Почему компании не могут остановить атаки социальной инженерии? | Мнение

Источник: CryptoNewsNet Оригинальный заголовок: Почему компании не могут остановить социальную инженерию? | Мнение Оригинальная ссылка: За последний год большинство крупнейших эксплойтов в криптоиндустрии имели одну и ту же коренную причину: людей. За последние несколько месяцев Ledger призвал пользователей приостановить активность в сети после того, как npm-менеджеры были обмануты, а вредоносные пакеты распространились; Workday раскрыл кампанию социальной инженерии, которая получила доступ к данным в сторонней CRM; а операторы, связанные с государством, продолжали фальшивые вакансии против команд крипто, чтобы доставить вредоносное ПО.

Итоги

• Криптовалюты не взламывают — их убеждают сдать себя. Большинство нарушений сейчас происходит из-за фишинга, фальшивых обновлений и impersonation, а не из-за сломанного кода, делая “людей” основной точкой атаки.
• Программируемые деньги превращают небольшие ошибки в катастрофические потери. Один утекший ключ или одобренный запрос могут мгновенно и необратимо вывести средства, делая социальную инженерию системным риском, а не пользовательской ошибкой.
• Пока операционная безопасность не будет рассматриваться как основная инфраструктура, эксплойты будут продолжать расти. Аудиты и код-ревью не могут остановить человеческую обманчивость — только принудительные стандарты устройств, доступа и обучения могут.

Несмотря на миллиарды, потраченные на кибербезопасность, компании продолжают проигрывать простым атакам социальной инженерии. Команды вкладывают деньги в технические меры защиты, аудиты и код-ревью, игнорируя операционную безопасность, гигиену устройств и базовые человеческие факторы. По мере того, как все больше финансовых операций переходит в блокчейн, этот слепой пятно становится системным риском для цифровой инфраструктуры.

Единственный способ замедлить рост атак социальной инженерии — это широкие и устойчивые инвестиции в операционную безопасность, которые снижают отдачу от этих тактик.

Социальная инженерия — ахиллесова пята кибербезопасности

Отчет Verizon о расследовании утечек данных за 2025 год связывает “человеческий фактор” (фишинг, украденные учетные данные и повседневные ошибки) примерно с 60% утечек данных.

Социальная инженерия работает потому, что она нацелена на людей, а не на код, эксплуатируя доверие, срочность, знакомство и рутину. Эти виды эксплойтов нельзя устранить с помощью аудита кода и их трудно защитить автоматизированными средствами кибербезопасности. Обзор кода и другие распространенные практики кибербезопасности не могут остановить сотрудника, одобряющего мошеннический запрос, который выглядит как от менеджера, или скачивание фальшивого обновления программного обеспечения, кажущегося легитимным.

Даже высокотехнические команды попадаются; человеческая слабость универсальна и упряма. В результате социальная инженерия продолжает приводить к реальным инцидентам.

Криптовалюты повышают ставки

Программируемые деньги концентрируют риск. В Web3 компрометация seed-фразы или API-токена может быть равносильна взлому банковского сейфа. Необратимая природа криптовалютных транзакций усиливает ошибки: как только средства перемещены, зачастую невозможно отменить транзакцию. Одна ошибка в безопасности устройства или обращении с ключами может уничтожить активы. Децентрализованный дизайн Web3 означает, что часто нет службы поддержки, к которой можно обратиться, оставляя пользователей сам на сам с проблемой.

Хакеры, включая государственные операторы, отметили эффективность атак социальной инженерии и адаптировались соответственно. Операции сильно зависят от социальной инженерии: фальшивые предложения работы, отравленные PDF, вредоносные пакеты и целенаправленный фишинг, эксплуатирующие человеческие уязвимости.

