остановиться и проверить. Настоящая почта даст вам время
Запрос личных данных
Признак: Сайт просит ввести паспорт, ИНН, СНИЛС, данные карты
Факт: Для отслеживания посылок или проверки налоговых уведомлений эти данные не нужны
Что делать: Закройте сайт немедленно. Зайдите на официальный сайт вручную, набрав адрес в браузере
ПРАВИЛО #3: НИКОГДА НЕ ПЕРЕХОДИТЕ ПО ССЫЛКАМ ИЗ SMS. ЗАХОДИТЕ НА ОФИЦИАЛЬНЫЕ САЙТЫ ВРУЧНУЮ
Правильный алгоритм проверки посылок
Получили SMS о посылке: Не переходите по ссылке из сообщения. Даже если очень хочется узнать, что это за посылка
Откройте браузер: Вручную наберите в адресной строке: pochta.ru (официальный сайт Почты России)
Раздел отслеживания: На главной странице есть форма "Отслеживание отправлений". Введите трек-номер из SMS
Проверьте информацию: Если посылка реально существует, вы увидите всю информацию: откуда, статус, где находится
Если посылки нет: Трек-номер не найден = SMS была мошеннической
Данные не нужны: На pochta.ru не требуется вводить паспорт, ИНН, СНИЛС для отслеживания
Аналогично работайте с налоговой: не переходите по ссылкам, а зайдите на nalog.gov.ru вручную и проверьте информацию в личном кабинете.
Глава 2
ИИ-атаки 2026 года
Искусственный интеллект произвел революцию не только в легальных технологиях, но и в киберпреступности. В 2026 году мошенники получат доступ к мощным инструментам, которые делают атаки социальной инженерии невероятно убедительными и персонализированными. Граница между реальностью и подделкой стирается.
Если раньше фишинговое письмо можно было распознать по грамматическим ошибкам и примитивному дизайну, то теперь ИИ генерирует идеальные тексты, создает фотореалистичные изображения и даже клонирует голоса реальных людей. Эти технологии доступны, дешевы и не требуют специальных навыков.
Взрывной рост ИИ-атак: статистика 2026
287%
Рост deepfake-атак
Количество атак с использованием поддельных аудио и видео выросло почти в три раза по сравнению с 2025 годом
71%
Не различают подделку
Семь из десяти человек не могут отличить голос, синтезированный искусственным интеллектом, от реального
45
Секунд для клонирования
Современным системам достаточно 45 секунд аудиозаписи, чтобы создать качественную копию голоса любого человека
Эти цифры показывают, почему ИИ-атаки стали главной угрозой 2026 года. Технологический барьер исчез — любой мошенник с минимальным бюджетом может запустить высокотехнологичную атаку.
Deepfake: что это и как работает
Deepfake (от "deep learning" — глубокое обучение и "fake" — подделка) — это синтетические медиа, созданные или модифицированные с помощью искусственного интеллекта. Технология позволяет заменить лицо или голос одного человека на другого в видео или аудиозаписи с высокой степенью реалистичности.
Как создается deepfake-голос
Сбор образца: Мошенник находит публичную запись голоса цели — это может быть интервью на YouTube, выступление на конференции, даже голосовые сообщения в мессенджерах
Обучение модели: ИИ анализирует тембр, интонации, манеру речи, акцент, паузы. Достаточно 30-60 секунд качественной записи
Синтез речи: Обученная модель может произнести любой текст голосом цели. Результат звучит естественно, с правильными интонациями
Атака: Мошенник звонит жертве, используя синтезированный голос, например, голос CEO компании или родственника
Как создается deepfake-видео
Исходное видео: Берется видео реального человека — из соцсетей, корпоративного сайта, публичных выступлений
Замена лица: ИИ накладывает на исходное видео лицо другого человека, синхронизируя мимику и движения
Синхронизация губ: Система подстраивает движения губ под нужный текст (lip-sync)
Результат: Видео, где нужный человек говорит то, что ему никогда не говорил, с убедительной мимикой и артикуляцией
Реальный сценарий deepfake-атаки на бизнес
Рассмотрим детально, как происходит современная deepfake-атака на финансового директора компании. Эта схема уже принесла мошенникам миллионы долларов.
Подготовка
Мошенники изучают компанию в LinkedIn, находят профиль генерального директора. На корпоративном YouTube-канале есть 2-минутное видео с выступлением CEO. Этого достаточно. ИИ обрабатывает видео и создает модель голоса руководителя
Первый контакт
Финансовому директору Виктору приходит голосовое сообщение в Telegram: "Виктор, срочная ситуация. Нужно перевести 2,5 миллиона рублей поставщику на счет NNN. Контракт сорвется, если не сделаем сегодня. Я на встрече, свяжусь позже." Голос абсолютно идентичен голосу CEO
Видеозвонок
Через 10 минут приходит видеозвонок в Zoom. На экране — CEO, в своем кабинете (на самом деле deepfake-видео, наложенное на реальный фон офиса). "Виктор, сделай перевод. Клиент ждет. Детали пришлю после." Видео немного подтормаживает, но это можно списать на плохой интернет
Исполнение
Виктор, убежденный, что говорил с реальным CEO (голос тот же, лицо то же), выполняет перевод. Деньги уходят на счет мошенников. Когда обман раскрывается, вернуть средства уже невозможно
Как распознать deepfake: признаки подделки
Аудио-аномалии
Неестественные паузы между словами
Странные интонации, монотонность
Искажения при эмоциональных моментах
Слишком "чистый" звук без фоновых шумов
Повторяющиеся речевые паттерны
Видео-аномалии
Размытость контура лица
Нестыковка движения губ со звуком
Неестественная мимика или ее отсутствие
Странное освещение на лице
Артефакты при резких движениях головы
Контекстные признаки
Необычное окружение (студийный фон вместо привычного офиса)
Отсутствие реакции на ваши вопросы
Избегание камеры (только аудио)
Слишком идеальное качество видео
Нехарактерное для человека поведение
4
Главное правило: Даже если вы на 99% уверены, что видите и слышите реального человека — проверьте информацию по другому каналу связи. Позвоните на корпоративный номер, напишите на рабочую почту. Это займет 2 минуты и может спасти миллионы.
Защита от deepfake-атак
Всегда второй канал
Получили аудио/видео-звонок с финансовым запросом? Прервите его и перезвоните по известному вам номеру. Даже если голос и лицо узнаваемы — это может быть deepfake
Кодовые слова
Договоритесь с руководством о секретной фразе или кодовом слове для критических операций. Прежде чем выполнить крупный перевод, попросите назвать кодовое слово
Корпоративные процедуры
Внедрите правило: любые финансовые операции выше определенной суммы требуют письменного подтверждения с двухфакторной аутентификацией и одобрения двух руководителей
Мошенничество с "ошибочным переводом"
Это одна из самых коварных схем 2026 года, потому что она начинается с реального перевода денег на ваш счет. Мошенники используют психологию: когда человек видит, что ему пришли деньги, он расслабляется и не подозревает обмана.
Схема стала популярной с развитием систем мгновенных переводов и СБП (Система Быстрых Платежей). Мошенники научились использовать банковские процедуры против самих пользователей.
Как работает схема "ошибочного перевода"
1
Этап 1: Перевод
На вашу карту приходит 5000 рублей. В назначении платежа написано что-то нейтральное: "За услуги", "Оплата", "Перевод". Деньги реальные, они зачислены на ваш счет
2
Этап 2: SMS
Через несколько минут приходит SMS или звонок: "Извините, случайно перевел вам деньги. Это была оплата поставщику. Верните, пожалуйста, но с учетом комиссии банка — переведите 5500 рублей на номер +7XXX"
3
Этап 3: Давление
Если не отвечаете, начинается эмоциональное давление: "Это последние деньги", "Детей кормить нечем", "Меня уволят", "Обращусь в полицию". Создается ощущение вины и срочности
4
Этап 4: Ловушка
Когда вы переводите деньги обратно, мошенник просит подтвердить операцию SMS-кодом. Этот код — не подтверждение перевода, а код авторизации для входа в ваш банк или Госуслуги
5
Этап 5: Взлом
Используя полученный код, мошенники получают полный доступ к вашему банковскому счету или учетной записи Госуслуг. Первоначальные 5000 рублей — это инвестиция, которая окупится кражей всех ваших средств
Что происходит в банковской системе
Техника обмана
Мошенники используют украденные карты или "дропы" (подставные счета) для первоначального перевода. Эти 5000 рублей — не их деньги, это деньги других жертв. Для них это операционные расходы.
Когда вы "возвращаете" деньги, они идут уже на счет мошенников, а не на исходную карту. Так они "отмывают" украденные средства через цепочку переводов.
SMS-код, который они просят прислать "для подтверждения возврата", на самом деле является кодом для входа в ваш личный кабинет банка, Госуслуги или другого сервиса.
ПРАВИЛО #4: ДЕНЬГИ, ПРИШЕДШИЕ "ПО ОШИБКЕ" — НИКОГДА НЕ ТРОГАЙТЕ САМИ
Правильные действия при "ошибочном переводе"
1
Не переводите деньги обратно
Самое важное: не совершайте никаких действий с полученными деньгами. Не переводите их обратно самостоятельно, даже если очень просят. Это ловушка.
2
Никаких SMS-кодов
Ни при каких обстоятельствах не присылайте никому SMS-коды. Если человек просит код "для подтверждения возврата" — это 100% мошенник. Возврат денег не требует кодов.
3
Позвоните в свой банк
Свяжитесь с горячей линией вашего банка (номер указан на карте). Объясните ситуацию. Банк проведет операцию возврата через свои каналы, безопасно для вас.
4
Напишите отправителю
Если хотите помочь человеку, который якобы ошибся, скажите: "Обратитесь в свой банк, они вернут перевод через официальную процедуру". Банк может отменить ошибочный перевод в течение нескольких дней.
5
Игнорируйте давление
Любые угрозы, эмоциональные истории, срочность — признаки обмана. Легитимный человек поймет необходимость безопасной процедуры и обратится в банк.
ТОП-3 атаки на мобильный банкинг: Сбер/Т-Банк/Альфа
Мобильный банкинг стал основной целью мошенников в 2025 и будет в 2026 году. Российские банки — Сбербанк, Тинькофф, Альфа-Банк — наиболее часто используются в фишинговых атаках. Вот три самые распространенные схемы, с которыми вы можете столкнуться:
Атака #1: Сбер — "Карта заблокирована"
SMS или push-уведомление: "Ваша карта *1234 заблокирована из-за подозрительной активности. Для разблокировки введите код подтверждения, который придет в SMS"
Как это работает:
Вы получаете SMS с кодом (это настоящий код от Сбера для входа в приложение)
Мошенник звонит и просит продиктовать этот код "для разблокировки"
На самом деле вы даете ему доступ к вашему мобильному банку
Мошенник входит в приложение и переводит все деньги
Атака #2: Т-Банк — "Лимит исчерпан"
Push-уведомление: "Лимит по карте исчерпан. Увеличьте лимит за 59₽ — это займет 2 минуты"
Как это работает:
Вы нажимаете на уведомление и попадаете на поддельный сайт tinkoff-limit.ru
Сайт выглядит идентично настоящему приложению Тинькофф
Вас просят ввести номер карты, CVV, SMS-код
Мошенники получают полный доступ к карте и снимают все средства
Атака #3: Альфа-Банк — "Подозрительная операция"
Звонок от "службы безопасности Альфа-Банка": "Здравствуйте, служба безопасности. Зафиксирована подозрительная операция на 45 000₽. Это вы совершали покупку?"
Как это работает:
Номер телефона подменен — на экране отображается настоящий номер банка 8-800...
Вы говорите "Нет, это не я"
"Сотрудник" говорит: "Сейчас отменим операцию. Назовите код из SMS для подтверждения отмены"
Вы диктуете код — мошенник входит в ваш банк и переводит деньги
Как защититься от атак на мобильный банкинг
Банки НИКОГДА не просят SMS-коды
Запомните раз и навсегда: ни один банк, ни при каких обстоятельствах не попросит вас продиктовать SMS-код по телефону. Код из SMS — это ваш цифровой ключ от банка. Продиктовать его — всё равно что отдать ключи от квартиры незнакомцу.
Официальные номера банков (но помните про подмену!)
Сбербанк: 900 (короткий номер), 8-800-555-55-50
Тинькофф: 2520 (короткий номер), 8-800-555-10-10
Альфа-Банк: 8-800-2000-000
ВАЖНО: Мошенники могут подменить номер телефона (Caller ID Spoofing), и на вашем экране отобразится настоящий номер банка. Поэтому даже если звонят с официального номера — не доверяйте.
Правило "Повесить трубку и перезвонить"
Любой звонок от "банка" с просьбой что-то подтвердить:
Вежливо завершите разговор: "Спасибо, я сам перезвоню"
Найдите официальный номер банка на обратной стороне карты или на официальном сайте
Позвоните сами и уточните ситуацию
Push-уведомления — проверяйте в приложении
Получили push-уведомление о блокировке карты или подозрительной операции? Не нажимайте на уведомление! Откройте приложение банка вручную и проверьте там. Если карта действительно заблокирована, вы увидите это в приложении.
Никаких "комиссий за возврат"
Банки возвращают ошибочно списанные деньги бесплатно через официальную процедуру. Если кто-то просит заплатить комиссию 1-5% "для обработки возврата" — это мошенники.
Проверяйте домены сайтов
Прежде чем вводить данные карты на сайте, проверьте адресную строку:
Правильно: tinkoff.ru, tbank.ru, sberbank.ru, alfabank.ru
Фейк: tinkoff-limit.ru, sber-bank.com, alfa-online.site
ИИ-персонализация: новый уровень таргетинга
В 2025 году мошенники начали использовать искусственный интеллект не только для создания deepfake, но и для глубокой персонализации атак. Больше нет массовых рассылок с примитивными ошибками. Каждое фишинговое письмо теперь выглядит как личное сообщение, написанное специально для вас.
Идеальная грамматика
ИИ-языковые модели генерируют тексты без единой ошибки, с естественными оборотами речи, правильными падежами и склонениями. Больше нельзя полагаться на "странный русский" как признак фишинга
Персональные легенды
ИИ анализирует ваш профиль в LinkedIn, публичные посты, упоминания в новостях и создает убедительную легенду. Письмо ссылается на ваши реальные проекты, коллег, интересы
Фейк-сайты брендов
ИИ-дизайнеры создают pixel-perfect копии корпоративных сайтов за минуты. Отличить подделку от оригинала визуально невозможно — только через проверку домена
Пример ИИ-персонализированной атаки
Представим, что вы — Виктор, руководитель отдела ИБ в средней компании. У вас есть профиль в LinkedIn с указанием текущей должности, предыдущего опыта в "Лаборатории Касперского", интересом к облачной безопасности. Вот как выглядит современная атака:
Тема письма: Приглашение на позицию менеджера
Здравствуйте, Виктор!
Меня зовут Елена Соколова, я рекрутер компании Гарда. Изучая профили специалистов по информационной безопасности, я обратила внимание на ваш опыт в "Лаборатории Касперского" и текущую работу в области защиты корпоративных систем.
У нас открылась позиция Руководитель сетевой безопасности с зарплатой от 400,000 рублей. Учитывая вашу экспертизу в облачных решениях (видела ваши комментарии в обсуждении сетевой безопасности), вы идеально подходите.
Вы прошли предварительный отбор среди 150 кандидатов. Для финализации, пожалуйста, заполните анкету на нашем корпоративном портале: garda-career.com/apply
Жду обратной связи до пятницы.
С уважением,
Елена Соколова
Senior Recruiter, Гарда
+7 (495) XXX-XX-XX
Как ИИ создал это письмо
Сбор данных
ИИ просканировал ваш LinkedIn: текущую должность, предыдущие места работы, навыки, комментарии в профессиональных группах, даже список ваших коллег и контактов
Анализ интересов
Система заметила, что вы активно интересуетесь облачной безопасностью: ставили лайки статьям по вашей специальности, комментировали посты про безопасностиГ, подписаны на тематические группы
Генерация текста
GPT-подобная модель написала персонализированное письмо: упомянула Лабораторию Касперского (ваш престижный предыдущий опыт), указала релевантную позицию, назвала зарплату выше текущей
Создание сайта
ИИ-дизайнер за 5 минут скопировал настоящий сайт Гарда, изменил только домен на garda-career.com. Визуально — идентичная копия
Фишинг
На поддельном сайте форма "анкеты" запрашивает паспортные данные, СНИЛС, ИНН, доступ к Госуслугам "для проверки квалификации". Все данные идут мошенникам
Как защититься от ИИ-персонализации
Проверяйте домены вручную
Даже если сайт выглядит идентично оригиналу, домен выдаст подделку. Настоящий Garda: garda.ru. Фейк: garda-career.com, garda-job.ru, garda-careers.com
Что делать: Не переходите по ссылкам из писем. Если вас заинтересовало предложение, найдите официальный сайт компании в Google и зайдите туда вручную. Посмотрите раздел "Карьера" или "Вакансии".
Связывайтесь напрямую
Если получили предложение о работе или сотрудничестве, не отвечайте на письмо. Найдите компанию в LinkedIn, посмотрите, есть ли там реальный профиль рекрутера Елены Соколовой. Напишите ей напрямую через LinkedIn.
Что делать: Позвоните по официальному номеру компании (из Google, не из письма!) и уточните, действительно ли они ищут сотрудников и проводили ли предварительный отбор.
ПРАВИЛО #8: ВСЕГДА ПРОВЕРЯЙТЕ ДОМЕН ВРУЧНУЮ. ИДЕАЛЬНЫЙ ДИЗАЙН НЕ ГАРАНТИЯ ПОДЛИННОСТИ
Глава 3
Безопасность Госуслуг
Портал Госуслуг (gosuslugi.ru) — это единая точка доступа ко всем государственным услугам в России. Через Госуслуги можно получить паспорт, записаться к врачу, оплатить штрафы, подать налоговую декларацию, проверить пенсионные накопления, зарегистрировать недвижимость и многое другое.
