Антон Кравченко – Где нас обманывают? (страница 34)
- “Без независимой проверки действия нет”.
Дополнение к мини-глоссарию
Первичный крючок: первое сообщение или событие, которое вводит человека в мошеннический контакт.
Прогрев доверия: накопление деталей и эмоциональных подтверждений, создающих ощущение подлинности.
Псевдодостоверность: впечатление правды, созданное частично верными деталями, документами, логотипами или совпадениями.
Ложное вторичное подтверждение: проверка, которая кажется независимой, но фактически контролируется тем же сценарием.
Документальный предлог: использование договора, анкеты, счёта, формы или документа как оправдания рискованного действия.
Технический предлог: использование обновления, установки, кода, удалённого доступа или формы входа как оправдания передачи контроля.
Платёжная развязка: этап сценария, где человека переводят к денежному действию.
Необратимый маршрут: способ действия, который трудно отменить: криптовалюта, gift cards, перевод частному лицу, удалённый доступ, раскрытие seed-фразы.
Захват учётной записи: получение контроля над аккаунтом через пароль, код, push, восстановление, токен или социальное давление.
Recovery-scam: повторная схема, где человеку после потери обещают вернуть деньги или активы за новый платёж, данные или доступ.
Разрыв цепочки: остановка сценария через паузу, независимую проверку и отказ от действия до подтверждения.
Источники и опорные материалы
FTC Consumer Advice. How to avoid a scam: recommends not clicking links from unexpected messages, using trusted websites or known phone numbers, and resisting pressure to act immediately.
FTC Consumer Advice. How To Recognize and Avoid Phishing Scams: describes phishing messages that ask users to click links, open attachments or provide information, and recommends MFA for account protection.
FTC Consumer Advice. How to Recognize and Report Spam Text Messages: recommends not clicking suspicious text links and forwarding spam texts to 7726.
FTC Consumer Advice. Protect Your Personal Information From Hackers and Scammers: recommends strong passwords and two-factor authentication for accounts containing personal information.
FBI. Business Email Compromise: recommends verifying payment and purchase requests in person or by calling known contacts, and verifying changes in account information.
FBI. Business E-Mail Compromise story and advisories: warns about requests for secrecy, pressure to act quickly, and recommends two-step verification for wire transfer payments.
CISA. Avoiding Social Engineering and Phishing Attacks: describes phishing and social engineering as attempts to appear trustworthy and exploit communication channels.
NIST Phish Scale User Guide: provides a method for rating human phishing detection difficulty and identifying cues in phishing messages.
NIST SP 800-63B/NIST phishing resistance guidance: emphasizes phishing-resistant authentication options for higher assurance environments.
FTC Consumer Advice. What To Know About Cryptocurrency and Scams: warns about cryptocurrency scam patterns and reporting routes.
Переход к разделу 5 Части I
Дальнейшая логика Части I переходит от многошаговых цепочек к постинцидентной защите: что делать, если человек уже кликнул, сообщил данные, назвал код, перевёл деньги, установил удалённый доступ или передал документы. Задача блока — построить протокол ограничения ущерба, восстановления контроля и фиксации доказательств без паники и повторной эксплуатации.
Раздел 5. Постинцидентная защита: что делать после клика, передачи данных, кода, доступа или денег
Этот раздел переводит справочник из режима “распознать до действия” в режим “ограничить ущерб после действия”. В социальной инженерии критически важно не только не попасть в сценарий, но и правильно остановиться, если действие уже совершено: ссылка открыта, данные введены, код назван, push подтверждён, деньги переведены, приложение удалённого доступа установлено или аккаунт начал вести себя подозрительно.
Главный принцип постинцидентной защиты: сначала остановить дальнейший ущерб, затем восстановить контроль, затем зафиксировать доказательства, затем сообщить в официальный канал. Паника, стыд и желание “быстро всё исправить” часто становятся вторым входом для повторной эксплуатации. Поэтому раздел построен как последовательность безопасных протоколов, а не как набор отдельных советов.
Карта раздела
Ситуация: Клик по ссылке
Главный риск: Переход на поддельную форму, вредоносная загрузка, сбор данных
Первое безопасное действие: Закрыть страницу, ничего не вводить, проверить устройство и аккаунты
Что нельзя делать: Повторно открывать ссылку, вводить данные “для проверки”
Ситуация: Введён пароль
Главный риск: Захват аккаунта и повторное использование пароля
Первое безопасное действие: Сменить пароль с чистого устройства, выйти из всех сессий, включить MFA
Что нельзя делать: Менять пароль через ссылку из подозрительного сообщения
Ситуация: Назван код или подтверждён push
Главный риск: Обход восстановления, вход злоумышленника, смена контактов
Первое безопасное действие: Проверить активные сессии, способы восстановления и операции
Что нельзя делать: Считать код “обычной информацией”
Ситуация: Переведены деньги
Главный риск: Необратимый платёж, повторный recovery-scam
Первое безопасное действие: Немедленно связаться с банком/платёжным сервисом через официальный канал
Что нельзя делать: Платить “комиссию за возврат”
Ситуация: Установлен удалённый доступ
Главный риск: Полный контроль устройства, кража файлов, сессий и паролей
Первое безопасное действие: Отключить интернет, прекратить сессию, проверять с другого устройства
Что нельзя делать: Продолжать общение с тем же “специалистом”
Ситуация: Переданы документы
Главный риск: Идентификационное мошенничество, кредиты, регистрация аккаунтов
Первое безопасное действие: Отметить, что именно передано, включить мониторинг и официальную процедуру защиты личности
Что нельзя делать: Отправлять ещё документы “для отмены заявки”
Ситуация: Захвачен аккаунт
Главный риск: Рассылка от вашего имени, кража денег, дальнейший фишинг контактов
Первое безопасное действие: Восстановить доступ официальным способом, отозвать сессии и токены
Что нельзя делать: Просить помощи через сомнительные сервисы “возврата доступа”
Ситуация: Обнаружен BEC/подмена реквизитов
Главный риск: Уход платежа на счёт злоумышленника, потеря времени для возврата
Первое безопасное действие: Связаться с банком немедленно и запросить контакт банка-получателя
Что нельзя делать: Обсуждать инцидент в скомпрометированной переписке
Глава 33. Аварийная остановка канала и фиксация инцидента
Определение
Аварийная остановка канала — это немедленное прекращение взаимодействия с подозрительным источником после обнаружения ошибки или сомнения. Цель — не доказать мошенничество, а остановить дальнейшее управление поведением человека.