Вы видите сообщение от «Сбербанка» или «Госуслуг». Номер выглядит знакомым. Никаких странных символов, никаких ошибок. Всё как обычно. И вы начинаете читать.
Именно в этот момент вас уже поймали.
Почему привычные правила больше не работают
Раньше было просто: если SMS пришла с нормального номера, это, скорее всего, настоящее сообщение. Мошенники звонили с посторонних номеров, слали сообщения с явно чужих. Всё было видно.
Теперь это в прошлом.
Преступники освоили технологию, которую специалисты называют SMS-спуфинг через SS7-протокол и серые SMSC-шлюзы. Если проще: они научились вбрасывать поддельные сообщения прямо в сеть оператора, обходя всю систему проверки. Сообщение приходит как будто от официального отправителя. Потому что технически оно и является «официальным» с точки зрения вашего телефона.
Это не вирус на устройстве. Не взлом вашего смартфона. Атака происходит на уровне сотовой инфраструктуры, до того как сигнал вообще добирается до вашего Android. Представьте, что кто-то подбросил письмо в ваш почтовый ящик, но сделал это не через почтальона, а напрямую через служебный вход на почтамте. На конверте — правильный штемпель, обратный адрес — настоящий банк. Вы открываете его и верите.
Именно поэтому у многих возникает ложное ощущение, что «телефон уже под контролем» — хотя на самом деле его не взламывали. Но есть и реальные случаи, когда доступ к устройству действительно получают. Например, через фишинговые ссылки, которые тоже могут прийти в такой SMS. Разобраться, где заканчивается страх и начинается реальная угроза, можно по конкретным признакам. Мы их перечислим чуть ниже.
Как выглядит схема изнутри
Раньше SMS-мошенничество работало топорно: купил SIM-карту, отправил сообщение, сиди жди. Операторы научились блокировать такие рассылки по ключевым словам и шаблонам. Тогда преступники зашли с другой стороны.
В мире существует огромное количество так называемых серых шлюзов: технических посредников, которые легально занимаются рассылкой сообщений для бизнеса. Банки через них отправляют коды подтверждения. Магазины через них шлют чеки. Поликлиники через них напоминают о записи. Эти шлюзы подключены к глобальной телекоммуникационной инфраструктуре. У них есть доступ к отправке сообщений с коротких номеров и буквенных имён отправителя.
Мошенники просто арендуют доступ к этим шлюзам или взламывают их учётные записи. После этого они могут отправить сообщение от имени любого отправителя: «Сбербанк», «ВТБ», «Госуслуги», «МВД», «ФНС». Какого угодно. Это как если бы у вас появилась возможность написать письмо и поставить на конверт любой обратный адрес — хоть президента.
Дальше делается вот что:
- Жертва получает SMS якобы от «Сбербанк Онлайн» о подозрительной операции на 89 000 рублей.
- В сообщении ссылка или номер телефона для отмены.
- Жертва звонит или переходит по ссылке.
- «Специалист» по безопасности вежливо объясняет, что нужно срочно перевести деньги на «защищённый счёт».
Схема не новая. Новое в том, что SMS теперь приходит именно в тот поток сообщений, где лежат настоящие сообщения от Сбербанка. В одном чате. Рядом с кодом подтверждения, который вы запрашивали вчера. Умный телефон группирует их вместе, и у вас не возникает сомнений: раз сообщение оказалось в этой цепочке — значит, оно настоящее. Это психологическая ловушка, построенная на доверии к знакомому интерфейсу.
Три признака, по которым реально отличить подделку
Смотреть только на имя отправителя бесполезно. Нужно смотреть на другое.
Первый признак: вас торопят
Настоящие банки и госструктуры не создают ситуаций, где нужно что-то сделать «прямо сейчас», «не перезванивая», «пока не истекли 5 минут». Если в SMS есть слова «срочно», «немедленно», «операция будет завершена через 10 минут» — это давление. Давление применяется, чтобы вы не успели подумать. Оно гасит критическое мышление и заставляет действовать на рефлексах.
Пример из реальной практики: «Ваша карта заблокирована за подозрительную активность. Для разблокировки срочно позвоните по номеру 8-800-XXX-XX-XX». Человек видит слово «заблокирована» и впадает в панику. А надо сделать глубокий вдох и вспомнить: банк никогда не требует срочного звонка по номеру из SMS.
Второй признак: вас просят позвонить на номер из SMS
Номер службы поддержки любого банка напечатан на вашей карте. Он же есть в официальном приложении. Если в сообщении написан какой-то другой номер для «отмены операции», он ведёт к мошенникам. Правило простое: номер для звонка берёте только с карты или из официального приложения, никогда из SMS.
Даже если номер очень похож. Например, официальный номер Сбербанка — 900. А мошенники могут указать 9000 или 8-800-555-35-35. Отличие в одну цифру — и вы уже общаетесь с преступником. Он представится «менеджером отдела безопасности», назовёт ваши данные (они могли быть утекшими из баз) и убедит перевести деньги.
Третий признак: ссылка в сообщении не соответствует официальному сайту
Сбербанк — это sberbank.ru. Госуслуги — gosuslugi.ru. Всё остальное: sbeerbank.ru, gosuslugl.ru, sber-bezopasnost.com — подделка. Перед переходом по любой ссылке из SMS нажмите на неё долгим касанием и посмотрите полный адрес. Если адрес хоть чем-то отличается от официального — не открывайте.
Мошенники регистрируют домены, которые визуально почти неотличимы от настоящих: используют буквы из другого алфавита (например, кириллическую «а» вместо латинской), добавляют дефисы или меняют зону .ru на .com. В спешке вы этого не заметите.
Отдельная история: SIM-swap, или как у вас угоняют номер
Помимо поддельных SMS, сейчас набирает обороты сопутствующая схема — SIM-своппинг. Мошенники приходят в офис оператора с поддельным паспортом или подкупленным сотрудником и перевыпускают вашу SIM-карту на себя. После этого все SMS, включая коды банков, приходят на телефон злоумышленника. Ваша карточка просто перестаёт работать, а вы думаете, что проблема с сетью.
Признак того, что это случилось: телефон потерял сеть в том месте, где обычно был хороший сигнал, и перезагрузка не помогает. В таком случае нужно немедленно позвонить оператору с другого телефона и заблокировать SIM. Каждая минута простоя — это риск, что злоумышленники успеют зайти в ваш интернет-банк, сменить пароли и вывести деньги.
Как правило, SIM-swap используют для целевых атак на людей с крупными счетами. Но никто не застрахован от случайности: если ваши паспортные данные утекли в Сеть (а они почти наверняка утекли, утечки баз происходят постоянно), мошенники могут попробовать перевыпустить SIM наугад.
Что конкретно делать уже сегодня
Вот готовый список действий. Не теория, а практика.
Подключите запрет на перевыпуск SIM без вашего присутствия. Такая опция есть у всех крупных операторов. Сделать это можно в офисе или через личный кабинет. После этого мошенник не сможет перевыпустить вашу карту, даже если у него есть ваши паспортные данные. Опция называется по-разному: у МТС — «Запрет на перевыпуск SIM-карты без паспорта», у Билайна — «Код доступа», у Tele2 — «Запрет на смену SIM». Уточните в поддержке вашего оператора. Это бесплатно или стоит символические 30–50 рублей в месяц.
Отключите мобильный банк от SMS-кодов там, где есть альтернатива. Большинство банков предлагают подтверждение операций через приложение, а не через SMS. Это безопаснее: пуш-уведомление привязано к конкретному устройству, а SMS может перехватить мошенник. Зайдите в настройки своего онлайн-банка и найдите раздел «Подтверждение операций». Выберите вариант «Через приложение» или «Пуш-коды». Если банк поддерживает вход по биометрии — включите и его.
Поставьте антиспам-защиту. Приложения вроде «Яндекс Определитель» или встроенный фильтр в Android умеют помечать подозрительные номера. Это не панацея, но дополнительный слой защиты. Они анализируют входящие SMS и предупреждают: «Вероятно, мошенники». Даже если вы не обратите внимания на предупреждение, оно создаст когнитивный диссонанс и заставит насторожиться.
Настройте оповещения в банке. Включите уведомления о любых операциях, включая списания от 1 рубля. Тогда вы сразу увидите, если что-то пошло не так, пока мошенники ещё не успели вывести всю сумму. В большинстве банков это делается в разделе «Уведомления» или «СМС-информирование». Выберите порог в 0 рублей — чтобы приходило оповещение о каждой транзакции.
Никогда не перезванивайте на номер из SMS. Это правило работает абсолютно всегда. Поступило сообщение о проблеме с картой? Кладите смартфон и звоните в банк по номеру на карте. Только так. Даже если вы на 99% уверены, что SMS настоящее — всё равно перезванивайте по официальному номеру. Потому что 1% сомнения может стоить вам всех сбережений.
Дополнительный совет: обсудите эту схему с пожилыми родственниками. Они — главная группа риска. Им кажется, что раз сообщение пришло от «Госуслуг», то это серьёзно. Объясните им простыми словами: никакой госорган не будет слать SMS со ссылками и просить перевести деньги. И повесьте на холодильник бумажку с номером вашего банка.
Где следить за новыми схемами раньше, чем они дойдут до вашего телефона
Мошенники меняют схемы быстро. То, что работало три месяца назад, сегодня уже устарело. Хорошее место, где разбирают актуальные схемы простым языком, без лишних умных слов — MAX-канал Pochinka. Там выходят конкретные разборы: как выглядит новая схема, что именно делают мошенники, как защититься. Полезно подписаться заранее, не после того, как уже стало жертвой. Там же публикуют свежие примеры поддельных SMS с разбором — вы сможете потренироваться отличать настоящее от фальшивки.
Почему операторы не могут просто закрыть эту дыру
Это честный вопрос, и ответ на него неутешительный.
Протокол SS7, через уязвимости которого и происходит часть атак, был разработан ещё в 1975 году. Он изначально строился на доверии: предполагалось, что к сети подключаются только легальные операторы. Сегодня к инфраструктуре SS7 имеют доступ тысячи компаний по всему миру, и полностью закрыть её от злоупотреблений технически крайне сложно.
Представьте себе огромную сеть, где каждый узел доверяет каждому другому узлу. Теперь попробуйте объяснить одному узлу, что он не должен доверять другому, но при этом должен продолжать с ним обмениваться данными. Примерно так выглядит проблема защиты SS7. Есть современные протоколы — например, Diameter, — но они используются не везде, а переход на них требует миллиардных инвестиций и согласования сотен операторов по всему миру.
Операторы внедряют фильтры, Роскомнадзор требует блокировок подозрительных шлюзов, банки добавляют дополнительные проверки. Но скорость, с которой появляются новые серые шлюзы и новые схемы, пока опережает скорость защитных мер. Только за прошлый год эксперты зафиксировали более двух тысяч новых серых SMS-шлюзов, которые использовались для спама и мошенничества. Каждый закрытый шлюз заменяют два новых.
Именно поэтому главная защита по-прежнему находится у вас в руках, а не в настройках оператора. Вы не можете исправить SS7. Но вы можете перестать верить каждой SMS, которая приходит на экран.
Что делать, если деньги уже ушли
Здесь важна скорость. Каждая минута имеет значение. Не паникуйте, но действуйте без промедления.
Первый шаг: позвоните на горячую линию банка по номеру на карте и потребуйте заблокировать карту и опротестовать последнюю операцию. Слово «чарджбэк» банковский сотрудник поймёт сразу. Объясните, что вы не совершали эту операцию и стали жертвой мошенничества. У вас есть 24 часа с момента обнаружения несанкционированного списания, чтобы подать заявление. Чем раньше вы это сделаете, тем выше шанс вернуть деньги.
Второй шаг: немедленно подайте заявление в полицию. Без заявления банк не обязан возвращать деньги. С заявлением у вас есть шанс через суд. Заявление можно подать онлайн через портал Госуслуг или лично в ближайшем отделении МВД. В заявлении укажите все детали: когда пришло SMS, с какого номера, какой текст, на какую сумму были списаны средства, номер карты. Сохраните скриншот SMS — он будет доказательством.
Третий шаг: напишите в Центральный банк России через интернет-приёмную cbr.ru. Это создаёт давление на банк и ускоряет разбирательство. Центробанк может обязать банк провести внутреннюю проверку и отчитаться о результатах. Банки не любят лишнего внимания со стороны регулятора, поэтому после жалобы в ЦБ ваше дело начнут рассматривать быстрее.
По закону банк обязан вернуть деньги, если вы не нарушили правила безопасности сами: не называли CVV, не сообщали код из SMS мошенникам. Если вас ввели в заблуждение с помощью поддельного сообщения, это другая история, и её стоит объяснить в письменном заявлении. Важно подчеркнуть: вы не передавали данные добровольно — вас обманули техническим способом. В некоторых случаях суды встают на сторону жертв, особенно если есть доказательства спуфинга (например, скриншот поддельного SMS в одном чате с настоящими сообщениями банка).
Главное — в двух строках
SMS от «банка» может быть полностью поддельной, даже если она пришла в чат с настоящими сообщениями. Никогда не звоните на номер из SMS и не переходите по ссылкам, которые вы не ожидали получить. Мошенники научились присылать SMS, минуя сотовую сеть, и это не байка из интернета — это реальность, с которой столкнулись уже сотни тысяч человек.
Это не паранойя. Это правила, которые в 2026 году работают как ремень безопасности: вроде бы лишнее движение, но именно оно спасает. Настройте защиту SIM-карты, отключите SMS-коды там, где можно, и приучите себя к одному простому рефлексу: увидели тревожное сообщение от банка — не читайте дальше, а сразу закрывайте приложение и звоните по номеру с карты.
А у вас или ваших близких уже приходили подозрительные SMS от имени банков или госструктур? Расскажите в комментариях — как выглядело сообщение и что вы сделали. Это поможет другим читателям распознать похожую схему раньше, чем она их коснётся.