Я никогда не считала себя наивной. Серьёзно — смеялась над теми историями в интернете, где люди переводят деньги «сотруднику банка» или «следователю МВД». Думала: ну как можно? Как можно не понять, что тебя разводят? У всех же голова на плечах, все отдают себе отчет в своих действиях, общаются с людьми, читают, анализируют. А уже я тем более не та женщина, которую так просто провести.
Оказалось — та самая.
Это случилось в среду, в совершенно обычный февральский день. За окном висело серое, низкое небо, такое плотное, словно кто-то задёрнул над городом грязную штору. Я сидела с кружкой остывшего чая, смотрела в экран ноутбука и правила очередную статью. День был вялый, тягучий, из тех, когда даже мысли ворочаются с трудом. Наверное, именно поэтому я и потеряла бдительность — усталый мозг плохо фильтрует угрозы.
Телефон зазвонил в половине двенадцатого.
Незнакомый номер. Московский. Я чуть не сбросила — не люблю отвечать на незнакомые вызовы в середине рабочего дня. Но почему-то ответила. До сих пор не могу понять, что меня остановило от того, чтобы нажать «отклонить». Может, интуиция сработала наоборот. Может, просто отвлеклась.
— Добрый день, — произнёс голос. Мужской, уверенный, с той особой интонацией, которую я теперь называю «банковской»: не слишком официальной, но и не панибратской. Профессиональной. — Вас беспокоят из службы безопасности Т-Банка. Меня зовут Дмитрий Анатольевич Соколов. Я старший специалист отдела по противодействию мошенничеству. Вам удобно говорить?
— Удобно, — сказала я. Автоматически.
— Отлично, — тут звонивший назвал меня по имени и отчеству, — в вашем аккаунте зафиксирована подозрительная активность. Сегодня утром, в 9:47, с вашей карты была попытка перевода на сумму восемьдесят семь тысяч рублей. Перевод был заблокирован системой автоматически, но нам необходимо верифицировать вашу личность, чтобы убедиться, что доступ к аккаунту не скомпрометирован.
Я на секунду замерла.
Восемьдесят семь тысяч. Конкретная, некруглая сумма. Не «сто тысяч», не «пятьдесят» — восемьдесят семь. Это была первая умная деталь в их сценарии, и она сработала именно так, как они рассчитывали: мозг зафиксировал конкретику и машинально принял её за признак достоверности.
— Я никаких переводов не делала, — сказала я.
— Именно поэтому мы и звоним, — спокойно, почти мягко ответил Дмитрий Анатольевич. — Это могут быть действия третьих лиц, получивших доступ к вашим данным. К сожалению, такие случаи участились. Вам необходимо пройти верификацию — это займёт не более пяти минут. После этого мы заблокируем подозрительную активность и восстановим безопасность вашего счёта.
Голос был абсолютно ровным. Без малейшей спешки, без давления. Вот чего я не ожидала — они не торопили. В моей голове почему-то жил стереотип, что мошенники всегда создают панику, давят на срочность, не дают думать. А этот Дмитрий Анатольевич говорил так, будто у него впереди весь день и он просто делает свою работу. Обычную, рутинную, слегка скучноватую работу.
— Хорошо, — сказала я. — Что нужно сделать?
— Для начала мне нужно убедиться, что я разговариваю именно с владелицей аккаунта. Скажите, пожалуйста, какое кодовое слово вы устанавливали при открытии счёта?
Я назвала.
— Верно, — подтвердил он, как будто сверился с базой. Хотя откуда он мог знать — моё кодовое слово никогда не звучало в разговорах. Или я думала, что не звучало. — Теперь для более полной верификации нам потребуется код из СМС, который придёт на ваш номер. Это стандартная процедура.
И вот тут — вот тут — что-то во мне шевельнулось. Маленький, тихий, почти неслышимый сигнал тревоги. Не громкий вой сирены — просто лёгкое беспокойство, как будто что-то не так, но непонятно что.
