Антон Кравченко – Где нас обманывают? (страница 15)
- “Покупатель” предлагает оформить доставку по ссылке вне площадки.
Кейсы
- В рабочий чат добавляют похожий аккаунт руководителя и просят срочный платёж.
- Продавцу на Авито присылают ссылку “получить деньги за товар”.
Упражнения
- Возьмите пример сообщения и выпишите: источник, предлог, эмоцию, действие, канал проверки.
- Сформулируйте ответ, который не спорит, но переносит решение в независимую проверку.
Контрольные вопросы
- Какое действие хотят получить?
- Почему действие нужно выполнить именно сейчас?
- Каким независимым каналом можно проверить запрос?
Вывод
В мессенджерах нужно проверять не только профиль, но и владение личностью: знакомое имя не равно проверенному источнику.
Глава 14. Поддельные сайты, формы входа и платёжные страницы
Определение
Это сценарий, где адресата приводят на страницу, похожую на настоящий сайт сервиса, банка, магазина, доставки или корпоративной системы, чтобы получить логины, пароли, коды, данные карты или документы.
История возникновения
Фальшивые сайты эволюционировали от грубых копий до аккуратных страниц с адаптивным дизайном, HTTPS, похожими доменами, локализацией и логикой реального сервиса.
Психологический механизм
Внешнее сходство снижает проверку. Человек видит знакомый дизайн и воспринимает форму как продолжение известного сервиса, особенно если попал туда из письма, SMS или рекламы.
Нейробиологическая основа
Визуальная узнаваемость запускает эвристику знакомости. Состояние срочности снижает внимание к адресной строке, мелким символам домена и несоответствию процесса.
Где применяется
Авторизация, доставка, маркетплейсы, банки, облачные сервисы, корпоративные порталы, госуслуги, оплата брони, штрафы, подписки.
Почему работает
Потому что дизайн часто воспринимается как доказательство подлинности, хотя его можно имитировать.
Пошаговая схема
- Распознать канал контакта и отделить его от реального источника.
- Определить целевое действие: данные, деньги, код, файл, доступ, подпись или переход.
- Проверить, есть ли срочность, секретность, запрет проверки или эмоциональное давление.
- Сравнить запрос с обычным регламентом, прежней историей отношений и независимыми данными.
- При риске остановить действие и перейти к проверке через известный официальный канал.
Признаки применения
- домен похож, но имеет лишние символы
- страница просит лишние данные
- форма пришла из внешней ссылки
- нет нормального пути с главной страницы сервиса
- после ввода данных появляется новая просьба о коде или карте
Красные флаги
Красные флаги: вход по ссылке из сообщения, ввод кода подтверждения на странице, просьба карты для “получения денег”, странный домен, давление таймером.
Защита
Открывать сервис вручную, через приложение, закладку или официальный поиск. Перед вводом данных проверять домен, назначение формы, необходимость действия и наличие события в настоящем аккаунте.
Ограничения метода
HTTPS и красивый дизайн не гарантируют безопасность. Сертификат подтверждает соединение с доменом, но не то, что домен принадлежит нужной организации.
Практические примеры
- Страница доставки просит карту для получения денег от покупателя.
- Форма “безопасности аккаунта” просит логин, пароль и код.
Кейсы
- Пользователь входит в “корпоративную почту” по ссылке из письма и вводит пароль.
- Продавец вводит данные карты на странице “получения оплаты”.
Упражнения
- Возьмите пример сообщения и выпишите: источник, предлог, эмоцию, действие, канал проверки.
- Сформулируйте ответ, который не спорит, но переносит решение в независимую проверку.
Контрольные вопросы
- Какое действие хотят получить?
- Почему действие нужно выполнить именно сейчас?
- Каким независимым каналом можно проверить запрос?
Вывод
Поддельная страница работает за счёт визуальной привычки. Защита — не доверять виду страницы и входить в сервис только независимым маршрутом.
Глава 15. QR-фишинг: скрытая ссылка в физическом или цифровом коде
Определение
QR-фишинг — это использование QR-кода для перевода человека на скрытую ссылку, форму оплаты, страницу входа, приложение или инструкцию, где реальный адрес не виден до сканирования.
История возникновения
QR-коды стали привычными для меню, парковок, платежей, билетов, объявлений, доставок и авторизации. Это создало канал, где проверка ссылки затруднена: человек видит квадратный код, но не видит адрес.
Психологический механизм