Жулики не только звонят — они пишут SMS. Рассмотрим самые опасные схемы коротких сообщений, о которых лучше знать заранее, чтобы не попасться.
Смишинг
Для начала запомним термин — смишинг. Это когда фишинг (обман через интернет) приходит к вам не на электронную почту или в мессенджер, а в виде СМС-ки. И это гораздо опаснее, потому что мы относимся к СМС совсем не так, как к письмам в спаме. Почту мы чистим порой, не читая, а СМС привыкли открывать - вдруг там что-то важное от банка или курьер пишет.
Мошенники рассуждают просто — если ты читаешь сообщение, значит, у них есть шанс что на них «клюнет» жертва. Они маскируются под известные бренды - Сбер, Озон, Почту, Госуслуги. Создают сайт-клон, который выглядит один в один как настоящий, и заманивают туда ссылкой. Там просят ввести логин, пароль, номер карты или тот самый код из СМС. Как только вы это сделали - все данные уже у них, и деньги начинают уходить налево.
Бывает и хуже — в сообщении может быть ссылка на скачивание файла. Открываешь — и на телефон ставится программа-шпион. Она читает все ваши СМС, запоминает, что вы печатаете, и вообще получает полный доступ к телефону. Теперь мошенники могут зайти в ваш мобильный банк, не спрашивая разрешения. Здесь конечно все зависит от версии Android — старые версии сильно уязвимы, а если вы нажали «установить» вслепую, то уже даете доступ на все, что только можно.
Самые частые приемы — от «Васи с новым номером» до бонусов, которые сгорают
Посмотрим на конкретные сценарии, которые мошенники повторяют изо дня в день. Скорее всего, вы сталкивались хотя бы с одним из них.
Первый и самый коварный - это «привет, я сменил номер». Пишут будто от вашего друга: «Это мой новый номер, старый не работает, сохрани». Вы отвечаете что-то вроде «окей», и на этом все. А через пару дней «Вася» просит перевести немного денег — скинуться на подарок коллеге или оплатить срочный счет. Сумма небольшая, отказывать неудобно, да и вроде друг просит. Вы переводите, а на самом деле это был мошенник. И он специально взял такую маленькую сумму, чтобы вы не стали перепроверять. А еще ваш ответ на первое сообщение - это для них зеленый свет. Он показывает, что номер живой и вы отвечаете незнакомцам. Такой номер продают другим мошенникам уже дороже. Представьте, если рассылка будет массовой, то сколько они заработают?
Второй прием — про посылку. Сейчас почти все заказывают вещи из интернета. И вот приходит СМС — «Ваш заказ прибыл в пункт выдачи, уточните адрес» или «Для получения перейдите по ссылке». Человек кликает, попадает на сайт, который не отличишь от настоящего маркетплейса. Там просят ввести логин с паролем — мол, для входа в личный кабинет. Данные уходят мошенникам. Или просят оплатить маленькую пошлину за хранение - сто рублей. Вы вводите карту, а с нее потом снимают все до копейки.
Третий сценарий бьет по самому больному — по страху за детей. Приходит СМС: «Мам, я попал в аварию, перезвони по этому номеру адвокату». Даже если ваш ребенок сейчас на учебе, сердце все равно екает. Вы звоните, а там уже «следователь» или «адвокат» обрабатывает вас — ребенок в беде, нужны деньги, чтобы решить вопрос. В состоянии паники люди перестают соображать и переводят огромные суммы. Мошенники знают — страх отключает логику лучше любого гипноза.
Четвертый — самый хитрый и технически сложный. Вам приходит реальное СМС от вашего банка с кодом подтверждения. Через минуту звонит человек и говорит: «Это служба безопасности, кто-то пытается войти в ваш личный кабинет. Назовите мне код из СМС, чтобы мы отменили операцию». Звучит логично. Но на самом деле мошенники уже сидят на сайте банка, ввели ваш номер телефона и ждут только этот самый код. Вы называете его — и они заходят в ваш кабинет как вы. Деньги уходят за секунды. Запомните раз и навсегда — настоящий сотрудник банка никогда не попросит у вас код из СМС.
Пятый прием — игры на социальных связях. Приходит сообщение: «Привет, проголосуй за мою племянницу в конкурсе, перейди по ссылке». Вроде бы безобидно. Но ссылка ведет не на голосование, а на страницу, где нужно ввести номер телефона и код из СМС «для подтверждения». На самом деле вы подписываетесь на какую-нибудь платную услугу, которая будет снимать по 300 рублей в день. И вы не сразу это заметите.
И наконец, прием с бонусами. «Вам начислили 500 баллов кешбэка, они сгорают сегодня, перейдите по ссылке и подтвердите списание». Желание не потерять халявные деньги перевешивает разум. Вы переходите, вводите данные карты, и мошенники получают все, что им нужно.
СМС-бомбинг
Раньше, если вы не велись на обман, мошенники просто отваливали. Сейчас все поменялось. Они стали агрессивнее. Если вы не дали себя обмануть, они могут просто завалить ваш номер сообщениями. Это называется СМС-бомбинг.
Работает это так — специальные программы регистрируют ваш номер на всех сайтах подряд: от интернет-магазинов до доставок еды. На телефон сыпется сотня уведомлений, кодов подтверждения, рекламы. Вы в панике, не понимаете, что происходит. И в этот момент звонит «специалист по безопасности» — «Ваш телефон взломали, с него рассылают спам, срочно назовите код, чтобы мы все заблокировали». Вы в шоке и отдаете все, что просят. Так они и добиваются своего.
Как работает подмена номера
Есть технический прием, о котором полезно знать, - спуфинг. Это когда мошенник может поставить на своем телефоне любой номер, который ему нужен. Вы видите на экране «Сбербанк» или «Полиция», берете трубку и безоговорочно верите. А на самом деле это обычный мошенник с улицы.
В последнее время они пошли еще дальше. Они отправляют СМС, что ваш аккаунт на Госуслугах взломан, и оставляют поддельный номер поддержки. Если вы перезвоните — они уже не звонят вам, а вы звоните им сами. Это позволяет обойти антифрод-системы операторов и новый запрет на звонки в мессенджерах. Жертва сама делает первый шаг, и это снижает ее бдительность.
Что делать, чтобы не попасться
Теперь к самому важному - к защите. Единственное, что реально работает, - это ваше собственное поведение. Никакая технология не спасет, если вы сами отдадите код или перейдете по ссылке.
Правило номер один и самое главное — никогда не делайте ничего из СМС, если вы сами этого не заказывали. Не переходите по ссылкам. Не отвечайте. И никогда, слышите, никогда не называйте код из СМС никому, даже если на том конце представились службой безопасности банка. Они и так все про вас знают.
Если вам пишет «друг» с просьбой помочь — перезвоните этому другу по его старому номеру, который у вас сохранен. Если вам пришло сообщение про посылку — не кликайте на ссылку, а откройте приложение магазина сами и проверьте статус заказа.
Если на вас обрушился СМС-бомбинг — не паникуйте и не берите трубку с незнакомых номеров. Просто подождите. Эта атака длится недолго, обычно пару часов. Если вы все же сняли трубку и вам представились техподдержкой — сразу кладите трубку. Это мошенники.