Телефон звонит. На экране — номер банка, поликлиники или знакомого. Голос на том конце вежливо уточняет: «Это Иван Петрович?» Привычная реакция — ответить «да». Именно на эту привычку и рассчитывают мошенники.
Короткое слово «да», произнесённое в трубку, способно стать инструментом в руках злоумышленников. Разберёмся, какие технологии делают это возможным и как от этого защититься.
Как работает схема
Механизм атаки строится на двух технологиях: подмене номера звонящего и обработке голоса.
Caller ID Spoofing — подмена идентификатора вызывающего абонента. SIP-протокол, лежащий в основе IP-телефонии, позволяет указать произвольный номер в поле «отправитель». На экране телефона жертва видит номер банка, госучреждения или знакомого человека. Технически это не взлом — это особенность архитектуры протокола, которой пользуются злоумышленники.
Вторая составляющая — голосовые deepfake-технологии. Системы синтеза речи способны генерировать убедительную имитацию голоса на основе образца длительностью от нескольких секунд. Записанное «да» само по себе — короткий фрагмент. Но в сочетании с другими записанными словами и фразами он становится строительным материалом для создания более длинных голосовых сообщений.
Зачем мошенникам запись голоса
Есть несколько сценариев использования записанного подтверждения.
Сценарий 1: социальная инженерия. Записанный фрагмент с утвердительным ответом используется в разговоре с третьими лицами — например, при звонке в организацию от имени жертвы. Оператор на другом конце слышит «подтверждение» и выполняет запрошенную операцию.
Сценарий 2: давление на жертву. Мошенник перезванивает и воспроизводит запись: «Вот, Иван Петрович, вы подтвердили согласие на оформление кредита». Паника вынуждает жертву совершать действия, которые она не совершила бы в спокойном состоянии — переводить деньги на «безопасный счёт» или сообщать коды из SMS.
Сценарий 3: обход голосовой верификации. Ряд организаций использует голосовую биометрию для подтверждения личности по телефону. Собранные фрагменты речи могут использоваться для попыток обхода таких систем. Современные системы биометрии обладают защитой от воспроизведения записей, но технологии синтеза голоса развиваются параллельно с системами защиты.
Почему знакомый номер — не гарантия безопасности
Подмена Caller ID делает невозможной идентификацию звонящего по номеру на экране. Номер, отображаемый на телефоне, не является доказательством того, что звонит именно этот абонент.
VoIP-шлюзы позволяют совершать звонки из любой точки мира, при этом отображая на экране жертвы любой заданный номер. Стоимость такого звонка минимальна. А абонент, чей номер подставлен, может даже не знать, что его номер используется для мошеннических звонков.
Поэтому правило действует безусловно: неважно, какой номер отображается на экране. Входящий звонок — не верифицированный канал связи.
Как защититься: пошаговый план
Шаг 1. Изменить привычку ответа на звонок. Вместо «да» использовать нейтральные формулировки: «алло», «слушаю», «кто звонит». Эти слова не содержат утверждения и бесполезны для мошенников в качестве «согласия».
Шаг 2. Не подтверждать личные данные по входящему звонку. Если звонящий называет ФИО, номер карты или другие данные и просит подтвердить — не делать этого. Даже если данные верны. Легитимная организация не станет просить подтверждение таким способом.
Шаг 3. Перезвонить самостоятельно. При любом подозрительном звонке — положить трубку и перезвонить по номеру с официального сайта организации. Не по номеру из журнала вызовов, не по номеру, продиктованному звонящим.
Шаг 4. Включить антиспам-фильтр. Операторы связи и производители смартфонов предлагают встроенные механизмы определения спама и мошеннических звонков. Эти инструменты не дают абсолютной защиты, но отсекают значительную часть нежелательных вызовов.
Шаг 5. Усилить защиту банковских операций. В личном кабинете банка — убедиться, что операции подтверждаются через SMS или push-уведомления, а не через голосовые команды по телефону. Если банк предлагает голосовое управление через call-центр — рассмотреть возможность отключения этой функции.
Альтернативные подходы
Помимо перечисленных шагов, существуют дополнительные меры.
Кодовое слово. Некоторые банки позволяют установить кодовое слово, которое сотрудник обязан назвать при звонке клиенту. Если звонящий его не знает — разговор следует прекратить.
Полный отказ от ответа на незнакомые номера. Радикальный, но эффективный подход. Все важные уведомления приходят через приложения, SMS или электронную почту. Если звонок действительно важен — звонящий оставит голосовое сообщение или напишет.
Использование мессенджеров вместо телефонных звонков. Звонки через мессенджеры привязаны к аккаунту и сложнее поддаются подмене. Это не панацея, но дополнительный уровень идентификации.
Что делать, если уже сказали «да»
Паниковать не стоит. Одно слово «да» в записи — недостаточный материал для серьёзных действий. Но если после разговора поступают повторные звонки с требованиями или угрозами — это признак мошеннической схемы.
В такой ситуации: не вступать в дальнейший диалог, положить трубку, связаться с банком по официальному номеру и сообщить о подозрительном контакте. При необходимости — подать заявление в полицию.
Итог
Слово «да» по телефону — это не просто вежливый ответ. В условиях доступности VoIP-шлюзов, Caller ID Spoofing и технологий синтеза речи это потенциальный инструмент для социальной инженерии.
Правило простое: входящий звонок — ненадёжный канал. Заменить «да» на «алло». Не подтверждать данные. Перезванивать самостоятельно. Эти три привычки закрывают большинство сценариев атаки.
***
Может быть интересно: