Звонит незнакомый номер. Вы берёте трубку, и голос на том конце без паузы произносит: «Здравствуйте, Анна Сергеевна, вас беспокоит служба безопасности банка». И вот тут уже наполовину поверили. Потому что незнакомец знает имя, отчество, иногда даже последние четыре цифры карты.
Я занимаюсь темой защиты от мошенников не первый год. И когда разбираю очередную схему, всё упирается в один и тот же вопрос: откуда у них всё это? Сейчас расскажу.
Главное заблуждение: «меня нет в их базах»
Есть. Поверьте, есть. Если у вас есть телефон, карта, аккаунт на маркетплейсе или вы хоть раз заказывали пиццу домой, ваше имя и номер уже лежат в нескольких базах. Вопрос только в том, у кого именно и насколько свежая информация.
И это не паранойя. Это арифметика утечек за последние пять лет.
Канал 1. Слитые базы клиентов
Самый массовый источник. Утекают базы доставки еды, фитнес-клубов, медицинских лабораторий, интернет-магазинов, операторов связи. Иногда это взлом, иногда сливает свой же сотрудник за пару тысяч рублей.
Я как-то ради эксперимента ввёл свой номер на одном из теневых поисковиков. Он показал три моих заказа в разных сервисах за последние два года, имя, отчество и даже примерный адрес доставки. Стоила такая выписка меньше, чем чашка кофе.
Когда мошенник звонит и говорит «Анна Сергеевна, ваш заказ из аптеки готов», он не угадывает. Он читает строчку из таблицы.
Канал 2. Приложения-определители номера
Вы наверняка ставили приложения, которые показывают, кто звонит. Удобная штука. Но работают они так: каждый пользователь, нажимая «согласен», отдаёт свою телефонную книгу целиком.
А дальше вот что происходит. Ваш знакомый записал вас как «Анна работа кредит». Так же записал ещё один человек. И ещё двадцать. Алгоритм усредняет и привязывает к вашему номеру самую частую подпись: имя, статус, иногда профессию.
Мошенник, прежде чем набрать, просто пробивает вас по такому сервису. И уже знает, что вы Анна, что у вас был кредит, что коллеги звали вас по имени-отчеству.
Канал 3. Соцсети и открытые профили
Здесь даже взламывать ничего не нужно. Если у вас в профиле указаны имя и фамилия, и в комментариях вы оставляли свой номер для какой-нибудь продажи на Авито, этого хватит. Связка собирается за минуту.
Вот частый сценарий. Человек продал старый велосипед, написал в объявлении «звоните Сергею». Через полгода ему звонит «менеджер банка» и обращается по имени. Совпадение? Нет, просто кто-то скрапил Авито пару лет назад.
Канал 4. Курьеры, доставка, ПВЗ
Этот канал недооценивают. А зря. На каждой посылке есть наклейка с именем, фамилией, телефоном и адресом. Курьер видит её. Сотрудник пункта выдачи видит её. Сортировщик на складе видит её.
Девять из десяти честные. Но хватит одного нечестного на тысячу, чтобы база утекла. Я лично знаю историю, когда сотрудник ПВЗ фотографировал наклейки и продавал пачками. Не мошенникам напрямую, а перекупщикам. А те уже дальше.
Канал 5. Фишинг под Госуслуги
Отдельная больная тема. Сами Госуслуги охраняются жёстко, но мошенники научились выманивать логины и пароли через двойников. Поддельный сайт, СМС со ссылкой, звонок с просьбой назвать код.
Когда человек однажды ввёл имя, пароль и телефон на фишинговой странице, всё это уходит в общую копилку. И потом всплывают через полгода в виде звонка, где уже знают про ваш ИНН, СНИЛС и место регистрации.
Если вам звонят и называют не только имя, но и серию паспорта, где-то вы уже попались. Или попался кто-то из родственников, через которых ваш номер и имя тоже могли утечь.
Канал 6. Банковские и страховые базы
Самый дорогой и самый опасный сегмент. Утечки из банков случаются реже, но бьют сильно. Потому что там не просто имя и номер, а ещё привязка к карте, остатку, последним операциям.
Типичный признак того, что слили именно банк: звонящий называет ваш банк правильно с первой попытки. Не «у вас же карта Сбера или ВТБ», а сразу, без вариантов: «по вашей карте Тинькофф». Это маркер.
Канал 7. Старые анкеты и опросы
Помните, как лет пять назад все заполняли анкеты в торговых центрах ради бонусной карты? Или участвовали в розыгрышах с указанием телефона? Эти бумажки и формы никто не уничтожал. Они хранились в коробках, потом оцифровывались, потом продавались при банкротстве компании.
Поэтому вам сегодня может звонить «представитель клиники», а на самом деле работает база из косметического салона, который закрылся в 2019 году.
Что с этим делать прямо сейчас
Полностью убрать себя из всех баз нельзя. Это утопия. Но обрубить большую часть свежих утечек можно.
Проверьте свои телефонные книги в облаке. Многие хранят там тысячи контактов, и если ваш аккаунт когда-нибудь взломают, утечёт всё разом. Включите двухфакторную аутентификацию там, где её ещё нет.
Пересмотрите разрешения приложений. Зачем фонарику доступ к контактам? Зачем игре геолокация? Каждое лишнее разрешение это ещё один канал, по которому вашу записную книжку могут утянуть.
На маркетплейсах включите скрытие номера. Сейчас почти везде есть подменный номер для звонков курьера. Пользуйтесь им.
И главное: не пытайтесь играть с мошенником в игру «угадай, что ты ещё про меня знаешь». Я видел десятки людей, которые думали, что их так не проведёшь, и в конце сами проговаривали то, чего звонящий не знал.
Простой тест, который спасает
Когда вам звонят и называют по имени, не подтверждайте ничего. Вообще ничего. Не говорите «да, это я», не говорите «верно». Молчите или задавайте встречные вопросы.
«Назовите, пожалуйста, ваш отдел и фамилию руководителя» — обычно после такого вопроса связь обрывается через пять секунд.
И ещё. Перезванивайте только по официальному номеру с обратной стороны вашей карты или с сайта банка. Не по тому, который высветился. Не по тому, который продиктовал «менеджер». Это правило банальное, но оно отсекает 90 процентов схем.
Финал, без иллюзий
Ваше имя у них уже есть. Свыкнитесь с этой мыслью. Знание имени само по себе ничего не даёт: это лишь приманка, чтобы вы расслабились. Дальше идут вопросы про коды, переводы и срочные действия. Вот на этом этапе и проигрывают деньги.
Запомните одно. Настоящий банк никогда не просит код из СМС. Настоящая полиция не звонит и не требует переводить деньги на безопасный счёт. Настоящих безопасных счетов в природе не существует.
Если усвоить это, остальные мелочи становятся просто шумом. Пусть знают ваше имя. Пусть знают отчество. Пока вы не нажимаете кнопку и не диктуете цифры, у них ничего не получится.