От шпионов в мобильных приложениях до звонков поддельных федералов — в этой статье подробно рассказываем о том, какие бывают схемы мошенничества в интернете и по телефону, а также какими способами можно обезопасить себя от попадания на удочку злоумышленников.
Аферисты придумывают все новые способы добраться до чужих денег, используя цифровые технологии и методы социальной инженерии. Каждый месяц телефонным мошенникам удается совершать хищения на суммы до 5 миллиардов рублей со счетов граждан России. Как они это делают?
Для своих легенд мошенники применяют сведения из баз персональных данных, полученных разными способами.
Например, вы оформляете абонемент в бассейн или скидочную карту в обувном магазине. Консультант просит вас заполнить анкету с личными сведениями, указать номер телефона, а иногда даже снимает с паспорта копию. Здесь возникает опасность утечки информации — аферисты могут работать в паре с сотрудниками фитнес-клубов, салонов связи, гостиниц, торговых центров. Они передают персональные сведения клиента мошенникам, а те пользуются ими с недобрыми намерениями.
Поэтому важно следить, какие данные в каком объеме для каких целей вы предоставляете. Да, уточнять все детали — не так удобно, как просто продиктовать номер телефона или протянуть паспорт для сканирования. Зато безопаснее.
Так, сообщалось о массовом нарушении протоколов безопасности на крупном государственном портале «Госуслуги». И хотя впоследствии Минцифры информацию опровергло, теоретически это вполне возможный расклад событий.
Самым масштабным в истории Рунета кибернападением к данному моменту эксперты считают DDoS-атаку на «Яндекс». Правда, в холдинге заявили, что в результате инцидента злоумышленникам всё же не удалось пробить брешь в защите. Впрочем, обнародовать успешные случаи хакерских атак компании по понятным причинам очень не любят, а киберпреступники этим пользуются. У жертв вредоносных программ вымогают выкуп, а если те отказываются платить, им угрожают сообщить о взломе корпоративных сетей их клиентам. Со временем преступники пошли ещё дальше: теперь угрозы о публикации похищенных сведений поступают даже в случаях, когда жертва инцидента заявляет о нём в полицию: её принуждают отозвать заявление.
Для кражи логинов и паролей хакеры создают поддельные сайты — так называемые «зеркала», например, незначительно меняя адрес в Сети. Вместо адреса online.sberbank.ru пользователь заходит на online.sebrbank.ru — клон оригинального сайта банковской системы, где вводит данные для входа в личный кабинет и своими руками открывает злоумышленникам доступ к накоплениям.
Схема фишинга работает и для мобильных платформ. Фальшивые программы, будучи установленными на смартфон, крадут важные данные или блокируют работу гаджета, пока жертва не внесет требуемую сумму на указанные реквизиты. В частности, сообщалось о вредоносной копии мобильной платформы «Мой налог». Самозанятым гарантировали выгодный процент при декларации доходов через приложение, однако их взносы шли не в российские налоговые структуры, а на сторону — к мошенникам.
Фишинговые ссылки могут приходить вам по электронной почте или в мессенджерах. В теме письма мошенники обычно используют громкие лозунги типа «Ваш аккаунт будет заблокирован через…», чтобы пользователь точно не прошёл мимо.
Широко известен случай, когда русскоязычная киберпреступная группировка OldGremlin запустила рассылку якобы от Союза микрофинансовых организаций «МиР». Под удар попали как почты пользователей, из которых похитили данные, так и корпоративная сеть саморегулируемой организации, в которую был запущен вирус, блокировавший работу филиалов в регионах.
Хакеры также зашивают вредоносные ссылки в рекламные объявления. Людей привлекают выгодными предложениями: оформить займ без процентов, купить товар с большой скидкой, принять участие в лотерее, получить государственную финансовую помощь и т.д. Пользователей разными способами просят поделиться информацией о себе: ввести номер телефона, код банковской карточки или указать паспортные данные, а иногда даже требуют прикрепить копии документов.
Используют сведения мошенники разными путями. Иногда полученных данных сразу достаточно для кражи денег со счёта или оформления кредита на чужое имя. Иногда нет; в таком случае аферисты задействуют определённые схемы, чтобы всё-таки к ним подобраться. Остановимся подробнее на самых распространённых из них.
Звонок под чужим именем — классический сценарий работы, при этом преступники постоянно изобретают новые методы обмана, мастерски усыпляя бдительность россиян. Потенциальной жертве набирают, выдавая себя за сотрудника:
Нередко к потенциальной жертве обращаются по имени и сообщают иную личную информацию.
