Статистика банка России показывает: в большинстве случае люди добровольно переводят деньги мошенникам. Злоумышленники отлично подстраиваются под новостную повестку и совершенствуют свои методы. В этом материале — о том, как мошенники выманивают у нас деньги и как этому противостоять.
Атаки с помощью телефона
Войти в доверие — главная задача социальных инженеров. Они представляются теми, кому вы доверяете: сотрудниками банков, госорганов, вашими близкими и родственниками.
Это самые распространенные сценарии, говорит старший вице-президент ВТБ, руководитель департамента цифрового бизнеса Никита Чугунов, ведь именно представители органов власти или службы, обеспечивающей защиту денег, авторитетны для населения. В прошлом году к звонкам от якобы «специалистов службы безопасности банка», «правоохранительных органов» и «Центрального банка», добавились сценарии, связанные с частичной мобилизацией, пишет ЦБ. За год регулятор направил операторам связи для блокировки 756 072 номеров телефонов, которые использовали злоумышленники.
Мошенники носят маски. Они подменяют номера с помощью специальных программ и в результате вы видите на экране знакомый номер. В 2022 г. операторы связи заблокировали более 4 млн звонков таких вызовов — в два раза больше, чем годом ранее, делится статистикой ЦБ.
Цель всегда одна — создать впечатление у потенциальной жертвы, что разговор ведется с сотрудником банка или госоргана и выудить конфиденциальную, персональную и банковскую информацию для совершения несанкционированных операций или побудить жертву самостоятельно сделать перевод на счета, подконтрольные злоумышленниками, говорит Михаил Иванов, директор департамента информационной безопасности Росбанка.
“Маскировка позволяет смутить собеседника и далее проще управлять его действиями. Также распространены сценарии с инвестициями, когда обещают большие доходы, жертвы переводят свои или заемные деньги на псевдо брокерские или инвестсчета, то есть отдают свои средства неизвестным лицам”, — рассказывает Чугунов.
Мошенники подделывают документы: счета за квартиру, на оплату товара или даже штрафы за неправильную парковку. Нередко — взламывают страницы соцсетей — и пишут вам от имени знакомых.
Общая рекомендация — любой входящий звонок ставить под сомнение, особенно если на нем под предлогом спасения денежных средств от вас просят предпринять какие-либо срочные действия, говорит Иванов. “Лучше прервать разговор и самостоятельно перезвонить в банк по телефону с оборотной стороны карты”, — отмечает он.
Атаки в интернете: фишинг
Покупки в онлайн-магазинах или на маркетплейсах, продажи личных вещей на маркетплейсах — для многих обыденность. Этим активно пользуются мошенники.
Например, однажды вы получаете сообщение, что кто-то готов немедленно купить надоевший вам диван и готов оплатить его, не глядя. В сообщении вы видите ссылку для оплаты — очень похожа на ту, которой неоднократно пользовались (вы ведь не новичок в продаже диванов). Вы переходите по ссылке, но вместо плюса на вашем счете вдруг появляется внушительный минус.
Мошенники нередко используют фишинговые сайты, чтобы украсть деньги. Причем не только “покупатели”, но и “продавцы”. Например, отправляют смс с просьбой подтвердить аккаунт или покупку, но ссылка в смс будет ненастоящей.
Фишинговые ресурсы по оплате товаров и услуг, фейковые страницы, имитирующие легитимные ресурсы финансовых организаций, сайты с информацией о возможности получить компенсационные выплаты от государства или получить вознаграждение за прохождение опроса (теста) и др — тоже очень распространенный способ мошенничества, говорит Михаил Иванов. В прошлом году ЦБ направил информацию о 4276 “мошеннических” ресурсах для их блокировки, пишет регулятор. А с февраля прошлого года — стал активно интересоваться страницами в соцсетях и программами из Apple Store, Google Play и проч. Результат — ЦБ в 2022 г. инициировал блокировку почти 2000 страниц в соцсетях и 23 приложениям.
Фейковые страницы похожи на официальные, но не идентичны с ними. Отличия можно найти в лишней букве, нетипичном домене или даже в расположении картинок. Попасть на фишинговую страницу не страшно.
