Антон Кравченко – Где нас обманывают? (страница 39)
- При BEC и реквизитах подключать банк быстро и официально.
Ограничения метода
Не все платежи можно вернуть. Криптовалюта, подарочные карты и переводы частным лицам часто имеют низкую обратимость. Но официальная фиксация всё равно важна для блокировок, расследования, страховых/банковских процедур и предотвращения повторной эксплуатации.
Практические примеры
Пример 1. После оплаты “доставки” картой появились новые списания. Действия: банк, блокировка/перевыпуск карты, оспаривание, проверка подписок.
Пример 2. Компания оплатила счёт с изменёнными реквизитами. Действия: немедленно банк, банк-получатель, внутренний инцидент, фиксация цепочки писем.
Кейсы
Кейс. Человек перевёл деньги на “инвестиционную платформу”, затем ему предложили оплатить налог для вывода. Это типичный повторный этап. Новых платежей не делать, фиксировать доказательства, обращаться официально.
Кейс. Бухгалтер получил письмо от “директора” о срочном переводе. Деньги ушли. Важны первые минуты: банк, банк-получатель, IC3/официальный канал, внутренний аудит почты.
Упражнения
Составьте шаблон обращения в банк после мошеннического перевода.
Составьте список финансовых действий, которые вы никогда не выполняете по входящему сообщению.
Контрольные вопросы
- Почему время критично после перевода?
- Почему “комиссия за возврат” является красным флагом?
- Что нужно сообщить банку в первую очередь?
Вывод
После финансового действия не нужно ждать, спорить или искать “быстрых возвратчиков”. Нужно прекращать контакт, звонить в официальный платёжный контур и фиксировать доказательства.
Глава 38. Удалённый доступ, установленное приложение и подозрение на заражение устройства
Определение
Инцидент устройства — это ситуация, когда человек установил приложение, предоставил удалённый доступ, запустил файл, открыл подозрительный архив, установил профиль/сертификат или дал разрешения, которые могут изменить контроль над устройством.
История возникновения
Сценарии “технической поддержки” стали массовыми потому, что удалённый доступ превращает психологическое влияние в технический контроль: злоумышленник видит экран, управляет устройством, может читать коды, открывать банк, копировать файлы и устанавливать инструменты.
Психологический механизм
Человек воспринимает “специалиста” как помощника, особенно если тот говорит техническим языком и показывает “ошибки”. После установки удалённого доступа жертва часто продолжает слушать инструкции, потому что считает, что процесс уже начался.
Нейробиологическая основа
Авторитет и визуальные сигналы на экране усиливают доверие. Когда человек видит курсор, окно проверки или “сканирование”, мозг получает ощущение реальной технической процедуры, даже если это постановка.
Где применяется
Применяется после установки AnyDesk/TeamViewer/других remote tools, подозрительных APK/EXE/MSI, расширений браузера, профилей управления, сертификатов, VPN, “защитных приложений”, “проверочных утилит”.
Почему работает
Если устройство под контролем, любые дальнейшие действия на нём могут быть видны или перехвачены. Поэтому восстановление аккаунтов должно выполняться с чистого устройства или после проверки.
Пошаговая схема
Остановить удалённую сессию и отключить интернет, если доступ активен.
Не вводить пароли и коды на этом устройстве до оценки риска.
С другого устройства связаться с банком/IT/поддержкой критичных сервисов.
Проверить и удалить подозрительные приложения/расширения/профили.
Запустить проверку защитным ПО или передать устройство специалисту/IT.
С чистого устройства сменить пароли критичных аккаунтов.
Проверить финансовые операции, активные сессии, recovery-каналы.
При корпоративном устройстве немедленно сообщить IT/безопасности.
Признаки применения
- На устройстве появилось приложение удалённого доступа.
- Кто-то просил включить демонстрацию экрана или управление.
- Появились неизвестные расширения или профили.
- Браузер открывает странные страницы, меняется поиск, появляются уведомления.
- После установки начали приходить коды входа или списания.
Красные флаги
- “Сейчас я сам всё настрою, не трогайте мышку”.
- “Откройте банк, чтобы я проверил безопасность”.
- “Не закрывайте программу, иначе устройство заблокируется”.
- “Антивирус мешает проверке, временно отключите”.
- “Введите код, который сейчас придёт, я его не вижу”.
Защита
- Никогда не открывать банк/почту/криптокошелёк при активном удалённом доступе от неизвестного источника.
- Считать установленный remote tool высоким риском.
- Менять пароли с другого устройства.
- При корпоративном контуре не расследовать самостоятельно, а сообщать в IT.
- После инцидента проверять не только приложение, но и аккаунты, куда мог войти атакующий.
Ограничения метода
Удаление приложения не всегда означает устранение всех последствий: могли быть украдены пароли, cookie, файлы, токены или сделаны операции. Нужна проверка аккаунтов и финансовых действий.
Практические примеры
Пример 1. Пользователь установил remote app “для проверки банка”. Даже если приложение удалено, нужно проверять карту, операции, почту и активные сессии.
Пример 2. Сотрудник открыл вредоносное вложение. Самостоятельная чистка может уничтожить следы; в организации нужен IT/IR-процесс.
Кейсы
Кейс. Мошенник через удалённый доступ видит SMS-код на экране. После этого важно не только удалить программу, но и пересобрать MFA и проверить аккаунты.