Именно потому, что Госуслуги содержат огромный объем личной информации и дают доступ к критическим функциям, этот сервис стал главной целью мошенников в 2026 году. Взлом аккаунта Госуслуг равен краже вашей цифровой личности.
Что может сделать мошенник с вашими Госуслугами
Кредиты на ваше имя
С доступом к Госуслугам мошенники могут оформить микрозаймы и кредиты в десятках онлайн-сервисов. Многие МФО используют Госуслуги для идентификации. Вы узнаете о долгах, когда придут коллекторы
Перерегистрация имущества
Через Госуслуги подаются заявки в Росреестр. Мошенники могут начать процедуру перерегистрации вашей недвижимости, продажи автомобиля, оформления доверенностей
Доступ к медицинским данным
История болезней, рецепты, результаты анализов — всё это конфиденциальная информация, которую можно использовать для шантажа или продажи на черном рынке
Налоговые махинации
Мошенники могут подать фиктивную налоговую декларацию с вычетами, получить возврат налога на свой счет, зарегистрировать фирму-однодневку на ваше имя
Социальные выплаты
Оформление пособий, субсидий, льгот от вашего имени. Средства будут переводиться на счета мошенников, а разбираться с последствиями придется вам
Документы и данные
Скачивание копий всех ваших документов: паспорт, СНИЛС, ИНН, водительское удостоверение, свидетельства о рождении детей. Эти данные продаются или используются для дальнейших атак
Как происходит взлом Госуслуг
Существует несколько основных векторов атаки на аккаунты Госуслуг. Понимание этих методов поможет вам защититься.
Как видно из диаграммы, две трети взломов происходят через перехват SMS-кодов. Это главная уязвимость, которую нужно закрыть в первую очередь.
Метод 1: Перехват SMS-кодов через дубликат SIM
Получение ваших данных
Мошенники получают ваши паспортные данные через утечки баз данных, фишинговые сайты или покупают на черном рынке. Для дубликата SIM нужны: ФИО, серия и номер паспорта, номер телефона
Заказ дубликата SIM
С этими данными мошенник приходит в салон сотовой связи (часто используются подкупленные или обманутые сотрудники) и заказывает дубликат вашей SIM-карты, якобы "потерял телефон"
Деактивация вашей SIM
Когда выпускается дубликат, ваша оригинальная SIM-карта автоматически отключается. Вы внезапно теряете связь — нет сети, не принимаются звонки
Получение SMS-кодов
Теперь все SMS приходят на дубликат, который в руках мошенника. Он запрашивает восстановление пароля Госуслуг, получает SMS-код, входит в ваш аккаунт
Полный контроль
Мошенник меняет пароль, привязывает свою почту, отключает уведомления. Вы теряете доступ полностью
Как защититься от дубликата SIM
Запрет на дубликат у оператора
Все основные операторы (МТС, Билайн, Мегафон, Теле2) предоставляют услугу "Запрет на выпуск дубликата SIM-карты". Это бесплатно и делается за 5 минут.
Как подключить:
МТС: Личный кабинет → Настройки → Безопасность → Запрет дубликата
Билайн: Личный кабинет → Управление номером → Защита от дубликата
Мегафон: Личный кабинет → Услуги → Безопасность → Блокировка дубликата
Теле2: Личный кабинет → Мой номер → Защита от клонирования
После подключения выпуск дубликата возможен ТОЛЬКО при личном визите с паспортом. Даже в случае реальной утери телефона вам придется идти в салон связи лично, но это небольшая цена за безопасность.
КРИТИЧЕСКИ ВАЖНО: Подключите запрет на выпуск дубликата SIM прямо сейчас. Это займет 5 минут и закроет главный вектор атаки на ваш аккаунт Госуслуг.
Метод 2: Слабые пароли и их переиспользование
22% взломов происходят из-за слабых или повторяющихся паролей. Люди используют один пароль для почты, соцсетей, банков и Госуслуг. Когда происходит утечка базы данных какого-то сервиса, мошенники пробуют эти пароли на других площадках.
85%
Используют одинаковые пароли
Для разных сервисов
23%
Пароль короче 12 символов
Легко взламывается
61%
Содержат личную информацию
Дата рождения, имя, кличка питомца
Если ваш пароль на Госуслугах — "Иванов1985" или "qwerty123", вы буквально оставили дверь своего дома открытой. Мошенники взломают такой пароль за секунды методом перебора из словаря.
Правила создания надежного пароля
1
Длина 20+ символов
Каждый дополнительный символ экспоненциально увеличивает время взлома. Пароль из 8 символов взламывается за часы, из 20 символов — за десятилетия
2
Случайность
Никаких словарных слов, дат рождения, имен, кличек животных. Используйте генератор случайных паролей или придумайте парольную фразу из 4-5 случайных слов
3
Разнообразие символов
Заглавные и строчные буквы, цифры, специальные символы (!@#$%^&*). Пример: "Зеленый$Слон47!Танцует#Луна"
4
Уникальность
Для каждого важного сервиса — свой пароль. Особенно для Госуслуг, банков, почты. Никогда не используйте один пароль дважды
5
Менеджер паролей
Невозможно запомнить десятки уникальных паролей. Используйте менеджер паролей: 1Password, Bitwarden, KeePass. Он генерирует и хранит пароли в зашифрованном виде
Двухфакторная аутентификация (2FA): ваш щит
Двухфакторная аутентификация (2FA) — это метод защиты, при котором для входа в аккаунт требуется не только пароль, но и второй фактор: код из приложения, SMS, или биометрия. Даже если мошенник узнает ваш пароль, без второго фактора он не сможет войти.