— Подождите, — сказала я. — Код из СМС — это же...
— Это технический код верификации, — перебил он, всё так же спокойно. — Он используется только для подтверждения вашей личности на нашей стороне. Это не код для входа, не платёжный пароль. Просто идентификационный номер сессии.
Идентификационный номер сессии. Как убедительно это звучало. Как технически грамотно. Я даже почувствовала лёгкую неловкость за своё сомнение — вот, специалист объясняет профессиональные термины, а я тут сижу и подозреваю человека чёрт знает в чём.
Пришло СМС.
Я посмотрела на экран телефона. Сообщение было от «Т-Банк» — настоящий, официальный отправитель, не какой-то левый номер. В сообщении был шестизначный код и стандартная формулировка: «Код подтверждения операции».
Операции.
Не «верификации». Не «идентификации». «Операции».
— Подождите, — сказала я снова, уже тверже. — Здесь написано «операция». Какая операция?
Пауза. Крошечная, почти незаметная. Но она была.
— Это стандартный технический термин в системе банка, — ответил Дмитрий Анатольевич. — «Операция верификации» сокращается до «операции» в шаблоне сообщения. Это особенность нашей внутренней системы. Пожалуйста, продиктуйте код, и мы завершим процедуру.
И вот здесь я наконец вспомнила.
Буквально три дня назад подруга прислала мне статью. Длинную, подробную, с реальными историями. Про новые схемы телефонного мошенничества. Про то, как они научились подделывать голоса сотрудников банков. Про конкретные суммы — чтобы звучало достоверно. Про кодовое слово — они могут знать его из утечек данных. Про СМС-код — это и есть ключ, именно через него они получают доступ к счёту.
Я тогда прочитала эту статью и подумала: надо же, как изощрились. И тут же забыла.
Но тело, видимо, не забыло.
— Дмитрий Анатольевич, — сказала я медленно, — я не буду называть этот код.
— Екатерина Владимировна, я понимаю ваши опасения, но...
— Я перезвоню в банк сама. По номеру на сайте.
Снова пауза. На этот раз чуть длиннее.
— Разумеется, — ответил он. Ровно. Без раздражения. — Это ваше право. Но пока вы будете перезванивать, транзакция может быть проведена повторно, и тогда...
— До свидания, — сказала я и нажала «сбросить».
Рука слегка дрожала.
Я сидела и смотрела на телефон несколько секунд. Потом открыла приложение банка, зашла в историю операций. Никаких подозрительных транзакций. Никаких заблокированных переводов. Восемьдесят семь тысяч никуда не пытались уйти. Разумеется.
Потом я набрала официальный номер банка.
— Добрый день, — сказала настоящая сотрудница — молодая, немного скучающая, с живыми интонациями усталого человека в середине рабочего дня. — Чем могу помочь?
— Мне только что звонили от вашего имени, — сказала я. — Просили назвать код из СМС.
— А-а, — произнесла она без всякого удивления. — Мошенники. У нас сегодня уже несколько обращений по похожим звонкам. Вы код не назвали?
— Нет.
— Хорошо. Счёт в безопасности. Если хотите — можем усилить защиту, поставить дополнительное подтверждение на вход. Займёт минуты три.
Я согласилась. Мы поставили. Попрощались.
Я положила телефон и долго сидела неподвижно.
Меня поразило не то, что они позвонили. Поразило то, насколько это было хорошо сделано. Насколько профессионально, выверено, психологически точно. Никакой суеты. Никакого давления. Никакого надрыва в голосе. Спокойный, компетентный, чуть усталый от рутины голос специалиста, который просто делает своё дело. Конкретная сумма — не круглая, не сказочная, а вполне реальная, такая, которую можно держать на счету. Официальный отправитель СМС — потому что они знают: «Т-Банк» в поле отправителя успокаивает. Правильная терминология. Правдоподобная реакция на возражение — не агрессия, а мягкое, терпеливое объяснение.
И кодовое слово. Откуда они знали кодовое слово?
Это вопрос, который до сих пор сидит у меня в голове холодной занозой. Утечка данных? Фишинговый сайт, на который я когда-то заходила и не заметила? Покупная база? Я перебирала варианты и не могла остановиться ни на одном. Скорее всего, база. Сейчас продаётся всё. Имя, телефон, банк, кодовое слово — это стоит копейки на каком-то тёмном рынке, куда обычный человек никогда не заглянет.
Страшно не это.
Страшно то, что я — я, которая читает, анализирует, которая смеялась над этими историями — я почти назвала код. Если бы не та статья. Если бы не подруга, которая прислала её три дня назад. Если бы не это случайное, никак не планированное предупреждение.
Я думала о женщинах, которым звонят похожие голоса. О пожилых, которые привыкли доверять официальным интонациям. О молодых, которые уверены, что их не проведут. О людях в усталые, серые февральские дни, когда голова работает вполсилы и хочется просто решить проблему побыстрее и вернуться к своим делам.
О том, что эти голоса — хорошо обученные, психологически грамотные, вооружённые реальными данными — звонят прямо сейчас. Пока я пишу эти строки. Кому-то из вас, может быть.
Я позвонила подруге.
— Слушай, — сказала я, — та статья, которую ты прислала. Про мошенников.
— Да? — она удивилась. — А что?
— Спасибо. Серьёзно.
Пауза.
— Что-то случилось?
— Почти случилось, — сказала я. — Но не случилось. Благодаря тебе.
Она долго молчала. Потом:
— Господи. Расскажи.
Я рассказала. Пока говорила, заново переживала этот разговор — и снова удивлялась тому, насколько он был хорошо выстроен. Как бы я пересказала знакомому — вот, звонил мошенник. И знакомый бы спросил: ну и что? Очевидно же, что мошенник. А я бы не смогла объяснить, почему это было совсем не очевидно. Почему каждый элемент был на своём месте. Почему даже зная, что так бывает, почти невозможно было распознать в реальном времени.
— Ты молодец, — сказала подруга. — Не назвала код.
— Мне просто повезло, — ответила я честно.
Правила простые, их стоит знать наизусть, как когда-то учили стихи.
📍Банк никогда — слышите, никогда — не попросит вас назвать код из СМС. Ни при каком обстоятельстве. Ни для какой «верификации». Ни для какой «защиты операции». Если вам называют эту причину — вас обманывают.
Сбросьте вызов. Зайдите в приложение банка самостоятельно. Позвоните по официальному номеру с официального сайта — не по тому, который вам называют по телефону.
Кодовое слово может быть скомпрометировано. Это не значит, что звонящий — сотрудник банка. Это значит, что ваши данные где-то утекли.
Конкретная сумма — это приём. Специально придуманный, чтобы звучать правдоподобно.
Спокойный голос — это тоже приём. Специально отрепетированный.
Официальный отправитель СМС — тоже не гарантия. Система отправителя может быть подделана или использована легально с мошеннической целью.
И последнее — самое важное.
Расскажите об этом тем, кого любите. Не потому что они «наивные» или «не понимают». А потому что понять это в реальном времени, когда звонит уверенный голос и говорит убедительные слова, — трудно даже тем, кто читал и знал. Это трудно всем. Поэтому нам и нужно говорить об этом снова и снова, пока это не станет рефлексом — автоматическим, мгновенным, не требующим усилий.
Сбросить. Проверить самому. Перезвонить по официальному номеру.
Три шага. Которые в тот серый февральский день, возможно, спасли мои деньги.
А могли бы не спасти.
Я живу с этой мыслью. И пишу о ней вам.
Делитесь в комментариях, доводилось ли вам разговаривать по телефону с мошенниками? И какой схемой они пытались воспользоваться?