Внимательным надо быть именно на последнем шаге, где проходит оплата товара, говорит Никита Чугунов. “Если оплата проводится по карте, то это должна быть официальная страница банка с технологией для повышения безопасности платежей 3D Secure, на ней указаны реквизиты и основные параметры платежа. Надписи «card2card» (“с карты на карту”) однозначно свидетельствует о переводе, а не об оплате товара или услуги. Также нужно быть внимательным при чтении и вводе кода из СМС, там всегда указаны основание и параметры платежа”, — отмечает топ-менеджер ВТБ.
Чтобы не стать жертвой мошенников, не стоит переходить по ссылкам: заходите на сайт или в приложение напрямую и всегда перепроверяйте корректность написания адреса в адресной строке. Всю переписку ведите там же и там же — совершайте сделки. Как правило, добросовестные продавцы и маркетплейсы заинтересованы в безопасности средств своих пользователей, поэтому предлагают безопасные способы оплаты и доставки.
Не забудьте установить антивирус и заведите отдельную карту для покупок в интернете.
И помните: есть менее опытные пользователи интернета, чем вы — дети и пожилые родственники, они нуждаются в вашей помощи.
На что обращать внимание при работе в интернете:
– настоящие сайты редко используют протокол http в ссылках, при переходе на настоящий сайт часто в браузерах появляется значок закрытого замка. На безопасных сайтах всегда есть данные правового характера — лицензия на работу и другие документы компании или сервиса; все кнопки работают исправно;
– не нужно переходить по коротким ссылкам вида bit.ly или goo.gl, полученным от незнакомых людей или друзей;
— следует проверять ссылку на соответствие правильного наименования компании, не допуская наличия лишних символов или их замены — например, замена буквы «о» на цифру «0»;
— если сайт, на котором совершена покупка, показался подозрительным, стоит незамедлительно заблокировать карту через ВТБ Онлайн или позвонив в банк и сообщить оперативно адрес в банк.
Никита Чугунов, старший вице-президент ВТБ, руководитель департамента цифрового бизнеса
Как проверить сайт на легитимность и возможные «красные» флаги:
— Цена товара на сайте значительно ниже рыночной и предложений на других ресурсах
— Большое количество исключительно положительных отзывов на сайте. Лучше проверить отзывы в открытых источниках на предмет наличия негатива — существует много ресурсов с реальными отзывами
— Наличие грамматических ошибок. Ошибки и опечатки на подлинных сайтах встречаются редко в отличии от мошеннических ресурсов
— Недавняя дата создания сайта — используйте различные сервисы по проверки подлинности ресурса, введя в поисковике например, «как проверить сайт на мошенничество»
— Отсутствие контактной информации и публично размещенных реквизитов компании. Продавец обязан указать на сайте базовые реквизиты: фирменное наименование, адрес местонахождения, ИНН, контактные телефоны для связи и т.д.
— Перманентная невозможность дозвониться по контактным телефонам, указанным на сайте (абонент не обслуживается)— Отсутствие пользовательского соглашения. Если соглашение присутствует, то следует внимательно ознакомиться с его текстом, включая условия оплаты и доставки (если применимо).
Михаил Иванов, директор департамента информационной безопасности Росбанка
Игра на чувствах
Не важно, какой способ атаки — через телефон или через интернет — выбрали мошенники, они будут пользоваться определенными уловками.
Мошенники воздействуют на эмоции
“Мама, случилась авария, я виноват, нужны деньги”. “Вы стали одним из 100 счастливчиков — у вас всего 24 часа, чтобы забрать свой приз”. Знакомые фразы? Задача мошенников — воздействовать на эмоции, вызывая страх, панику или же радость от внезапно свалившейся удачи. Причем речь необязательно о выигрыше. Это может быть и “положенная” вам льгота или социальная выплата.
Распространен и такой вариант: вы стали победителем конкурса на странице в социальной сети, но чтобы получить приз придется оплатить его доставку. Как итог: ни денег, ни приза.