Эти эксплойты удивительно эффективны и просты в выполнении, а технологические компании, похоже, неспособны противостоять им. В отличие от эксплойтов нулевого дня, которые быстро исправляются (заставляя хакеров искать новые стратегии эксплойта), хакеры могут многократно использовать одни и те же тактики социальной инженерии, работая автономно, тратя больше времени на взлом и меньше — на R&D.

Компаниям нужно инвестировать в операционную безопасность

Слишком много организаций по-прежнему рассматривают безопасность как вопрос соблюдения требований — отношение, подкрепленное мягкими нормативными стандартами. Компании регулярно проходят аудиты и публикуют безупречные отчеты, несмотря на наличие очевидных операционных рисков: ключи администратора хранятся на личных ноутбуках, учетные данные делятся через чат и email, устаревшие привилегии доступа никогда не обновляются, а ноутбуки для командировок переоборудуются под разработку.

Исправление этого нарушения дисциплины требует явных, принудительных мер операционной безопасности. Команды должны использовать управляемые устройства, надежную защиту конечных точек и полное шифрование дисков; входы в систему должны использовать менеджеры паролей и MFA, устойчивое к фишингу; системные администраторы должны тщательно управлять привилегиями и доступом. Эти меры не являются панацеей, но усложняют социальную инженерию и помогают снизить последствия потенциальных эксплойтов.

Самое важное — команды должны инвестировать в обучение операционной безопасности; сотрудники (а не команды кибербезопасности) — это первая линия защиты от атак социальной инженерии. Компании должны тратить время на обучение своих команд распознавать вероятные фишинговые атаки, практиковать безопасную гигиену данных и понимать принципы операционной безопасности.

Критически важно, чтобы организации добровольно не принимали жесткие меры кибербезопасности; регуляторы должны вмешаться и установить обязательные операционные стандарты, делающие реальную безопасность необязательной. Нормативные рамки должны выходить за рамки документации и требовать доказательств безопасных практик: проверенного управления ключами, периодических проверок доступа, укрепления конечных точек и симуляций фишинга. Без регуляторных рычагов стимул всегда будет склоняться к внешнему виду, а не к результатам.

Социальная инженерия только ухудшается

Важно инвестировать в операционную безопасность прямо сейчас, потому что скорость атак растет экспоненциально.

Генеративный ИИ изменил экономику обмана. Хакеры теперь могут персонализировать, локализовать и автоматизировать фишинг в промышленном масштабе. Кампании, ранее ориентированные на одного пользователя или предприятие, теперь могут использоваться для атаки тысяч бизнесов с минимальными дополнительными затратами. Фишинг-атаки можно персонализировать всего несколькими кликами, внедряя интимные детали, чтобы сделать поддельное письмо более правдоподобным.

ИИ также ускоряет разведку. Публичные следы, утекшие учетные данные и открытая разведка могут быть собраны и использованы для создания “брифов” по каждой жертве, помогая хакерам разрабатывать очень убедительные атаки.

Замедление темпа атак

Социальная инженерия процветает там, где доверие и удобство превосходят проверку и осторожность. Организациям нужно принять более оборонительную позицию и (правильно) предполагать, что они постоянно под угрозой атаки социальной инженерии.

Команды должны внедрять принципы нулевого доверия в повседневную работу и включать принципы операционной безопасности во все уровни компании. Они должны обучать сотрудников операционной безопасности, чтобы остановить атаки на ранних стадиях, и держать команду в курсе последних тактик социальной инженерии.

Самое важное — компаниям нужно определить, где в их операциях еще живет доверие (где злоумышленник может выдать себя за сотрудника, программное обеспечение или клиента) и ввести дополнительные меры защиты.

Социальная инженерия не исчезнет, но мы можем сделать ее гораздо менее эффективной и значительно менее катастрофичной при возникновении атак. По мере того, как индустрия укрепляется против этих угроз, социальная инженерия станет менее прибыльной для хакеров, а число атак — снизится, наконец положив конец этому бесконечному циклу эксплойтов.