Социальная инженерия, фишинг и чек-лист
Самый надёжный код не спасёт, если пользователь сам отдаст пароль убедительному письму. Финальный урок — про человека и про итоги.
Социальная инженерия — манипуляция людьми, чтобы заставить их раскрыть данные или совершить действие, обходя технические защиты через доверие, страх или спешку.
Почему атакуют людей
Взламывать стойкое шифрование дорого и трудно. Гораздо проще обмануть человека: попросить пароль «от службы поддержки», прислать письмо «срочно подтвердите аккаунт», позвонить «из банка». Человек — часто самое слабое звено, и атакующие это знают.
Фишинг: как распознать
Фишинг — поддельные письма, сайты или сообщения, имитирующие доверенный источник, чтобы выманить пароли или данные.
Тревожные признаки, по которым распознают фишинг:
- Срочность и угроза. «Аккаунт будет заблокирован через час!» — давление спешкой отключает критическое мышление.
- Подозрительный адрес. Домен похож, но не тот:
paypa1.comвместоpaypal.com, лишний поддомен. - Просьба ввести пароль/данные по ссылке. Легитимные сервисы не просят пароль письмом.
- Неожиданные вложения. Особенно исполняемые файлы и «счета».
- Несоответствие. Обращение «уважаемый клиент» без имени, ошибки, странный тон.
Как защищаться от фишинга
| Правило | Почему помогает |
| Проверять домен в адресной строке | фишинг живёт на похожем, но другом домене |
| Не вводить пароль по ссылке из письма | заходить на сайт самому, набрав адрес |
| Включить MFA | даже выманенный пароль не даст войти |
| Менеджер паролей | не подставит пароль на поддельном домене |
| Сомневаешься — проверь по другому каналу | перезвонить в банк по официальному номеру |
Заметьте: MFA и менеджер паролей из второго раздела работают и здесь — менеджер не подставит пароль на чужом домене, а MFA обесценит украденный пароль.
Другие приёмы социальной инженерии
- Претекстинг. Выдуманная роль («я новый сисадмин») для получения доступа.
- Приманка. «Найденная» флешка или заманчивая ссылка с вредоносом.
- Хвостовой проход. Проникнуть в офис вслед за сотрудником, держащим дверь.
Общее лекарство — здоровый скептицизм и привычка проверять, а не реагировать на спешку.
Итоговый чек-лист безопасной разработки
Сведём весь курс в практический список:
- Пароли — только хэш с солью через bcrypt/argon2; MFA где можно.
- Любой ввод проверяй (валидация) и используй безопасно (параметризация, экранирование).
- Защищайся от OWASP Top 10: инъекции, XSS, CSRF, контроль доступа к объектам.
- Везде HTTPS; секреты — в окружении, не в коде;
.env— в.gitignore. - Наименьшие привилегии для сервисов, ключей и пользователей.
- Зависимости фиксируй, сканируй и обновляй осознанно.
- Логируй события (без секретов) и имей план реагирования.
- Не изобретай криптографию — бери проверенные библиотеки.
- Помни про человека: фишинг и социальная инженерия.
Что учить дальше
Этот курс — фундамент. Дальше углубляйтесь по интересам: практическая безопасность веб-приложений (материалы OWASP), безопасность облака и контейнеров, прикладная криптография, тестирование на проникновение в учебных средах, безопасная разработка (DevSecOps). Главный навык вы уже усвоили: думать о том, что может пойти не так, и не доверять вводу по умолчанию.
Итог
- Социальная инженерия обходит технику через доверие, страх и спешку.
- Фишинг распознают по срочности, поддельному домену и просьбе ввести пароль по ссылке.
- MFA, менеджер паролей и проверка домена — лучшая защита пользователя.
- Итоговый чек-лист собирает практики всего курса; учиться дальше — по OWASP, облаку и крипто.