Типы 2FA
SMS-коды: Код приходит в сообщении. Удобно, но уязвимо (перехват через дубликат SIM)
Приложения-аутентификаторы: Google Authenticator, Microsoft Authenticator, Яндекс.Ключ. Генерируют коды локально на устройстве. Самый безопасный вариант
Email: Код приходит на почту. Менее надежно, чем приложение
Биометрия: Отпечаток пальца, Face ID. Удобно для смартфонов
Почему приложение лучше SMS
Как мы обсуждали, SMS-коды можно перехватить через дубликат SIM-карты. Приложения-аутентификаторы генерируют коды локально на вашем телефоне, используя криптографический алгоритм. Даже если мошенник украдет ваш номер телефона, коды из приложения он получить не сможет.
Приложение не требует интернета или сотовой связи. Коды генерируются офлайн, основываясь на точном времени и секретном ключе.
ПРАВИЛО #4: ВКЛЮЧИТЕ 2FA ЧЕРЕЗ ПРИЛОЖЕНИЕ (НЕ SMS) НА ГОСУСЛУГАХ, БАНКАХ, ПОЧТЕ
Как включить 2FA на Госуслугах через приложение
01
Зайдите в настройки безопасности
Откройте gosuslugi.ru → войдите в аккаунт → в правом верхнем углу нажмите на свое имя → выберите "Настройки и безопасность" → вкладка "Безопасность"
02
Установите приложение-аутентификатор
На вашем смартфоне установите Google Authenticator (Android/iOS), Microsoft Authenticator, или Яндекс.Ключ. Все приложения бесплатны и работают одинаково
03
Добавьте Госуслуги в приложение
В настройках Госуслуг найдите раздел "Двухфакторная аутентификация" → выберите "Приложение" → появится QR-код → откройте приложение-аутентификатор → нажмите "+" → отсканируйте QR-код
04
Подтвердите настройку
Приложение сгенерирует 6-значный код. Введите его в поле на Госуслугах для подтверждения. Теперь при каждом входе после пароля вас попросят код из приложения
05
Сохраните резервные коды
Госуслуги дадут 10 одноразовых резервных кодов. Сохраните их в надежном месте (не на компьютере!). Если потеряете телефон, эти коды помогут войти в аккаунт
Взлом произошел: план действий 0-24 часа
Несмотря на все меры предосторожности, взлом может произойти. Важно действовать быстро и методично. Первые 24 часа критически важны для минимизации ущерба. Вот пошаговый план восстановления контроля.
Минуты 0-5: Немедленные действия
1
Смените пароль
Если у вас еще есть доступ к аккаунту, немедленно смените пароль на новый (20+ символов, уникальный). Перейдите: Госуслуги → Настройки → Безопасность → Изменить пароль
2
Выйдите из всех сессий
В том же разделе безопасности найдите "Активные сеансы" или "Устройства". Нажмите "Завершить все сеансы, кроме текущего". Это выкинет мошенника из вашего аккаунта
3
Позвоните на горячую линию Госуслуг
Немедленно звоните: +7 (800) 100-70-10 (звонок бесплатный). Сообщите оператору о взломе. Они могут временно заблокировать аккаунт для предотвращения дальнейших действий
Если вы потеряли доступ полностью: Не паникуйте. Звоните на +7 (800) 100-70-10. Оператор запустит процедуру восстановления через МФЦ. Вам нужно будет прийти лично с паспортом.
Часы 0-2: Защита связанных сервисов
Запрет дубликата SIM
Если вы еще не подключили эту услугу, сделайте это прямо сейчас. Позвоните вашему мобильному оператору и активируйте запрет на выпуск дубликата SIM-карты. Это предотвратит повторные атаки
Проверьте кредитную историю
Зайдите на сайт Национального бюро кредитных историй (nbki.ru) или Объединенного кредитного бюро (creditbureau.ru). Закажите свою кредитную историю. Проверьте, не оформлены ли на ваше имя новые кредиты или займы
Уведомите банки
Позвоните в службу поддержки всех ваших банков. Сообщите о взломе Госуслуг. Попросите усилить мониторинг операций по вашим счетам и установить временные лимиты на переводы
Сутки 0-24: Полное восстановление
1
Включите 2FA через приложение
Как только вернете контроль над аккаунтом, настройте двухфакторную аутентификацию через Google Authenticator или аналог. SMS-коды больше не используйте — они ненадежны
2
Подайте заявление в полицию
Взлом аккаунта — это преступление (ст. 272 УК РФ). Подайте заявление онлайн через сервис "Обращение в полицию" на Госуслугах (если восстановили доступ) или лично в отделении. Это создаст юридическую основу для дальнейших действий
3
Смените пароль через МФЦ
Для полной уверенности посетите МФЦ с паспортом и запросите смену пароля Госуслуг. Специалист создаст новый пароль, который придет вам на email. Это гарантирует, что мошенник больше не имеет доступа
5 критических настроек безопасности Госуслуг
Эти пять настроек — минимально необходимый уровень защиты вашего аккаунта Госуслуг. Выполните их все, и вы закроете 95% векторов атаки.
☐ Запрет на выпуск дубликата SIM
Подключите у вашего мобильного оператора (МТС, Билайн, Мегафон, Теле2). Это блокирует главный метод перехвата SMS-кодов
☐ 2FA через приложение (не SMS)
Установите Google Authenticator и настройте его для Госуслуг. Откажитесь от SMS-кодов в пользу приложения
☐ Email-уведомления о входах
В настройках Госуслуг включите опцию "Уведомлять о входах в аккаунт". Каждый раз при входе вам придет письмо на почту. Если вы не входили — это сигнал тревоги
☐ Еженедельная проверка активных сеансов
Заведите привычку: каждую неделю заходите в Госуслуги → Настройки → Безопасность → Активные сеансы. Проверяйте список устройств. Если видите незнакомое устройство — завершайте сеанс и меняйте пароль
☐ Отдельная почта только для Госуслуг
Создайте новый email-адрес, который будете использовать ТОЛЬКО для Госуслуг. Не используйте его для регистраций на других сайтах, соцсетях, форумах. Это изолирует Госуслуги от возможных утечек
Пошаговая инструкция: настройка безопасности за 15 минут
Давайте пройдем весь процесс настройки безопасности от начала до конца. Следуйте инструкциям точно, и ваш аккаунт Госуслуг будет защищен на 95%.