При общении с неизвестными людьми к таким заявлениям надо подходить спокойно и рассудительно, не бояться прекратить разговор для проверки информации, говорит Чугунов: чаще всего мошенники не выходят на новый контакт”. Задача злоумышленников — заставить жертву действовать быстро. Эмоции мешают людям мыслить рационально: чем меньше у жертвы контроля над собой — тем выше шанс того, что мошенник добьется цели.
Мошенники играют на чувствах
Вы — ответственны и законопослушны, не отказываете в помощи тем, кто в ней нуждается. Что вы сделаете, если сам сотрудник полиции попросит у вас помощи? Ему нужно поймать мошенника, но вот незадача: денег у полиции нет. Именно вы можете помочь полицейским: взять кредит, отметить купюры — они-то и послужат наживкой для преступника. Реальность такова: ни денег, ни справедливости вы не дождетесь, зато у вас останется кредит, который придется обслуживать, если реальных преступников так и не поймают.
Другой вариант — вы уже жертва мошенников. И вдруг получаете звонок от другой такой же жертвы, которая не меньше вашего хочет вернуть свои деньги и предлагает разделить оплату за “услуги юриста” — справедливость восторжествует. Так ли это?Коллективный иск в отношении мошенников всегда эффективнее, чем индивидуальный, говорит Анастасия Чумак, соруководитель практики защиты прав инвесторов компании «Интерцессия”, но в 99% случаев, если вам звонит человек и представляется адвокатом или потенциальным истцом, то это мошенник. “Сложно найти пострадавшее лицо, имеющее намерение подать иск именно к этой же организации или лицу, что и вы, потому что мошенники часто используют разные номера карт, реквизиты и т.д.”, — объясняет Чумак.
Разбираемся, юрист или нет?
- Если вы уже подали заявление, то правоохранительные органы не вправе давать ваши контактные данные третьему лицу.
- Если следователь выяснил, что вы пострадали от той же организации, что и другой истец, то он сам вызовет вас в управление.
- Если гражданский иск коллективный изначально, то важно понимать, кто другие подписанты. Попросите предоставить их письменные согласия. Узнайте что за адвокат, его ФИО и компанию, где он работает. Частного адвоката с ИП можно проверить по ЕГРИП, самозанятого — через реестр самозанятых на сайте налоговой.
Самое главное: запросите необходимые данные в письменном виде, а также время, чтобы с ними ознакомиться. Принуждение к спешке — главное оружие мошенников. Задавайте как можно больше вопросов, требуйте документального подтверждения, не верьте словам и не поддавайтесь панике.
Анастасия Чумак, соруководитель практики защиты прав инвесторов компании «Интерцессия”
Просьбы о помощи от имени благотворительных фондов или нуждающихся — распространенная схема мошенничества. Проблема в том, что не всегда помощь придет тем, кто в ней нуждается.
Внимательно проверяйте страницы тех, кто просит о помощи, пользуйтесь поисковыми системами, чтобы найти больше информации. Если речь о сборе под эгидой благотворительных фондов или организаций — заходите к ним на сайт: там есть все данные, включая реквизиты. Кроме того, многие банки предлагают сделать перевод на благотворительность, выбрав получателя из списка. Реквизиты в этом случае заполняются автоматически.
Банки тщательно проверяют каждого партнёра, а фонды и благотворительные организации имеют специальные лицензии или разрешения от государства, говорит Чугунов: “Информацию о компании всегда можно проверить в интернете или первоисточнике. Например, минимальные данные по каждой организации в России можно найти по ИНН”.
Мошенники просят сообщить данные
Это может быть код в смс, три цифры с обратной стороны вашей карты или девичья фамилия вашей матери — как правило любую начатую операцию — будь то покупка или перевод денег — надо подтвердить. Сообщив данные, которые у вас просят, вы ее подтвердите, а с вашего счета снимут деньги.
Никому не сообщайте конфиденциальные данные. Кроме того, что это запрещено по условиям договора с банком, банковские работники никогда не станут просить о такой информации по телефону.
Помните: некоторые интернет-магазины не просят короткий трехзначный номер, для того, чтобы списать деньги, им достаточно только номера карты, срока ее действия и имени владельца. Так что эту информацию тоже не следует никому сообщать.
Мария Ермакова для Frank Media
