Вы не регистрировались ни на каком сайте. Не заказывали никакой доставки. Не просили никакого кода. Но телефон уже третий раз за час вибрирует: Госуслуги, потом банк, потом какой-то маркетплейс. Везде одно: «Ваш код подтверждения: ХХХХ».
Первая мысль: кто-то пытается взломать мои аккаунты.
Вторая мысль: надо что-то делать.
Обе мысли правильные. Но действовать нужно точно и без паники. Разберём, что именно происходит и какой шаг спасёт вас от потери денег или аккаунта.
Почему вообще приходят коды, которые вы не запрашивали
Есть несколько причин, и они сильно отличаются по степени опасности.
Причина 1. Кто-то случайно ввёл ваш номер
Человек регистрируется на сайте, ошибается в цифре, и код летит вам. Это самый безобидный вариант. Код вам бесполезен, аккаунт создать с ним всё равно не получится: пароль задаёт тот, кто вводил номер. Максимум, что здесь случится: вы получите ещё пару СМС, пока человек не разберётся со своей ошибкой.
Причина 2. Атака методом перебора
Злоумышленник нашёл ваш номер в утечке данных или купил в даркнете. Теперь он пробует войти в разные сервисы под вашим номером, надеясь, что вы зарегистрированы хоть где-нибудь. Коды сыплются именно поэтому: система автоматически их генерирует при каждой попытке входа.
Сами по себе эти коды ничего не дают злоумышленнику. Ему нужно только одно: чтобы вы сами сообщили один из них.
Причина 3. СМС-бомбардировка как отвлекающий манёвр
Это самый опасный сценарий, и о нём мало кто знает.
Мошенники специально заваливают жертву потоком СМС, чтобы она растерялась. На фоне хаоса из десятков сообщений приходит настоящий звонок: «Здравствуйте, служба безопасности банка. Мы видим подозрительную активность на вашем номере. Чтобы защитить ваш счёт, назовите код, который только что пришёл».
Жертва в панике. Телефон и правда разрывается. Логика подсказывает: раз банк звонит сам, значит, всё серьёзно. Человек называет код. В эту секунду мошенник заходит в его интернет-банк или меняет пароль на Госуслугах.
Всё. Деньги или аккаунт потеряны.
Именно такие схемы разбираем здесь на канале Закрытый доступ: подписывайтесь, чтобы знать об этом до того, как столкнётесь лично.
Главное правило, которое работает всегда
Запомните его раз и навсегда, запишите на бумажке и положите рядом с телефоном:
Код из СМС не называют никому и никогда. Ни банку, ни Госуслугам, ни оператору связи, ни «службе безопасности». Никому.
Настоящий банк никогда не попросит назвать код из сообщения. Это прописано в любом договоре на обслуживание. Если кто-то просит код, это мошенник. Без исключений.
Если вы запомните только одну вещь из этой статьи, пусть это будет именно она.
Пошаговый план действий при массовых СМС
Не нужно паниковать и бежать в банк. Действуйте методично.
Шаг 1. Не отвечайте и не перезванивайте
Ни на одно из этих СМС не нужно отвечать. Не пишите «Стоп», не нажимайте никаких ссылок внутри сообщений. Некоторые «отписки» от рассылок на самом деле подтверждают активность номера и увеличивают поток спама.
Шаг 2. Проверьте, не зашёл ли кто-то в ваши аккаунты
Откройте приложение своего банка напрямую: не по ссылке из СМС, а через иконку на экране или через официальный сайт, который вы знаете наизусть. Посмотрите историю операций и активные сессии.
То же самое сделайте на Госуслугах: войдите и проверьте раздел «Безопасность» и «Последние действия». Если там есть устройства или города, которые вы не узнаёте, немедленно завершите все сторонние сессии.