Шаг 1: Запрет дубликата SIM
Откройте приложение или сайт вашего мобильного оператора → войдите в личный кабинет → найдите раздел "Безопасность" или "Услуги" → активируйте "Запрет на выпуск дубликата SIM". Подтвердите через SMS
Шаг 2: Установка аутентификатора
На смартфоне откройте App Store или Google Play → найдите "Google Authenticator" → установите приложение (бесплатно) → откройте приложение
Шаг 3: Настройка 2FA на Госуслугах
Компьютер: gosuslugi.ru → войти → ваше имя (правый верхний угол) → "Профиль" → вкладка "Безопасность" → "Вход в систему → "Выбрать другой способ" → "Одноразовый код (TOTP)"
Шаг 4: Сканирование QR-кода
На экране появится QR-код → откройте Google Authenticator на телефоне → нажмите "+" внизу → "Сканировать QR-код" → наведите камеру на экран компьютера
Шаг 5: Подтверждение и резервные коды
Приложение покажет 6-значный код → введите его на Госуслугах → сохраните 10 резервных кодов (распечатайте или запишите на бумаге, не храните на компьютере) → готово!
Глава 4
Топ-10 правил защиты от социальной инженерии
Мы разобрали множество атак, техник, сценариев. Теперь давайте сведем всю информацию к десяти ключевым правилам — простым, понятным, легко запоминающимся. Эти правила — ваш щит от 95% атак социальной инженерии.
Распечатайте эту страницу, повесьте над рабочим столом, сохраните в заметки телефона. В момент стресса, когда мошенник давит на вас, эти правила помогут сохранить холодную голову.
Правило #1: Всегда проверяйте по другому каналу связи
Это самое важное правило из всех. Получили сообщение от руководителя в Telegram — позвоните по корпоративному телефону. Пришло письмо от банка — зайдите на официальный сайт вручную. Deepfake-звонок от CEO — прервите и перезвоните сами.
Почему это работает: Мошенник контролирует один канал связи. Он создал поддельный аккаунт, подделал голос, зарегистрировал похожий домен. Но он не может контролировать официальный телефон компании или настоящий сайт банка.
Проверка по второму каналу разрушает иллюзию. Не стесняйтесь показаться параноиком — лучше потратить 2 минуты на проверку, чем потерять деньги или данные.
ПРАВИЛО #1: ВСЕГДА ПРОВЕРЯЙТЕ ПО ДРУГОМУ КАНАЛУ СВЯЗИ
Правило #2: Никогда не пересылайте SMS-коды
Для чего нужны SMS-коды
SMS-коды — это одноразовые пароли для подтверждения, что это действительно вы пытаетесь войти в аккаунт или совершить операцию. Они приходят только вам и предназначены только для вашего использования
Почему их нельзя пересылать
Если кто-то просит переслать SMS-код — это мошенник. Без исключений. Даже если это якобы ваш банк, Госуслуги, родственник, CEO. Легитимные организации НИКОГДА не просят пересылать коды
Что произойдет, если переслать
Переслав код, вы даете мошеннику ключ от своего аккаунта. Он войдет в ваш банк, Госуслуги, почту, соцсеть. За секунды изменит пароль, и вы потеряете доступ навсегда
ПРАВИЛО #2: НИКОГДА НЕ ПЕРЕСЫЛАЙТЕ SMS-КОДЫ. ЭТО 100% ПРИЗНАК МОШЕННИЧЕСТВА
Правило #3: Никогда не переходите по ссылкам из SMS
SMS-сообщения с ссылками — один из самых распространенных векторов фишинга. "Вам посылка", "Госуслуги заблокированы", "Задолженность по налогам". Ссылка ведет на поддельный сайт, который крадет ваши данные.
Не переходите: Никогда не нажимайте на ссылки в SMS от неизвестных отправителей. Даже если отправитель выглядит как "Почта России" или "Госуслуги"
Проверяйте вручную: Если SMS утверждает, что у вас посылка или задолженность, откройте браузер и вручную наберите официальный сайт (pochta.ru, gosuslugi.ru, nalog.gov.ru)
Смотрите на домен: Если случайно перешли по ссылке, первым делом проверьте адресную строку браузера. poshta-russia.com, gosuslugi-gov.ru, sber-bank.ru — это фейки
ПРАВИЛО #3: НЕ ПЕРЕХОДИТЕ ПО ССЫЛКАМ ИЗ SMS. ЗАХОДИТЕ НА САЙТЫ ВРУЧНУЮ
Правило #4: Пароль 20+ символов + 2FA через приложение
Пароль
Минимум 20 символов, уникальный для каждого важного сервиса, содержит заглавные и строчные буквы, цифры, спецсимволы. Не используйте словарные слова, даты рождения, имена.
Хорошие примеры:
Зеленый$Слон47!Танцует#Луна
Kp9#mL2@vN5&xR8!qW3
МойКот!Ест@Рыбу#Вечером2026
Плохие примеры:
password123 (словарное слово)
Иванов1985 (имя + дата)
qwerty (легко угадать)
Двухфакторная аутентификация
Включите 2FA через приложение (Google Authenticator, Microsoft Authenticator) на всех критических сервисах: Госуслуги, банки, основная почта.
Почему не SMS: SMS-коды можно перехватить через дубликат SIM. Приложения генерируют коды локально на вашем устройстве — перехватить невозможно.
Где включить:
Госуслуги: Профиль → Безопасность → 2FA
Сбербанк: Настройки → Безопасность → Подтверждение входа
Gmail: Аккаунт Google → Безопасность → Двухэтапная аутентификация
ПРАВИЛО #4: ПАРОЛЬ 20+ СИМВОЛОВ + 2FA ЧЕРЕЗ ПРИЛОЖЕНИЕ (НЕ SMS)
Правило #5: Срочность = красный флаг мошенника
Искусственная срочность — любимый инструмент мошенников. "Нужно прямо сейчас", "Через 15 минут будет поздно", "Последний шанс", "Клиент ждет" — всё это создает цейтнот, который отключает критическое мышление.
Психология цейтнота
Под давлением времени наш мозг переключается в режим "бей или беги". Префронтальная кора, отвечающая за логику и анализ, отключается. Мы действуем импульсивно, не проверяя информацию
Как используют мошенники
"Ордер на обыск отменится только если подтвердите данные в течение часа", "Счет заблокируют через 10 минут", "Контракт сорвется, если не переведешь деньги сейчас" — всё это ложная срочность
Реальность
Легитимные организации и люди дадут вам время подумать. Банки не блокируют счета без предупреждения. Госорганы присылают письменные уведомления. Руководство не требует мгновенных переводов миллионов
Ваша реакция
Если кто-то создает срочность — остановитесь. Сделайте паузу. Скажите: "Я перезвоню через 5 минут" или "Мне нужно проверить информацию". Мошенник будет настаивать. Легитимный человек поймет
ПРАВИЛО #5: СРОЧНОСТЬ = МОШЕННИК. ВСЕГДА БЕРИТЕ ПАУЗУ
Правило #6: Госорганы пишут письма, не звонят
Запомните раз и навсегда: настоящие государственные органы (полиция, прокуратура, налоговая, ФСБ, суды) НЕ звонят с требованиями паролей, данных или денег. Они работают через официальные письменные документы.
Как работают на самом деле
Официальные уведомления приходят заказными письмами с уведомлением о вручении. Повестки в суд или полицию вручаются лично. Многие уведомления дублируются через личный кабинет на Госуслугах
Если всё же звонят
Если кто-то звонит и представляется сотрудником госоргана, попросите ФИО, должность, название ведомства, контактный телефон. Скажите, что перезвоните по официальному номеру для проверки
Чего НИКОГДА не попросят
Настоящие сотрудники госорганов никогда не попросят по телефону: пароли, SMS-коды, данные банковских карт, переводить деньги на "защищенный счет", удаленный доступ к компьютеру
ПРАВИЛО #6: ГОСОРГАНЫ ПИШУТ ОФИЦИАЛЬНЫЕ ПИСЬМА, НЕ ТРЕБУЮТ ДАННЫЕ ПО ТЕЛЕФОНУ
Правило #7: Деньги "по ошибке" — игнорируйте
Если на ваш счет пришли деньги, которые вы не ждали, и через минуту звонят с просьбой вернуть — это мошенническая схема. Не переводите деньги обратно самостоятельно.
1
Что делать
Позвоните в свой банк на горячую линию. Объясните ситуацию. Банк проведет возврат через официальные каналы, безопасно для вас. Если человек действительно ошибся, банк вернет ему деньги
2
Чего не делать
Не переводите деньги сами. Не присылайте SMS-коды. Не давайте доступ к банковскому приложению. Не поддавайтесь на эмоциональное давление ("дети голодные", "последние деньги")
3
Почему это ловушка
Мошенники используют эти деньги как приманку. Когда вы "возвращаете" перевод, они просят SMS-код "для подтверждения". Этот код — ключ к вашему банковскому счету
ПРАВИЛО #7: ДЕНЬГИ "ПО ОШИБКЕ" — ИГНОРИРУЙТЕ. ПУСТЬ БАНК РАЗБИРАЕТСЯ
Правило #8: Проверяйте домен вручную
Самый красивый сайт с идеальным дизайном, правильными логотипами и убедительными текстами может быть фишинговой подделкой. Единственный надежный способ проверки — посмотреть на домен в адресной строке браузера.
Настоящие домены
gosuslugi.ru (Госуслуги)
pochta.ru (Почта России)
nalog.gov.ru (Налоговая)
sberbank.ru (Сбербанк)
garda.ru (Гарда)
Обратите внимание: короткие, простые, используют .ru или .gov.ru
Поддельные домены
gosuslugi-gov.ru (лишнее слово)
poshta-russia.com (ошибка + .com)
nalog-russia.ru (добавлено russia)
sber-bank.ru (лишний дефис)
garda-career.com (добавлено career)
Мошенники добавляют слова, дефисы, меняют буквы, используют другую зону (.com вместо .ru)
Как проверять: Не переходите по ссылкам из писем и SMS. Откройте браузер и вручную наберите адрес официального сайта. Или найдите компанию в Google и перейдите на сайт из поисковой выдачи.
ПРАВИЛО #8: ВСЕГДА ПРОВЕРЯЙТЕ ДОМЕН. ОДИН НЕПРАВИЛЬНЫЙ СИМВОЛ = ФИШИНГ
Правило #9: Запретите выпуск дубликата SIM
Это одна из самых важных технических мер защиты. Запрет на выпуск дубликата SIM-карты блокирует главный метод перехвата SMS-кодов и взлома через восстановление пароля.
Что это дает
После активации запрета мошенник не сможет заказать дубликат вашей SIM-карты, даже если у него есть копия вашего паспорта. Дубликат можно получить ТОЛЬКО при личном визите в салон связи с оригиналом паспорта
Как подключить
У всех основных операторов (МТС, Билайн, Мегафон, Теле2) есть эта услуга. Зайдите в личный кабинет оператора → раздел "Безопасность" или "Услуги" → активируйте "Запрет дубликата SIM". Услуга бесплатна
Сделайте прямо сейчас
Не откладывайте. Это займет 5 минут и может спасти вас от взлома Госуслуг, банковских аккаунтов, кражи денег. Подключите запрет на дубликат SIM прямо сейчас, пока читаете этот документ
ПРАВИЛО #9: ЗАПРЕТИТЕ ВЫПУСК ДУБЛИКАТА SIM У ВАШЕГО ОПЕРАТОРА
Правило #10: Проверяйте активные сеансы еженедельно
Многие сервисы (Госуслуги, банки, Google, социальные сети) показывают список устройств, с которых был выполнен вход в ваш аккаунт. Регулярная проверка этого списка помогает обнаружить взлом на ранней стадии.
