Звонок раздался в разгар рабочего дня. На экране — номер, похожий на банковский. Голос уверенный, деловой. Через 12 минут на счету знакомой стало на 200 000 рублей меньше. Она — инженер-программист с десятилетним опытом. Не пенсионерка, не подросток. Человек, который ежедневно работает с технологиями.
Эта история — не редкость. По данным ЦБ РФ за 2024 год, ущерб от телефонного и онлайн-мошенничества составил 295.8 млрд рублей. И 85% этих атак построены не на взломе систем, а на социальной инженерии — манипуляции поведением живого человека.
Разберу конкретную схему, в которую попала знакомая. А затем — что именно стоило сделать на каждом этапе.
Как выглядела атака
Шаг 1. Входящий звонок с «банковского» номера. Мошенники использовали подмену идентификатора вызова — технологию, которая через VoIP-телефонию позволяет отображать на экране жертвы произвольный номер. Знакомая увидела номер, совпадающий с горячей линией её банка. Подвоха не заподозрила.
Шаг 2. Создание паники. Звонящий представился «старшим специалистом службы безопасности». Сообщил, что со счёта пытаются списать крупную сумму. Говорил быстро, напористо, использовал банковские термины. Главная задача на этом этапе — лишить жертву времени на размышления. Весь разговор занял 12 минут. За это время знакомая ни разу не положила трубку.
Шаг 3. Запрос одноразового кода. «Для подтверждения блокировки подозрительной операции» мошенник попросил назвать код из СМС. Знакомая продиктовала. Банк никогда не запрашивает одноразовые коды по телефону — ни при каких обстоятельствах. Но в состоянии стресса это знание отошло на второй план.
Шаг 4. Перевод на «безопасный счёт». Получив код, мошенники вошли в мобильный банк. Затем убедили знакомую «для дополнительной защиты» самостоятельно перевести оставшиеся средства на указанный ими счёт. 200 000 рублей ушли на подставные реквизиты. Деньги были обналичены в течение нескольких минут.
Почему это сработало: технический разбор
Социальная инженерия эксплуатирует не уязвимости в коде, а уязвимости в поведении. Схема моей знакомой — типичный вишинг (voice phishing). Разберу ключевые технические элементы.
Подмена номера (Caller ID spoofing). VoIP-провайдеры позволяют задавать произвольный идентификатор вызова. Роскомнадзор за 2024 год заблокировал 575 000 мошеннических номеров. Но закрытие одного номера занимает время, а мошенники меняют их ежедневно.
Эффект срочности. Мозг в состоянии стресса переключается на реактивное мышление. Когда человеку говорят «прямо сейчас списывают деньги», критическое мышление подавляется. Мошенники тренируют этот навык — скрипты их разговоров выверены до секунды.
Доверие к «официальному» источнику. Номер на экране совпадает с банковским. Собеседник знает имя жертвы (утечки персональных данных — массовое явление). Он использует профессиональный жаргон. Три фактора доверия сходятся одновременно.
Что должно было остановить атаку
На каждом шаге схемы существовал простой способ прервать мошенников. Ни один из них не требует технических знаний.
На шаге 1 — положить трубку и перезвонить. Набрать номер банка вручную. Не перезванивать на входящий номер — он поддельный. Если звонят из банка, сотрудник не обидится на повторный звонок через официальную линию.
На шаге 2 — взять паузу. Мошенники торопят. Настоящие сотрудники банка — нет. Фраза «мне нужно пять минут, я перезвоню» разрушает весь сценарий. Ни один легитимный банковский процесс не требует немедленного решения по телефону.
На шаге 3 — не называть код. Одноразовые коды из СМС — это ключ к счёту. Банк никогда их не запрашивает. Этот факт подтверждён памятками ЦБ РФ и всех крупных банков. Код нужен только для операций, которые инициирует сам владелец счёта.
На шаге 4 — не переводить деньги. Понятие «безопасный счёт» не существует в банковской практике. Банк защищает средства на текущем счёте клиента. Перевод на сторонние реквизиты по просьбе звонящего — главный индикатор мошенничества.
Технические меры защиты
Помимо поведенческих правил, существуют инструменты, снижающие риск.
Определитель номера. Сервисы вроде определителя номера от Яндекса проверяют входящие звонки по базе известных мошеннических номеров. Не панацея, но дополнительный барьер.
Двухфакторная аутентификация (2FA). Метод аутентификации, при котором для входа в сервис требуется два независимых подтверждения — например, пароль и код из приложения-аутентификатора. Если 2FA включена через приложение (а не через СМС), перехватить код значительно сложнее.
Лимиты на переводы. Большинство банковских приложений позволяют установить суточный лимит на переводы. Даже если мошенник получит доступ к счёту, ущерб будет ограничен.
Антифрод-системы. ЦБ РФ запустил антифрод-платформу в феврале 2024 года. Она позволяет банкам в реальном времени обмениваться данными о подозрительных операциях. Но система работает на стороне банка — на стороне клиента по-прежнему критична бдительность.
Что делать, если деньги уже переведены
Знакомая обратилась в банк через 40 минут после перевода. Деньги вернуть не удалось. Но порядок действий имеет значение для возможного расследования.
Первое — немедленно позвонить в банк по номеру с официального сайта и заблокировать счёт. Второе — написать заявление в полицию. Третье — подать жалобу в ЦБ РФ через интернет-приёмную. Вероятность возврата средств невысока, но заявление фиксирует факт преступления и помогает правоохранительным органам отслеживать мошеннические сети.
Почему технические специалисты тоже попадаются
Знакомая — не наивный человек. Она настраивает серверы и пишет код. Но социальная инженерия атакует не знания, а эмоции. Стресс, страх потери, давление авторитета — эти рычаги работают вне зависимости от технической грамотности.
Профессиональная деформация иногда даже усиливает уязвимость. Технический специалист привык доверять системам: если на экране отображается номер банка — значит, звонит банк. Эта логика корректна для штатных ситуаций, но мошенники действуют за пределами штатных ситуаций.
200 000 рублей не вернулись. Но после этого случая знакомая настроила лимиты на переводы, включила 2FA через приложение-аутентификатор и установила определитель номера. А главное — выработала правило: любой входящий звонок «из банка» заканчивается фразой «я перезвоню сам».
***
То, что вы искали: