Антон Кравченко – Где нас обманывают? (страница 38)
- “Это не код входа, а код проверки личности”.
- “Отправьте резервные коды для синхронизации”.
- “Сфотографируйте QR-код входа”.
Защита
- Относиться к коду, push и резервному коду как к ключу доступа.
- Никогда не передавать коды входа, восстановления и подтверждения операции.
- Использовать phishing-resistant MFA там, где доступно: аппаратные ключи, passkeys/FIDO/WebAuthn.
- Отключать старые доверенные устройства после инцидента.
- Не подтверждать push, если вход или операция не инициированы вами.
Ограничения метода
Не все MFA одинаковы. SMS и push легче обойти через социальную инженерию, чем phishing-resistant методы. Но даже сильная MFA не защищает от добровольной передачи восстановительных кодов или удалённого доступа к устройству.
Практические примеры
Пример 1. Человек назвал код “банку”, затем увидел новый вход в почту. Нужно проверять не только банк, но и почту, потому что код мог относиться к восстановлению почты.
Пример 2. Сотрудник подтвердил push ночью, думая, что это ошибка. Утром нужно считать аккаунт потенциально скомпрометированным и обращаться в IT/безопасность.
Кейсы
Кейс. Злоумышленник звонит как “служба безопасности” и просит подтвердить push “для блокировки операции”. На самом деле это вход. Постинцидентный порядок: выход из сессий, смена пароля, пересборка MFA, проверка операций.
Кейс. Пользователь отправил резервные коды “поддержке”. Даже если пароль сменён, старые резервные коды нужно отозвать.
Упражнения
Запишите пять формулировок, которыми мошенник может переименовать код входа в “код отмены”.
Проверьте, какие сервисы у вас поддерживают passkeys или аппаратные ключи.
Контрольные вопросы
- Почему код нельзя объяснять словами звонящего?
- Что делать после случайного push-подтверждения?
- Почему резервные коды нужно хранить как пароль?
Вывод
Второй фактор — это не формальность и не “цифры из SMS”. Это действие доступа. Если оно передано, нужно восстанавливать контроль так, будто пароль уже известен злоумышленнику.
Глава 37. Финансовое действие уже совершено: банк, платёж, карта, криптовалюта, gift card
Определение
Финансовый постинцидентный протокол — это порядок немедленного ограничения ущерба после перевода денег, раскрытия карты, оплаты по ссылке, покупки gift card, криптоперевода или изменения реквизитов.
История возникновения
Финансовые мошеннические сценарии развивались от простых переводов к сложным схемам: BEC, fake invoice, investment scam, romance scam, recovery-scam, криптовалютные депозиты, gift-card payments и “безопасные счета”.
Психологический механизм
После перевода человек часто испытывает стыд и избегает обращения за помощью. Это теряет время. В платежных инцидентах время является одним из ключевых ресурсов: чем раньше банк или платёжный провайдер получил сигнал, тем выше шанс остановки или трассировки.
Нейробиологическая основа
Стресс после финансовой потери усиливает туннельное мышление и стремление вернуть всё немедленно. Именно на этом строятся повторные “юристы”, “агенты возврата” и “службы разблокировки”.
Где применяется
Применяется после банковского перевода, карточной оплаты, перевода по реквизитам, СБП/быстрого платежа, криптовалюты, подарочных карт, предоплат, комиссий, fake invoice и BEC.
Почему работает
Финансовое действие часто становится необратимым или труднообратимым. Но задержка делает ситуацию хуже: нужно немедленно подключать официальный платёжный контур.
Пошаговая схема
Прекратить контакт с инициатором платежа.
Связаться с банком/платёжным сервисом по официальному номеру или через приложение.
Сообщить: сумма, время, получатель, реквизиты, карта, ссылка, назначение, канал контакта.
Попросить блокировку карты/счёта/операции или процедуру оспаривания, если применимо.
Если это BEC или перевод на реквизиты — запросить, чтобы ваш банк связался с банком-получателем.
Сохранить доказательства: чеки, переписку, номера, ссылки, реквизиты, скриншоты, файлы.
Подать официальный отчёт/заявление в релевантный канал.
Отклонять любые “возвраты за комиссию”.
Признаки применения
- Вам предлагают перевести деньги на “безопасный счёт”.
- Просят оплатить налог/комиссию/депозит для вывода средств.
- Просят купить gift card и назвать код.
- Просят криптовалюту, потому что “так быстрее”.
- Реквизиты поставщика изменились по email без независимого подтверждения.
Красные флаги
- “Банк сам всё вернёт, если оплатите страховой сбор”.
- “Для отмены перевода нужен обратный платёж”.
- “Деньги уже почти разблокированы, не останавливайтесь”.
- “Полиция/юрист/регулятор вернёт крипту за аванс”.
- “Не звоните в банк, операция сорвётся”.
Защита
- Звонить в банк немедленно, даже если стыдно.
- Не платить новые деньги для возврата старых.
- Не использовать контакты из подозрительной переписки.
- Фиксировать реквизиты и доказательства до блокировки/удаления чатов.