Алексей Боровков – Осторожно, скам! Как не стать жертвой финансовых мошенников в цифровую эпоху (страница 4)

· Суть: Это многоходовая комбинация. Атакующий представляется авторитетной фигурой (сотрудником IT-службы, банка, госоргана, исследователем) и разыгрывает целый спектакль.

· Пример: Вам звонит «сотрудник безопасности банка»:

1. Устанавливает доверие: Называет ваши ФИО, часть номера карты (данные из утечки). Спрашивает, не совершали ли вы недавно подозрительный перевод в некий город.

2. Создаёт проблему: «Для блокировки мошеннической операции нам нужно срочно подтвердить вашу личность. Назовите, пожалуйста, полный номер карты, срок действия и CVC-код. Или для удобства установите наше приложение для удалённого доступа – я сам всё сделаю».

3. Предлагает «решение»: То самое действие, которое ему и нужно.

· Как распознать: Любой запрос конфиденциальных данных (пароли, коды из SMS, CVC) по инициативе звонящего/пишущего. Настоящий сотрудник банка никогда не спросит у вас CVC-код или полный пароль от личного кабинета.

Как противостоять претекстингу: Прервать сценарий. Вежливо завершить разговор, сказав: «Я сам перезвоню в банк/компанию на официальный номер». И сделать это.

3. «БУРИДАНОВ ОСЁЛ»: Выбор без выбора

Философский парадокс об осле, умирающем от голода между двумя одинаковыми стогами сена, потому что он не может сделать рациональный выбор, стал техникой манипуляции.

· Суть: Вам предлагают не один, а ДВА варианта действий. Оба выгодны мошеннику. Иллюзия выбора успокаивает бдительность и создаёт чувство контроля над ситуацией.

· Пример:

· «Для защиты счёта мы предлагаем два варианта: либо вы называете мне коды из SMS, которые сейчас придут, либо мы временно заблокируем счёт на 30 дней для полной проверки. Что выбираете?»

· «Чтобы получить выигрыш, вы можете оплатить налог курьеру наличными или сделать онлайн-перевод на наш резервный счёт для скорости. Как вам удобнее?»

· Что происходит: Ваш мозг сосредотачивается на второстепенном выборе («как платить?»), игнорируя главный вопрос – а нужно ли платить вообще? Вы думаете, что сохраняете контроль, но это иллюзия.

Как противостоять: Задайте себе третий, главный вопрос: «А КТО МЕНЯ ОБ ЭТОМ ПРОСИТ И ЗАЧЕМ? ДЕЙСТВИТЕЛЬНО ЛИ МНЕ НУЖНО ЭТО ДЕЛАТЬ?» Вырвитесь из навязанной дилеммы, выйдите в «мета-позицию» и оцените ситуацию со стороны.

Вывод:

Фишинг бьёт массово, претекстинг точечно взламывает доверие, а «буриданов осёл» лишает вас воли, создавая иллюзию выбора. Объединяет их одно: все они атакуют не технику, а вашу психологию. Осознание этих техник – первый шаг к тому, чтобы перестать быть объектом манипуляции и стать осознанным субъектом, который всегда задаёт контрольный вопрос: «Какова настоящая цель человека, который это говорит?».

Глава 2: Цифровые ловушки: от почты до мессенджеров

Фишинг и его виды: email, smishing (SMS), вишинг (звонки)

Фишинг – это «заброс удочки» (от англ. fishing) в цифровой океан в надежде, что кто-то клюнет на наживку. Это самая массовая и распространенная техника мошенничества. Её суть – под маской легитимного отправителя (банка, госоргана, сервиса) выманить у вас конфиденциальные данные: логины, пароли, данные карт, коды из SMS.

Важно понимать, что фишинг – это не один метод, а три основных канала доставки «удочки», каждый со своей спецификой.

1. Email-фишинг: Классика жанра с фальшивыми ссылками

Это первоисточник. Мошенники рассылают тысячи писем, имитирующих официальные рассылки.

Как выглядит:

· Отправитель: Адрес, похожий на настоящий, но с опечатками или другим доменом (например, support@bank.su вместо support@bank.ru, или security@yandекс.ru).

· Содержание: Сообщение о «подозрительной активности», «блокировке счета», «неудачной доставке», «выигрыше». Тон – официальный, но требующий срочных действий.

· Крючок: Ссылка на фальшивый сайт-клон. Вы переходите по ней, видите точную копию страницы входа в интернет-банк или соцсеть, вводите свои данные – и они мгновенно попадают к мошенникам. Или вас просят открыть «счёт» или «уведомление» во вложении – это вредоносный файл.

Правило защиты №1: Никогда не переходите по ссылкам из подозрительных писем и не открывайте вложения. Заходите на сайт сервиса, набрав адрес вручную в браузере или через закладку.

2. Smishing (SMS-фишинг): Удар в карман

Более прямой и личный канал. SMS приходит прямо на ваш телефон – устройство, которое мы считаем более приватным и защищенным.

Как выглядит:

· Сообщение: «Банк. Карта 1234 будет заблокирована. Подтвердите операцию: [ссылка]». «Почта России. Для получения посылки оплатите доставку: [ссылка]». «Вы выиграли приз. Перейдите для получения: [ссылка]».

· Особенность: SMS часто приходит с короткого номера, который может выглядеть официально. Текст лаконичен, содержит только суть «угрозы» или «выгоды» и ссылку.

· Крючок: Та же фишинговая ссылка, ведущая на сайт для ввода данных или даже на страницу с автоматической установкой вредоносного приложения.

Правило защиты №2: Банки и госорганы НЕ присылают ссылки в SMS для «подтверждения» или «входа». Официальные SMS от банка информируют, но не содержат активных ссылок. Любая ссылка в SMS от «службы безопасности» – 100% мошенничество.

3. Вишинг (Vishing – голосовой фишинг): Самый опасный, потому что живой

Это фишинг по телефону. Здесь нет времени на раздумья, работает сила живого голоса, давление и актёрская игра.

Как выглядит:

· Звонок: Вам звонят с номера, который может быть даже подменён (спуфинг) и выглядеть как номер вашего банка. На том конце – «сотрудник службы безопасности», «полицейский», «техподдержка».

· Сценарий: Используется претекстинг (сложная легенда): вам сообщают о попытке мошенничества с вашей картой, о зарегистрированном на вас кредите, о проблемах с родственником.

· Крючок: Вас просят продиктовать коды из SMS («для отмены транзакции»), назвать данные карты («для проверки»), установить программу удалённого доступа (AnyDesk, TeamViewer) под видом «защитного приложения».

Правило защиты №3 (самое важное): Никто и никогда из легитимных организаций не будет по своей инициативе запрашивать у вас по телефону:

· Пароли и PIN-коды от карт/аккаунтов.

· Коды из SMS (3D-Secure, подтверждения операций).

· CVC/CVV-код с обратной стороны карты.

· Не будет просить установить программу для «удалённой помощи».

Ваш единственный ответ на такой звонок: «Я прерываю разговор. Для проверки информации я сам перезвоню в контактный центр / отделение банка / отделение полиции по официальному номеру с вашего сайта».

Универсальный чек-лист против любого фишинга:

1. СОСРЕДОТОЧЬТЕСЬ НА ИСТОЧНИКЕ. Кто пишет/звонит? Проверьте домен email, номер телефона, официальное название службы.

2. ОЦЕНИТЕ ЭМОЦИОНАЛЬНЫЙ ФОН. Давят ли на вас, создают ли панику, жгут ли жадностью? Это маркер атаки.

3. НИЧЕГО НЕ ДЕЛАЙТЕ НЕМЕДЛЕННО. Фишинг рассчитан на скорость. Возьмите паузу.

4. ПЕРЕПРОВЕРЬТЕ ЧЕРЕЗ НЕЗАВИСИМЫЙ КАНАЛ. Закройте письмо/SMS, положите трубку. Самостоятельно наберите номер службы поддержки с обратной стороны карты или официального сайта и спросите, правда ли они с вами связывались.

Запомните: Фишинг – это массовый обстрел. Его цель – не взломать ваш компьютер, а обойти ваше критическое мышление через эмоции. Ваша бдительность – самый надёжный антифишинговый фильтр.

Как выглядит идеальная "удочка"? Анализ скриншотов.

Если предыдущие разделы были теорией, то сейчас мы переходим к практике – визуальной криминалистике. Умение за секунды "прочитать" подозрительное сообщение – ключевой навык "антискам-агента". Давайте разберем, на какие детали нужно смотреть в первую очередь, и смоделируем ход мыслей эксперта.

Представьте, что любое подозрительное письмо, SMS или сообщение в мессенджере – это цифровая сцена преступления. Ваша задача – найти "улик", которые выдадут мошенника. Их можно систематизировать по зонам проверки.

Зона 1: Источник. Кто и откуда пишет?

Это первый и главный вопрос.

· Адрес отправителя (email, номер телефона). Не доверяйте имени в поле "От". Изучите сам адрес. Мошенники используют домены-подделки: @bank.su вместо @bank.ru, @yandex.ru.com или адреса с опечатками (an0iwt.ru вместо anoiwt.ru). В SMS звонят с незнакомых номеров или используют подмену (спуфинг), чтобы номер выглядел как официальный.

· Обращение. Безликое "Уважаемый клиент" или "Дорогой пользователь" часто говорит о массовой рассылке. Но будьте осторожны: в целевых атаках (spear-phishing) мошенники могут использовать ваше имя, должность и другую личную информацию, чтобы вызвать доверие.

Зона 2: Внешний вид и оформление.

· Логотипы и дизайн. Часто они бывают низкого качества, размытыми, с искаженными цветами или являются устаревшими версиями логотипов известных компаний.

· Ошибки и небрежность. Орфографические, пунктуационные и грамматические ошибки – классический красный флаг. Однако некоторые профессиональные мошенники их почти не допускают. Иногда ошибки (слияние слов, пропуски букв) делают намеренно, чтобы обойти спам-фильтры.

Зона 3: Содержание и эмоциональный фон.

Здесь работает все, что мы изучали в главе о психологии.