01
Заведите привычку
Каждую неделю, например, в воскресенье вечером, проверяйте активные сеансы во всех важных аккаунтах: Госуслуги, онлайн-банк, основная почта
02
Где искать
Госуслуги: Настройки → Безопасность → Активные сеансы. Сбербанк: Настройки → Безопасность → Устройства. Gmail: Аккаунт Google → Безопасность → Ваши устройства
03
Что проверять
Смотрите на список устройств и местоположения. Ваш телефон, ваш компьютер, ваш город — всё должно быть знакомо. Если видите "iPhone в Новосибирске", а вы в Москве с Android — это взлом
04
Если нашли чужое устройство
Немедленно завершите этот сеанс через кнопку "Выйти" или "Завершить". Затем смените пароль (20+ символов), включите 2FA, проверьте не было ли подозрительных действий от вашего имени
ПРАВИЛО #10: ПРОВЕРЯЙТЕ АКТИВНЫЕ СЕАНСЫ КАЖДУЮ НЕДЕЛЮ
Контрольный список защиты: сделайте прямо сейчас
Вы прочитали весь документ и теперь знаете, как защититься от социальной инженерии. Но знания бесполезны без действий. Вот контрольный список из 5 критических задач. Выполните их прямо сейчас, пока информация свежа в памяти.
☐ Включить 2FA через приложение на Госуслугах
Установите Google Authenticator или аналог. Зайдите на gosuslugi.ru → Настройки → Безопасность → настройте 2FA через приложение (не SMS). Сохраните 10 резервных кодов
☐ Запретить выпуск дубликата SIM у оператора
Зайдите в личный кабинет вашего мобильного оператора (МТС, Билайн, Мегафон, Теле2) → найдите раздел "Безопасность" → активируйте "Запрет на выпуск дубликата SIM-карты"
☐ Установить менеджер паролей
Скачайте Bitwarden, 1Password или KeePass. Начните создавать уникальные пароли 20+ символов для всех важных сервисов. Первым делом смените пароль Госуслуг
☐ Создать отдельную почту только для Госуслуг
Зарегистрируйте новый email-адрес (например, на Gmail или Mail.ru), который будете использовать ТОЛЬКО для Госуслуг. Измените email в настройках аккаунта Госуслуг на новый
☐ Проверить кредитную историю
Зайдите на nbki.ru или creditbureau.ru. Закажите свою кредитную историю (раз в год бесплатно). Убедитесь, что на ваше имя не оформлены неизвестные вам кредиты или займы
Время выполнения: 30-40 минут. Это небольшая инвестиция времени, которая защитит вас от 95% атак социальной инженерии и потенциально сэкономит сотни тысяч рублей и месяцы разбирательств.
Корпоративный чеклист безопасности
Эти правила должны стать частью корпоративной культуры. Распечатайте и повесьте на видном месте в каждом отделе.
БУХГАЛТЕРИЯ
Проверка ЭЦП перед подписью
1С только из корпоративной сети
Счета — только по почте + звонок
Финансовые операции >100 000₽ — двойное подтверждение
Смена банковских реквизитов — только через официальный запрос
IT
VirusTotal для всех вложений
Никогда не помогать "по телефону"
Удаленный доступ только через VPN
Логи доступа — проверка раз в неделю
Обновления безопасности — в течение 24 часов
HR
Проверка кандидатов через СПАРК/Контур
Отдельная почта для резюме
Никаких личных данных в публичных объявлениях
Проверка рекомендаций — только по телефону компании
РУКОВОДСТВО
Деловые запросы только через корпоративную почту
Финансовые решения — никогда через мессенджеры
Кодовое слово для экстренных ситуаций
Публичные выступления — минимум личной информации
ВСЕ СОТРУДНИКИ
Пароли 20+ символов, уникальные
2FA везде, где возможно
Подозрительное письмо → сразу в IT
Сомневаешься — спроси коллегу
Заключение: иммунитет к 95% атак
Поздравляем! Вы дошли до конца этого исчерпывающего руководства по защите от социальной инженерии. Теперь у вас есть все знания и инструменты, чтобы защитить себя, свою семью, свою компанию от мошенников.
Что вы узнали
Психологию манипуляции и почему даже эксперты попадаются на атаки
Классические схемы фишинга через Telegram, Почту России, госорганы
Современные ИИ-атаки: deepfake-голоса, ошибочные переводы, персонализированный фишинг
Как защитить и восстановить доступ к Госуслугам
Топ-10 правил защиты и контрольный список действий
Ваши следующие шаги
Выполните контрольный список из предыдущей карты
Распечатайте топ-10 правил и повесьте на видном месте
Расскажите об этих методах защиты родным и коллегам
Раз в квартал перечитывайте ключевые разделы для освежения знаний
Будьте бдительны, но не параноиками — действуйте разумно
"Следуя рекомендациям этого документа, вы получаете иммунитет к 95% атак социальной инженерии. Оставшиеся 5% — это сверхсложные целевые атаки, требующие значительных ресурсов. Для обычного пользователя эти меры защиты более чем достаточны."
Помните: социальная инженерия эксплуатирует человеческую природу — доверие, страх, желание помочь. Эти качества делают нас людьми, и их не нужно подавлять. Просто добавьте к ним здоровую долю скептицизма и привычку проверять информацию по второму каналу.
Оставайтесь в безопасности!
Документ регулярно обновляется с учетом новых угроз и методов защиты.
Об авторе
Денис Батранков
Эксперт по кибербезопасности с более чем 30-летним опытом, директор по развитию бизнеса в ГК «Гарда».
Денис Батранков является признанным авторитетом в области информационной безопасности. Его глубокие знания и многолетний практический опыт позволили создать это всеобъемлющее руководство, целью которого является повышение осведомленности и защиты пользователей от постоянно эволюционирующих угроз социальной инженерии.

Дата: 9 января 2026 год
Дополнительные ресурсы
Telegram-канал по кибреграмотности
Топ Кибербезопасности
Видео об телефонных мошенниках
Телефонные аферисты (18 минут)