12 подписчиков

Конец эпохи СМС-кодов: как мошенники научились взламывать нас через обычный входящий звонок

27 февраля27 фев

3 мин

Мы с вами годами учили своих родителей, бабушек и дедушек одной простой мантре: «Никогда и никому не называй код из СМС». Эту фразу трубят из каждого утюга, ее пишут крупным шрифтом сами банки в сообщениях. И знаете что? Это сработало. Люди перестали вестись. Конверсия мошенников упала, и им пришлось срочно изобретать новый велосипед. И они его изобрели. Спойлер: теперь они просят назвать не код, а последние цифры номера телефона, с которого вам только что звонили. Разбираемся, как работает эта схема, почему она стала возможной и как не отдать злоумышленникам ключи от своей цифровой жизни. Чтобы понять суть нового развода, нужно немного погрузиться во внутреннюю кухню IT-бизнеса. Интересный факт: отправка одной СМС с кодом подтверждения стоит бизнесу реальных денег (в среднем от 2 до 5 рублей за штуку). Если у вас миллионы пользователей, бюджет на СМС улетает в космос. Поэтому пару лет назад сервисы массово начали переходить на технологию Flash Call (звонок-сброс). Система звонит вам,

Оглавление

Flash Call: Технология, которая сыграла на руку аферистам
Как выглядит новая схема обмана: анатомия развода
Мое мнение: почему это так хорошо работает?

Мы с вами годами учили своих родителей, бабушек и дедушек одной простой мантре: «Никогда и никому не называй код из СМС». Эту фразу трубят из каждого утюга, ее пишут крупным шрифтом сами банки в сообщениях. И знаете что? Это сработало. Люди перестали вестись. Конверсия мошенников упала, и им пришлось срочно изобретать новый велосипед. И они его изобрели.

Спойлер: теперь они просят назвать не код, а последние цифры номера телефона, с которого вам только что звонили. Разбираемся, как работает эта схема, почему она стала возможной и как не отдать злоумышленникам ключи от своей цифровой жизни.

Flash Call: Технология, которая сыграла на руку аферистам

Чтобы понять суть нового развода, нужно немного погрузиться во внутреннюю кухню IT-бизнеса.

Интересный факт: отправка одной СМС с кодом подтверждения стоит бизнесу реальных денег (в среднем от 2 до 5 рублей за штуку). Если у вас миллионы пользователей, бюджет на СМС улетает в космос. Поэтому пару лет назад сервисы массово начали переходить на технологию Flash Call (звонок-сброс). Система звонит вам, вы берете последние 4 цифры входящего номера и вводите их в поле на сайте. Для бизнеса это стоит копейки, а для пользователя — так же удобно.

Именно эту, казалось бы, безобидную механику авторизации и взяли на вооружение мошенники.

Как выглядит новая схема обмана: анатомия развода

Представьте ситуацию. Вы листаете ленту в соцсетях или ищете мастера в Telegram. Находите отличного фотографа, крутой лофт для аренды или салон, где делают маникюр со скидкой. Вы пишете «менеджеру» в мессенджер, чтобы записаться.

Дальше события развиваются по четко отработанному скрипту:

Установление контакта: Вы мило общаетесь, выбираете время, обсуждаете детали. Никакого давления, все выглядит максимально естественно.
Легенда с «проверкой»: Менеджер говорит: «Отлично, я бронирую за вами время в нашей CRM-системе. Сейчас вам поступит короткий звонок от нашего робота для подтверждения номера, отвечать не нужно».
Звонок-сброс: Вам действительно звонят с неизвестного номера, и вызов тут же сбрасывается.
Капкан захлопывается: Менеджер пишет: «Назовите последние 4 цифры номера, который вам звонил, чтобы я вбил их в систему и подтвердил вашу запись».

Бинго! В этот самый момент мошенник на самом деле пытается зайти в ваш аккаунт на Госуслугах, в онлайн-банке, на маркетплейсе (привет, привязанные карты!) или в почте. Вы сами даете ему код авторизации, даже не подозревая об этом.

Что об этом говорят эксперты? Специалисты компании Solar AURA (ГК «Солар»), которые первыми забили тревогу о новом тренде, объясняют этот феномен очень просто: "Современные онлайн-сервисы стали чаще использовать в качестве подтверждения личности и входа в профиль анонимные звонки... Этим и пользуются мошенники — ведь если многие россияне уже знают, что нельзя называть никакие коды из СМС, то в упоминании последних цифр со звонившего номера телефона пока не видят ничего страшного".

Мое мнение: почему это так хорошо работает?

Здесь кроется потрясающий (и пугающий) психологический трюк. Наш мозг уже натренирован на слово «СМС». СМС = опасность. А вот «входящий номер» в нашей голове пока не ассоциируется с ключом доступа. Мошенники играют на смещении фокуса: вы думаете о предстоящей фотосессии или маникюре, вы расслаблены, а просьба назвать номер кажется банальной технической формальностью.

Это еще раз доказывает мое любимое правило кибербезопасности: самая уязвимая часть любой IT-системы — это человек, сидящий перед экраном.

Как не стать жертвой (Чек-лист от параноика)

Чтобы ваши деньги и данные остались при вас, давайте обновим наши внутренние протоколы безопасности:

Правило «Нулевого доверия» в мессенджерах. Ни один реальный сервис, салон или магазин никогда не просит диктовать коды, пароли или цифры звонящих номеров в личной переписке или по телефону. Авторизация происходит только через формы на официальных сайтах или в приложениях!
Используйте 2FA приложения. Там, где это возможно, откажитесь от подтверждения по СМС или звонку. Используйте приложения вроде Google Authenticator или Яндекс Ключ. Их невозможно перехватить социальным инжинирингом (если вы только сами не продиктуете одноразовый код, конечно).
Определители номеров. Поставьте хороший антиспам (от Яндекса, Касперского или оператора связи). Часто они помечают такие флеш-коллы как «Подтверждение авторизации», что сразу вас отрезвит.
Цифровая гигиена. Переходите только по официальным ссылкам. Проверяйте, действительно ли вы общаетесь с официальным аккаунтом бизнеса (наличие галочек, отзывов, совпадение контактов с официальным сайтом).

Расскажите, а вы или ваши знакомые уже сталкивались с попытками выведать номер входящего звонка?