В СМИ появились публикации, что набирает обороты новый вид мошенничества. Название заимствовано из английского и для уха большинства действительно звучит по-новому. Пишут, суть спуфинга в том, что мошенники втираются в доверие, представляясь людьми или организациями, которым люди уже доверяют. Втёрлись в доверие, а дальше вершат своё чёрное дело, направленное на отъём денежных средств и прочие бесчинства. В общем, правильнее было назвать спуфинг новой "надстройкой" над старыми "разводками". Другое дело, что эта "надстройка" при должной подготовке аферистов может быть куда опаснее, чем уже известные схемы мошенничества в чистом виде.
А вы получали такие звонки?
Я постарался вспомнить, когда впервые получил звонок от мошенников, которые выдавали себя за другую организацию. Оказалось, это было давно, году в 2015-м. Ниже опишу типичные случаи спуфинга, с которыми почти 10 лет сталкивался сам.
1) "Это (далее название оператора связи). У нас для вас специальное предложение по подключению домашнего Интернета" Понятно, что название известного оператора часто используется мошенниками. И, кстати, на такой вариант спуфинга я вполне мог бы повестись - так всё звучало правдоподобно, если бы... на тот момент уже не был клиентом этого оператора несколько лет. Исключаю, что у настоящих сотрудников компании в CRM не указан текущий статус подключения конкретного абонента и компания вхолостую обзванивает активных клиентов, предлагая по второму и третьему разу уже подключённые услуги. Вероятно, целью звонка мошенников было выманивание персональных данных или под видом известного оператора "разведку" необходимости в их услугах проводили находчивые менеджеры по продажам более мелких операторов связи. Последнее мне кажется наиболее вероятным.
2) "Здоров! Одолжи до понедельника 5000? Скинь по номеру..." Это уже вариант спуфинга от лица ваших знакомых. Такое сообщение я однажды получил в социальной сети от приятеля, аккаунт которого, как позже выяснилось, был взломан.
3) Лжеопросы Я знаю, что анонимные опросы по телефону действительно иногда проводят социологические организации, но попытка вытянуть какую-либо конкретику и персональные данные - уже признак мошенничества. А если ещё вопросы содержат коммерческий подтекст, то это точно никакой не соцопрос, а реклама. Дело в том, что по Федеральному закону "О рекламе" запрещено совершать рекламные звонки без согласия абонента. Кроме того - многие сразу же бросают трубку, услышав рекламные формулировки. А так, замаскировавшись под опрос общественного мнения, глядишь, шансов обзавестись новыми клиентами больше. Принцип построения разговора всегда был примерно таким: после второго-третьего безобидного общего вопроса следовал, к примеру, такой: "Есть ли у вас кредитная карта? Нет? Вы знаете, что банк (название) предлагает карту..." Кажется очевидным, что это конкретный банк пытался навязать свою карту, но прижать законом к стенке коммерсантов было сложно. Да, я пробовал: звонил на горячую линию банка, указывая на нарушение закона "О рекламе", грозил обращением в Центробанк, на что следовал ответ службы поддержки: "С какого телефона поступил звонок? О, это мобильный! Он банку не принадлежит, мы вообще не звоним с мобильных телефонов". Впрочем, может, правда? Это мошенники усыпляли бдительность, упоминая реально существовавший банковский продукт, а дальше, если бы я дослушал, последовала бы стандартная схема получения доступа к личному кабинету в духе: "Для активации карты продиктуйте циферки из СМС"?
4) Якобы известный картографический сервис-справочник пытался "сверить" данные о моей компании, ФИО руководителя (звонки поступали на корпоративный телефон). Я бы повёлся, если бы не поддерживал контакт с настоящим менеджером этого справочника по вопросам размещения рекламы. Оказалось, что такие звонки для проверки они действительно иногда совершают, но не в тот раз.
5) "Здравствуйте, это (далее название транснациональной компании с экосистемой, включающей механизм контекстной рекламы)" - так начинали разговор менеджеры некоторых агентств и даже частные лица, предлагавшие услуги настройки рекламного движка. Справедливости ради, достаточно было копнуть чуть глубже - сразу проговаривались, что они "не совсем" та организация, но помогут с настройками рекламной кампании. Если бы не копал, глядишь, с кем-нибудь дошло бы до заключения договора.
6) "Здравствуйте, это служба безопасности банка" В эту группу можно отнести спуфинг со стороны 100-процентных мошенников. Как следует из многократно описанных в Интернете случаев, представляться они могут кем угодно, а цель всегда одна - получить доступ к вашим счетам, оформить кредит и т.п.
7) "Добрый день! Как ваши дела? Сейчас вам позвонят из МВД. Перешлите им все необходимые документы" Вы получали такие сообщения в мессенджере от якобы начальника? Я получал. Даже дважды. Судя по информации в СМИ, так регулярно атакуют работников крупных организаций от якобы их руководителей. Наверное, всем понятно, что узнать ФИО гендиректора организации и найти его фото для аватарки фальшивого аккаунта - плёвое дело, но всё равно находятся те, кто не проверяет их достоверность, пересылая аферистам списки работников и документы, представляющие коммерческую тайну. Когда читаешь об очередной утечке данных в той или иной компании, обычно на ум приходят отряды хакеров, вооружённых сложной техникой, а на деле - кто знает, какое количество утечек произошло из-за совсем простого сообщения в мессенджеое от лженачальника.
Два шага, чтобы защититься от спуфинга
Если вы общаетесь с человеком/организацией по электронным каналам связи, а звонок/сообщение достаточно серьёзные, чтобы от них отмахнуться, то воспользуйтесь алгоритмом из двух шагов, которые мне всегда помогают (собственно, мне достаточно даже первого из них).
1) Научитесь критически мыслить. Наиболее ярко проиллюстрировать ход критического мышления можно по седьмому примеру: получив сообщение от якобы начальника, надо было задать себе несколько вопросов. Почему директор с нового аккаунта пишет, если обычно переписка в другом? Начальник сроду про мои дела не спрашивает и всегда "тыкает", а здесь на "вы"! Почему в мессенджере, ведь вся деловая переписка по почте?
2) Возьмите за правило считать, что любой звонок, любое сообщение - от мошенников, пока не доказали обратное. Если же надёжная проверка невозможна, то просто положите трубку и перезвоните в эту организацию сами (понятно, номер телефона найдите самостоятельно, а не используйте тот, который дадут сами авторы подозрительного звонка/сообшения). Аналогично и в случае, если пишут от имени знакомого или начальника - просто перезвоните им по телефону, не используя мессенджер.
Вот, кажется, основные случаи спуфинга из моего личного опыта. А с какими звонками и сообщениями по теме этой статьи сталкивались вы?