Шаг 3. Смените пароли на ключевых сервисах
Приоритет: банк, Госуслуги, электронная почта (через неё можно восстановить доступ ко всему остальному). Пароль должен быть длинным и уникальным для каждого сервиса. Если вы использовали один пароль везде, сейчас самое время это исправить.
Шаг 4. Включите двухфакторную аутентификацию там, где её нет
Парадокс: СМС-коды одновременно и цель атаки, и защита от неё. Если у вас включена двухфакторная аутентификация, злоумышленник не войдёт в аккаунт даже зная пароль. Главное, что этот код вы не называете никому.
Шаг 5. Заблокируйте нежелательные номера
Если конкретные номера повторяются, внесите их в чёрный список. На Android это делается прямо в приложении «Телефон» или «Сообщения»: долгое нажатие на номер или контакт, затем «Заблокировать».
Как понять, что ваши данные утекли
Если коды приходят регулярно и с разных сервисов, скорее всего, ваш номер попал в одну из баз данных, которые продаются на закрытых форумах. Это случается при утечках у магазинов, сервисов доставки, мобильных приложений.
Проверить, где и когда утекли ваши данные, можно на сервисе haveibeenpwned.com: вводите email, и сайт покажет, в каких известных утечках он фигурировал. Для номера телефона такого универсального инструмента нет, но если вы вводили телефон вместе с почтой при регистрации, вывод очевиден.
Что делать с этим знанием: сменить пароли на всех сервисах, где использовался скомпрометированный email. Особенно на почте: она часто служит мастер-ключом ко всему остальному.
Отдельный сценарий: коды приходят от Госуслуг
Если среди СМС есть сообщения именно от Госуслуг, отнеситесь к этому серьёзнее обычного. Через Госуслуги можно взять кредит, оформить недвижимость, получить доступ к налоговым данным.
Зайдите на портал напрямую (gosuslugi.ru), проверьте раздел «Безопасность», посмотрите список приложений и организаций, которым вы давали доступ. Если видите что-то незнакомое, отзывайте доступ немедленно.
Включите вход по двухфакторной аутентификации через приложение, а не только через СМС: это надёжнее, потому что перехватить приложение-аутентификатор сложнее, чем СМС.
Что делать, если вы уже назвали код
Если это произошло, действуйте немедленно. Каждая минута на счету.
Для банковского кода:
Позвоните в банк по номеру с оборотной стороны карты или с официального сайта. Скажите, что назвали код посторонним. Попросите заблокировать карту и проверить последние операции. Если деньги уже ушли, пишите заявление на возврат: по закону банк обязан его рассмотреть.
Для кода от Госуслуг:
Срочно зайдите в аккаунт и проверьте, не изменились ли данные: телефон, почта, пароль. Если злоумышленник уже сменил контакты, звоните на горячую линию Госуслуг: 8-800-100-70-10, звонок бесплатный. Объясняйте ситуацию, просите помощи в восстановлении.
Для кода от любого другого сервиса:
Войдите в аккаунт, смените пароль, проверьте активные сессии и завершите все лишние.
Три вещи, которые стоит сделать прямо сегодня
Вы дочитали статью. Значит, у вас есть пять минут на то, чтобы стать заметно защищённее:
Первое: откройте Госуслуги и проверьте раздел «Безопасность». Посмотрите, нет ли чужих устройств в активных сессиях.
Второе: откройте банковское приложение и убедитесь, что включены уведомления о каждой операции. Это ваш первый рубеж обнаружения проблемы.
Третье: договоритесь с близкими, особенно с пожилыми родственниками: код из СМС не называют никому и никогда, даже если звонящий называет себя сотрудником банка или полицейским.
Эти три шага не займут много времени. Но они могут сохранить ваши деньги и нервы.
Если вам приходили такие СМС: много сразу или регулярно с разных сервисов, расскажите в комментариях. Как вы реагировали? Удалось ли разобраться? Были ли попытки дозвониться после этого? Ваш опыт может помочь другим читателям не попасться на ту же схему.