Вы когда-нибудь получали звонок с номера своего же банка, а на том конце провода просили назвать код из СМС? Или вдруг звонила «дочь» с её личного номера, умоляла срочно перевести деньги, а голос был точь-в-точь как у неё? Поздравляю, вы столкнулись со спуфингом. Эта технология подмены данных сегодня используется в каждой второй мошеннической схеме. И главная беда в том, что визуально – на экране телефона или в адресной строке браузера – подделку отличить от правды практически невозможно.
Почему же мошенники перешли на спуфинг массово? Всё просто: люди перестали верить звонкам с незнакомых номеров. Мы уже научены: увидел незнакомый город или код 900 – сбросил. Но когда звонит родной номер банка, мужа, поликлиники – тут защита даёт трещину. Аферисты это отлично поняли. Теперь они не скрываются, они маскируются под самое доверенное.
Что такое спуфинг простыми словами? Это цифровая маскировка. Злоумышленник подменяет данные отправителя: телефонный номер, адрес веб-сайта, обратный адрес электронной почты, а с недавних пор – даже голос и лицо с помощью нейросетей. Ваш смартфон послушно показывает: «Вам звонит Сбербанк» или «МВД России». Но на самом деле это может быть подпольный колл-центр из другой страны.
По данным аналитиков в сфере кибербезопасности (реальные цифры за 2024-2025 годы), спуфинг используется в 78% атак на частных лиц. Причём наиболее опасен он не технической сложностью, а психологической. Жертва видит привычную информацию и теряет бдительность. Ей даже в голову не приходит перепроверять. А зря. Ведь спасение – только в изменении привычного поведения. И да, это не страшилка из новостей. Это реальность, в которой мы живём прямо сейчас.
Давайте разбираться, какие бывают виды спуфинга и – самое главное – как выстроить защиту, чтобы не стать очередной жертвой. Готовьтесь: привычные правила «не нажимай на ссылки» уже не работают. Нужно копать глубже.
Основные виды спуфинга
Спуфинг многолик. И чем дальше, тем больше. Если раньше жулики умели подделывать только номера или письма, то сегодня в игру вступили нейросети и дипфейки. Метод становится поистине универсальным оружием. Вот четыре главных типа атак, с которыми вы можете столкнуться уже сегодня.
Подмена телефонного номера (Сaller ID spoofing)
Самый массовый и опасный вид. Технически это выглядит так: мошенник заходит на платформу IP-телефонии (типа Asterisk или любого SIP-клиента) и вместо своего реального номера прописывает любой другой. Система передачи вызовов не проверяет подлинность этого номера. Она просто транслирует то, что ей сказали. В итоге у вас на экране высвечивается:
– Номер вашего банка (который вы сами занесли в контакты).
– Номер 112, 02, 03.
– Номер сына, дочери или мамы.
– Номер начальника, коллеги.
Представьте: вы сидите на работе, звонит шеф с его личного мобильного, голос похож, просит перевести аванс на карту «контрагента». Вы переводите. А потом оказывается, что шеф вообще никуда не звонил – просто мошенники украли базу контактов и подставили его номер. И самое страшное: обратный звонок на этот номер попадёт именно к вашему шефу! Потому что номер-то настоящий, просто во время звонка он был использован как маска. Поэтому правило «перезвони сам» – пока единственное спасение, но о нём чуть позже.
Спуфинг веб-сайтов (доменный спуфинг)
Вы заходите в интернет-банк. Внимательно смотрите на адресную строку: https://gosuslugi.ru. Вроде всё верно. Но одна буква заменена: например, не gosuslugi, а gosyslugi – с «ы». Или домен верхнего уровня другой: не .ru, а .com. Или используется омоглиф – символ из другого алфавита, который выглядит так же. Браузер показывает вам значок замочка (HTTPS), страница выглядит как две капли воды, и вы вводите логин, пароль, а затем и код из СМС.
Поздравляю, вы только что подарили мошенникам доступ к своему аккаунту. Такой спуфинг сайтов часто сочетается с фишинговыми рассылками: вам приходит СМС или письмо от имени «Госуслуг» со ссылкой, где говорится о «выигрыше» или «блокировке». Вы переходите – и всё. Одно неверное движение, и данные уплыли. Важно: даже точная копия страницы не делает её безопасной. Оригинал только по правильному адресу, который вы ввели сами вручную, а не перешли по ссылке.
Спуфинг электронной почты (Email spoofing)
Казалось бы, старый как мир метод. Но он всё ещё работает. Злоумышленники подделывают поле «From» (отправитель). Вы получаете письмо якобы от своего руководителя, от техподдержки Microsoft, от налоговой. Внутри – просьба открыть вложение или перейти по ссылке. Современные почтовые сервисы учатся фильтровать такие письма, но они пропускают до 30% подделок. Особенно если аферисты используют аутентификацию с реального, но взломанного ящика вашего коллеги. Тогда письмо вообще не вызывает подозрений.
Классический пример: бухгалтерии приходит «поручение от гендиректора» перевести деньги на новый счёт. Причём стиль и подпись скопированы идеально. Сотрудник выполняет, и миллион уходит в никуда. Чтобы защититься от email-спуфинга, нужно не просто смотреть на адрес отправителя, а проверять заголовки письма (техническую информацию). Но обычному человеку проще позвонить отправителю по тому номеру, который у вас записан в телефоне, а не из подписи в письме.
Голосовой и видеоспуфинг (Deepfake)
Самое новое и страшное. С помощью нейросетей сегодня можно синтезировать голос любого человека. Достаточно пары минут записи из соцсетей, и алгоритм научится говорить вашим голосом. А если записей много – можно создать дипфейк-видео, где вы говорите то, чего никогда не говорили. Мошенники уже используют это в реальных схемах.
Представьте: вам звонит «сын» с его номера (подмена Caller ID), рыдает, говорит, что попал в ДТП, и нужны деньги. Голос – мамина копия. Вы в панике. И лишь чудо может заставить вас перезвонить сыну на другой номер, чтобы проверить. Дипфейки пока дороги и сложны для массовых обзвонов, но для целевых атак на богатых людей или руководителей компаний – это уже реальность. Так что да, спуфинг сегодня включает в себя и подделку самой личности.
Как защититься от спуфинга
Итак, если визуально подделку не отличить, что же делать? Сидеть дома и не брать трубку? Нет. Нужно изменить свои привычки – причём радикально. Надёжной антивирусной защиты от спуфинга не существует. Потому что проблема не в вашем устройстве, а в том, как работает связь и интернет. Единственный щит – это ваше поведение и протоколы проверки. Запомните эти правила. Лучше перестраховаться десять раз, чем потерять все сбережения.
Правило встречного звонка
Это железный закон. Запомните его как «Отче наш». Если вам звонит кто-то, представляясь сотрудником банка, полиции, Следственного комитета, «Госуслуг», сотового оператора – немедленно положите трубку. Не задавайте вопросов, не слушайте, не уточняйте. Просто сбросьте вызов. Затем наберите номер организации сами, вручную, используя тот номер, который указан на официальном сайте или на обратной стороне вашей банковской карты.
Не перезванивайте на номер, который мошенники только что вам продиктовали. Не перезванивайте по номеру из СМС. Не верьте даже голосовому сообщению. Только самостоятельный набор номера, который вы проверили по независимым источникам. В банке подтвердят: настоящий сотрудник никогда не просит код из СМС и не предлагает «перевести деньги на безопасный счёт». Если вам сказали такое – это 100% спуфинг.
Проверка голоса и личности близких
Родственники или друзья звонят с их же номеров, но просят крупную сумму или данные? Голос вроде их, но что-то не так? Не спешите. Прервите разговор. Скажите: «Я тебе перезвоню через минуту». Положите трубку и свяжитесь с этим человеком по другому каналу. Например, через WhatsApp, Telegram, личную встречу или по звонку на второй номер, который вы точно знаете.
Особенно это актуально для пожилых родителей. Договоритесь с ними о «кодовом слове». Да-да, как в шпионских фильмах. Одно слово, которое вы никогда не скажете в обычной жизни. Если кто-то звонит от вашего имени и просит денег, пусть спрашивают код. Мошенники его не узнают. Это просто, но гениально. И защищает даже от дипфейка голоса.
Анти-спуфинг для сайтов: три простых шага
Никогда не переходите по ссылкам из СМС, писем, мессенджеров, даже если сообщение выглядит очень официально. Всегда вводите адрес сайта вручную в адресной строке браузера. Только так. Да, это дольше. Но зато безопаснее. Второй шаг: прежде чем вводить пароль, гляньте на адресную строку. Найдите там значок замка. Но помните, замок не гарантия – его можно подделать. Поэтому третий шаг: проверьте доменное имя досконально. Не пропущена ли буква? Не заменена ли «а» на кириллическую «а»? Для особо важных аккаунтов (банк, госуслуги, почта) используйте двухфакторную аутентификацию и аппаратный ключ (например, YubiKey). Тогда даже если вы введёте пароль на поддельном сайте, без физического ключа мошенники ничего не сделают.
Что делать с подозрительными звонками и сообщениями
Запомните: никто из реальных организаций не требует срочных действий по телефону. Банк не звонит с просьбой установить приложение. МВД не звонит гражданам. Сотрудники «Госуслуг» не просят назвать код из СМС. Если слышите слово «срочно», «безопасный счёт», «прямо сейчас», «код подтверждения» – вешайте трубку не раздумывая.
Заблокируйте номер в телефоне, но учтите: номер подменный, блокировка не поможет, на следующий день они позвонят с другого. Жалуйтесь в антифрод-системы вашего оператора связи – у многих есть сервисы защиты от спама и спуфинга. Например, «Билайн.Антиспам», «МТС.Защитник», «Мегафон.Безопасность». Они не дают 100% гарантии, но отсекают до 60% подозрительных вызовов.
Техническая защита: настройки смартфона и компьютера
Да, поведение – главное, но и техника помогает. Включите в смартфоне определитель номера с антиспамом (обычно встроен в приложение «Телефон» у Xiaomi, Samsung, Google, или установите приложение типа «Номерограм»). На компьютере обновляйте браузер – современные версии Chrome, Firefox, Edge предупреждают о фишинговых сайтах. Проверьте, что у вас включено автоматическое обновление системы. Используйте менеджер паролей: он не предложит ввести пароль от банка на левом сайте – потому что домен будет не тот.
И самое главное: никогда и никому не сообщайте коды из СМС, CVV-код вашей карты, логины и пароли. Ни «сотруднику банка», ни «полицейскому», ни «дочери», голос которой вы узнали. Потому что это может быть спуфинг. И поверьте, когда мошенники перешли на спуфинг массово, ваша бдительность – это единственная преграда между вашими деньгами и их карманом. Будьте здоровы, бдительны и всегда перепроверяйте. Встречный звонок – это не паранойя, это ваша финансовая безопасность в мире, где номер телефона больше ничего не гарантирует.