Самая неприятная история под кодовым названием «Мама, я попал в аварию…» Потенциальная жертва получает звонок или сообщение от родственника. Случилось что-то плохое, есть угроза серьезного срока в тюрьме. Но можно все исправить! Если перевести крупную сумму денег по определенным реквизитам. У кого не дрогнет сердце, когда его близкий в беде и просит помочь?
Только путём информирования людей о данном способе мошенничества и личных проверок: постарайтесь связаться с тем человеком, о котором беспокоитесь, по любому доступному вам каналу, прежде чем что-либо предпринимать. В противном случае вы рискуете попасть на удочку мошенникам, и уже ваш близкий человек будет обеспокоен вашим состоянием.
Главная цель такой коммуникации — войти в доверие к жертве и убедить ее в том, что она разговаривает с банковским сотрудником, а повод для звонка может быть любым. Эксперты выделяют три основных стратегии поведения телефонных мошенников:
Чаще всего потенциальной жертве сообщают о попытке несанкционированного перевода с банковской карты или счёта. Процесс «обработки» жертвы можно условно разделить на три основных этапа.
Этап 1. Запугивание
Аферисты связываются с владельцем карты по телефону и представляются сотрудниками банка. Далее они уточняют, совершала ли жертва денежный перевод на имя третьего лица, называя также ФИО мнимого получателя средств. Встревоженный пользователь отрицает, что инициировал операцию. Злоумышленники провоцируют «клиента» начать волноваться за свои средства: давят на то, что действовать нужно быстро, пока преступник не успел перевести деньги. В таких условиях человеку становится сложно критически мыслить и анализировать происходящее.
Этап 2. Завоевание доверия
Мошенники просят собеседника проверить, не терял ли он карту, и задают стандартные уточняющие вопросы: время последнего использования «пластика», сумму операции и подобные. Жертве на телефон могут даже отправить с номера 900 поддельное СМС с кодом подтверждения, скопированное с аналогичных банковских уведомлений. Здесь «чёрные» колл-центры прибегают к тому же методу, что и разработчики фишинговых страниц: оригинальный номер 900 при более внимательном изучении может оказаться, например, комбинацией из девятки и двух нулей.
СМС с якобы официального номера призвана убедить человека в том, что он действительно общается с представителями банка. Злоумышленники намеренно не спрашивают секретный код, а иногда специально подчеркивают, что не вправе уточнять конфиденциальные сведения. После жертву переключают на другого специалиста, обычно «сотрудника техподдержки». Подобная переадресация клиента — еще одна хитрая уловка: человек начинает верить, что имеет дело с крупной организацией, в которой есть разные отделы и работает много сотрудников.
Этап 3. Получение личных данных
Если первые два этапа прошли успешно, злоумышленники начинают подбираться к персональной информации жертвы. Здесь возможны разные ходы: от приёмов социальной инженерии до технических решений вроде программ-шпионов. Чаще всего мошенники прибегают и к тому, и к другому.
Например, сообщалось о схеме, в которой человека убеждали в том, что в его смартфон хакеры могли запустить вирус для хищения денег с карты через мобильный банк. Чтобы удостовериться в подозрениях, мошенники «из техподдержки» уговаривали владельца телефона скачать и установить себе приложение для удаленных подключений, в данном случае TeamViewer.
Программа, безусловно, сама по себе полезная, однако в плохих руках она может служить корыстным целям. Через TeamViewer аферисты получают доступ к конфиденциальным данным, таким как сообщения от кредитных организаций или ID-коды для быстрого входа в мобильный банк.
Есть несколько простых рекомендаций, соблюдая которые, вы сильно снизите риск пострадать от обмана.
Во всех организациях по борьбе с мошенничеством информируют, что представители банков в исключительно редких случаях звонят клиентам с целью сообщить о сбоях в работе баз данных, ошибочном списании денег со счета, блокировке карты и т.д. Обыкновенно все подобные вопросы решаются внутри самой структуры.
Если вам поступил подобный звонок, будьте особенно бдительны. Тщательно следите за ходом диалога. Обращайте внимание на время звонка: реальные банковские сотрудники не будут связываться с клиентами по окончании рабочего дня, ранним утром или на выходных. Так действуют мошенники, чтобы застать человека врасплох.
Если звонок из банка кажется вам подозрительным, не стесняйтесь прервать его. Кладите трубку без предупреждения и перезванивайте по официальному номеру телефона службы поддержки вашего банка. Там вас гарантированно проконсультируют по возникшему вопросу.
Когда сотрудник банка пытается напугать вас пропажей средств со счета, блокировкой карты или другими проблемами, умело нагнетая ситуацию, это явный признак работы мошенников. Об обмане также говорят просьбы назвать код из СМС-сообщения, PIN и CVV карт, логин и пароль онлайн-банка, а также рекомендация установить на смартфон некую программу.
Подделать номер, с которого приходят уведомления, в принципе несложно. Поэтому не спешите следовать инструкциям из новой СМС от банка. Не переходите по ссылкам, не скачивайте приложения или картинки. То же относится к сообщениям об опросах, розыгрышах и специальных акциях.
Федеральная служба безопасности, Следственный комитет, Полиция России… Получая звонок из подобных органов, человек обычно настолько напрягается, что забывает о бдительности. А после в новостях появляется очередная дикая история о том, как люди «в рамках специальной операции» оставляют собственные или заёмные деньги в ячейках, откуда их успешно забирают аферисты, или и вовсе выбрасывают в окна чемоданы с купюрами.
Во-первых, всё зависит от ведомства, из которого поступил подозрительный звонок.
Сотрудники спецслужб не будут связываться с гражданами по телефону. Майор ФСБ станет звонить учительнице музыки с требованием помочь разоблачить вора-рецидивиста, только если он персонаж фильма, причём не самого достоверного.
А вот для полицейских участковых и оперуполномоченных позвонить гражданину — рядовая практика. Однако уточнять никакие личные сведения, вроде перечня открытых в банках счетов, они тоже не должны. И уж тем более представители правоохранительных органов не имеют права требовать переводить куда-либо деньги.
Чтобы не попасться аферисту, при звонке из силовых структур уточните ФИО, должность и звание у позвонившего. Запишите их и положите трубку. После найдите контакты ведомства, из которого вам поступил звонок, и проверьте непосредственно в нём. Или опишите ситуацию по телефону доверия, например, МВД.
Кстати, имейте в виду, что иногда мошенники звонят гражданам якобы с телефонов доверия. Однако, как правило, исходящие звонки с подобных номеров, в частности по номеру СК РФ, технически невозможны — такая линия настроена только на приём входящих.
Сравнительно недавняя тема — звонки от аферистов с информацией об оформленных на владельца номера кредитах, или испорченной кредитной истории, или о выгодных предложениях по улучшению кредитного рейтинга.
В НБКИ однозначно предупреждают: это мошенничество, направленное на получение персональных данных гражданина. Всю информацию о текущем состоянии кредитной истории, рейтинге и действующих кредитах можно узнать на «Госуслугах», следуя простому алгоритму, а обращаться за сведениями к непроверенным источникам и сомнительным организациям ради безопасности собственных средств не следует.
Чтобы предупредить действия кредитных мошенников, периодически проверять свои кредитную историю и рейтинг стоит каждому заёмщику. Также можно поставить самозапрет на кредиты, чтобы на ваше имя нельзя было взять займ: смотрите короткое видео о том, как это работает.
Способа гарантированно не стать жертвой финансового мошенничества, к сожалению, нет. Тем не менее, вы можете существенно снизить этот риск, следуя ряду простых правил защиты конфиденциальных данных.
Офлайн
Нигде не оставляйте без присмотра идентифицирующие личность документы и не доверяйте их чужим людям. Не носите их в заднем кармане брюк или наружном отделении рюкзака. При краже или потере, например, паспорта немедленно обращайтесь в полицию и пишите соответствующее заявление. Промедлить здесь означает повысить мошенникам шансы получить кредит на ваше имя.
Если копию удостоверения личности требуют для карты лояльности магазина, фитнес-абонемента или для записи в салон красоты, лучше отказаться от услуг такой организации.
Не стоит пользоваться услугами ксерокса в ненадежных местах, скажем, в подземных переходах или киосках. Есть опасность, что продавец незаметно сделает лишние копии, а после получит займ на ваше имя.
Онлайн
То же самое касается интернета: очень осторожно оставляйте паспортные данные на сетевых ресурсах. Есть крайне ограниченное число организаций, которые имеют право просить доступ к пользовательским данным — государственные порталы, банковские системы, агентства страхования и лицензированные онлайн-сервисы микрофинансирования.
Кроме того, не отправляйте фотографии или сканы документов по непроверенным адресам, а из своей личной переписки удаляйте любые личные сведения сразу после сигнала об их получении адресатом. В принципе не стоит хранить конфиденциальную информацию на телефоне, планшете или ноутбуке, а также в облачном хранилище или памяти программы. Да, бывает удобно держать всё под рукой. Но это небезопасно.
Иногда преступникам удается заполучить персональные данные человека и взять по ним деньги. Что делать, если это случилось с вами? Юристы успокаивают: ситуация неприятная, но отнюдь не безнадежная.
Следуйте простому алгоритму:
Не расплачивайтесь по мошенническому займу. Даже если сумма небольшая, платить по долгу, который вы не оформляли, не следует: по закону, при внесении платежей заёмщик признаёт легальность сделки.
Источники: