Добавить в корзинуПозвонить
Найти в Дзене
Владимир Лавник
2352 подписчика

Новая схема мошенников для взлома Госуслуг через звонок-сброс

17
3 мин
Обычная запись на маникюр или фотосессию в соцсетях часто начинается с общения с очень вежливым администратором. В процессе переписки он сообщает: «Чтобы забронировать время, нужно подтвердить ваш телефон. Сейчас на него поступит звонок от нашей системы. Пожалуйста, напишите последние четыре цифры номера, который вам позвонит, чтобы мы знали, что вы реальный клиент». Звонок действительно поступает и тут же сбрасывается. Клиент отправляет четыре цифры в чат. А через пять минут обнаруживает, что личный кабинет банка заблокирован, а на Госуслугах сменился пароль. Собеседник в чате, разумеется, перестает отвечать. Такой сценарий выглядит глупо только со стороны. Это новая и очень опасная схема обмана, которая активно набирает обороты. Мы привыкли к тому, что для подтверждения операций нужен СМС-код. И правило «никому не говорить код из СМС» банки успели донести до большинства клиентов. Выманивать такие коды мошенникам стало трудно. Поэтому индустрия авторизации начала меняться, и главным д
Оглавление

Обычная запись на маникюр или фотосессию в соцсетях часто начинается с общения с очень вежливым администратором. В процессе переписки он сообщает: «Чтобы забронировать время, нужно подтвердить ваш телефон. Сейчас на него поступит звонок от нашей системы. Пожалуйста, напишите последние четыре цифры номера, который вам позвонит, чтобы мы знали, что вы реальный клиент».

Звонок действительно поступает и тут же сбрасывается. Клиент отправляет четыре цифры в чат. А через пять минут обнаруживает, что личный кабинет банка заблокирован, а на Госуслугах сменился пароль. Собеседник в чате, разумеется, перестает отвечать.

Такой сценарий выглядит глупо только со стороны. Это новая и очень опасная схема обмана, которая активно набирает обороты.

Как это устроено: экономика звонка-сброса

Мы привыкли к тому, что для подтверждения операций нужен СМС-код. И правило «никому не говорить код из СМС» банки успели донести до большинства клиентов. Выманивать такие коды мошенникам стало трудно.

Поэтому индустрия авторизации начала меняться, и главным двигателем изменений стала обычная экономика.

Одно СМС-сообщение обходится компании в три-четыре рубля. Если у сервиса миллионы пользователей, расходы на отправку кодов превращаются в огромные бюджеты. В попытках сэкономить бизнес перешел на технологию Flash Call (звонок-сброс).

Сервис не отправляет СМС. Вместо этого его сервер совершает звонок на мобильный телефон с уникального номера. Программа просит пользователя ввести последние четыре цифры этого входящего номера в поле на сайте. Для компании такой звонок стоит копейки или вообще бесплатен.

Мошенники поняли, как использовать эту экономию против нас.

Схема строится так:

  1. Злоумышленник общается с вами под видом продавца услуг или арендодателя.
  2. Параллельно он пытается войти в ваш личный кабинет банка, мессенджера или Госуслуг, инициируя процедуру восстановления пароля.
  3. Сервис отправляет вам проверочный звонок-сброс.
  4. Мошенник в переписке просит назвать последние цифры звонившего номера под предлогом «подтверждения записи».

Пользователь думает, что просто помогает подтвердить бронь. Но фактически диктует одноразовый пароль для входа в личный кабинет. Получив эти цифры, преступник мгновенно меняет пароли, привязывает новый номер телефона и получает доступ к счетам и персональным данным.

-2

Знание схем обмана не гарантирует безопасность на сто процентов. На той стороне работают профессиональные манипуляторы. Они умеют быстро вывести человека на эмоции и загнать в стрессовую ситуацию, когда рациональный мозг просто отключается. Я сам пару раз ловил себя на том, что нахожусь в шаге от ошибки. Не знаю, что именно меня спасало, но в последний момент аналитический ум все же успевал включиться и заглушить эмоции.

Почему мы верим мошенникам в этот раз

Главная сила этой схемы кроется в нашей психологической привычке.

Банки годами предупреждали о вреде разглашения СМС-кодов. Наш мозг создал ассоциацию: СМС-код ассоциируется с опасностью. Но про входящие звонки никто так настойчиво не предупреждал. Номер телефона на экране смартфона кажется нам публичной информацией, которую не жалко показать.

К тому же мошенники используют естественный контекст. Запись на услугу или доставка товара действительно требуют подтверждения. Нас не пугают, не давят авторитетом «лейтенантов полиции». С нами общаются вежливо, предлагают скидку или удобное время. Бдительность засыпает.

Честно? Я не знаю, как операторы связи или регуляторы могут полностью заблокировать эту лазейку в ближайшее время. Технология Flash Call слишком выгодна для легального бизнеса, чтобы от нее легко отказались. Значит, безопасность снова становится нашей личной задачей.

-3

Как защитить себя от новой схемы

Правила защиты очень простые, но их нужно соблюдать жестко:

  1. Главное правило: Любые цифры из входящих звонков-сбросов представляют собой точно такой же секретный код, как и пароль из СМС. Никогда не пересылайте их третьим лицам.
  2. Вводите самостоятельно: Код авторизации предназначен только для ввода в официальном приложении или на сайте, куда вы зашли сами. Если вас просят продиктовать его человеку в чате или по телефону, это обман.
  3. Защитите критические сервисы: На Госуслугах и во всех банковских приложениях обязательно включите двухфакторную аутентификацию (вход по паролю и СМС одновременно). В Telegram установите облачный пароль. Это не позволит взломать вас, даже если злоумышленник узнает код из звонка.

Для восстановления доступа к Госуслугам после такого взлома придется лично идти в МФЦ, пока банк блокирует карты из-за подозрительной активности. Но лучшая защита заключается в том, чтобы просто помнить: если вас просят назвать цифры звонка, диалог нужно немедленно прекращать.

Расскажите об этом своим близким и знакомым.