Кибермошенничеством называют ситуации, в которых злоумышленник обманул жертву и получил доступ к ее деньгам или другим ценностям с помощью цифровых технологий. Например, преступник выманил у незнакомца данные банковской карты с кодом подтверждения и списал деньги. В официальных документах чаще говорят о киберпреступлениях, или преступлениях в сфере информационных технологий.

Как кибермошенники могут добраться до нас?

Часто мошенники пользуются методами социальной инженерии – то есть манипулируют людьми, чтобы те разгласили конфиденциальную информацию, например, короткий код для подтверждения банковской операции, или поступили так, как нужно преступнику. Для потенциальных жертв разыгрывают многочасовые спектакли на несколько ролей, подробности ниже.

По телефону

Телефонное мошенничество – попытку выманить платежную информацию или заставить перевести деньги кому-либо – также называют вишингом (от англ. voice phishing – голосовой фишинг).

А фишинг (англ. phishing, от fishing — рыбная ловля – и password — пароль) — вид интернет-мошенничества, цель которого — получить пароли, данные банковских карт или другую конфиденциальную информацию.

С большой вероятностью вам уже звонили мошенники, который пытались получить доступ к деньгам, которые вы храните в банке. Такие злоумышленники охотятся за данными карты (номер карты, имя и фамилия владельца, CVC- или CVV-код), логином и паролем от личного кабинета или мобильного приложения банка, одноразовым паролем из смс или push-уведомления, данными о ваших счетах, остатках по картам, операциях и т. д.

Почему нельзя никому передавать данные банковских карт и смс-коды?

Благодаря массовым утечкам данных или (гораздо реже) банковскому пробиву – преступлению, при котором сотрудник банка передает конфиденциальные данные о клиенте третьим лицам, – мошенники могут знать о вас многое: от вашего ФИО, номера телефона и названия банков, которыми вы пользуетесь, до остатков по картам и полных банковских выписок. Пробив – сравнительно дорогая услуга, данные массовых утечек гораздо дешевле в пересчете на одного клиента.

Так как часть ваших данных у злоумышленников, возможно, уже есть, им остается собрать недостающие сведения.

Зная данные карты и CVC-код, они могут оплатить некоторые товары и услуги вашей картой. Мы привыкли, что для подтверждения покупки нужно ввести код из смс (так работает технология защиты платежей 3D-Secure), но так происходит не всегда. 3D-Secure не является обязательной по всему миру. Например, платеж на AliExpress не требует подтверждения.

Зная данные карты, CVC-код и одноразовый пароль из смс, мошенники сделают покупку или перевод.

Зная логин и пароль от онлайн-банка, а также одноразовый пароль из смс, преступники могут захватить ваш личный кабинет, особенно если вы назовете им несколько одноразовых кодов. Если это произойдет, они могут не только опустошить ваши счета, но и взять кредиты на ваше имя.

Могут быть и другие риски. Не передавайте никому никаких данных о счетах. Никаких паролей. Никаких кодов.

Реже преступники пытаются получить в телефонном разговоре доступ к аккаунту госуслуг. Если вы назовете им короткие коды из смс, они привяжут к аккаунту свой номер телефона вместо вашего и попытаются оформить на вас кредиты в микрофинансовых организациях и банках. Обычно ущерб составляет миллионы рублей.

При этом короткий код госуслуги требуют только в лучшем случае: если вы настроили двухфакторную аутентификацию – дополнительную защиту аккаунта. Если такая защита есть, при каждом входе у вас будут запрашивать данные разных типов. Например, сначала предложат ввести логин и пароль, а затем код из смс. Если защита по смс не настроена, получить доступ к вашим госуслугам будет сравнительно просто. Злоумышленники могут подобрать пароль методом брутфорса (от англ. brute force — грубая сила) — систематическим перебором комбинаций символов.

Ваш аккаунт госуслуг (и, возможно, приложения банков) окажутся в опасности также если вы потеряете телефон. Немедленно свяжитесь с банками и заблокируйте карты. Чтобы не потерять доступ к госуслугам, вы можете позвонить своему оператору мобильной связи и заблокировать сим-карту, а затем обратиться в офис оператора и перевыпустить.

Какие легенды используют телефонные мошенники?

«Вам звонит следователь, ваш сын стал виновником ДТП, решить вопрос можно за XXX тысяч рублей»

Такие сценарии, нацеленные на старшее поколение, – далекая классика. Иногда с пожилыми людьми разговаривали не только «следователи», но и «сыновья». В стрессовой ситуации люди не обращали внимания на то, что не узнают голоса родных. В последнее время подобные уловки не популярны: уже многие знают, что это обман.

«Беспокоит служба безопасности банка, с вашего счета совершена операция на X тысяч рублей, подтверждаете операцию?»

Это распространенный предлог для начала разговора – соцсети и мессенджеры завалены шутками на этот счет, – но, к сожалению, он все еще актуален.

Вы, конечно, не совершали операцию. Тогда собеседник сообщит, что кто-то получил доступ к вашему счету, и его нужно срочно «защитить».

 «Переведите деньги на безопасный счет»

Сотрудник службы безопасности банка блокирует подозрительную операцию. Теперь все средства нужно перевести на «специальный счет», или «счет Центробанка». Конечно, мошенники отправят вам реквизиты своего счета, и вы потеряете деньги.

Ваш собеседник может представиться кем угодно: старшим специалистом банка, сотрудником Центробанка, следователем полиции или прокуратуры, сотрудником следственного комитета, генералом и т.д.

Возможны другие, достаточно сложные варианты сценария «безопасный счет». Сразу после «сотрудника банка» вам может позвонить «следователь». Он будет часами держать жертву на телефоне, чтобы не дать ей опомниться.

Собеседник может убеждать вас, что вы должны снять все деньги (наличными!) и положить на защищенный счет. Для этого нужно подойти к конкретному банкомату и отправить средства – иногда на QIWI-кошелек, иногда через MirPay и т. д. Вы теряете деньги.

«На вас пытаются оформить кредит!»

Звонит якобы сотрудник бюро кредитных историй. Сообщает, что мошенники оформляют на вас кредит.

Через короткое время вам поступает звонок от сотрудника службы безопасности банка / полиции / Центробанка и т. д. Вы должны срочно оформить «встречный» кредит на ту же сумму, чтобы помешать злоумышленникам. Якобы ваша заявка на кредит «выбьет» заявки мошенников.

«Следователь» может настаивать, что ваш разговор должен остаться в секрете, иначе вам грозит уголовная ответственность за разглашение тайны следствия. Иногда преступники и вовсе заявляют, что в интересах следствия ваш телефон прослушивается. Мошенники боятся, что жертва свяжется с близкими, и они заподозрят обман. Звонить в банк запрещают под другим предлогом. Вы якобы должны помочь вычислить оборотня среди сотрудников банка.

Вы получаете доступ к кредитным деньгам, но это не конец. Вам нужно снять деньги и внести их на «специальный счет», чтобы сотрудник Центробанка аннулировал ваши займы. Оставить в наличные у себя нельзя якобы потому, что вы утратите доверие банка и больше никогда не сможете воспользоваться его услугами (предлог может быть и другим). Если вы внесете деньги на «счет», они уйдут мошенникам. Вам же отправят поддельные документы о закрытии счетов в WhatsApp.

«Отправил вам деньги по ошибке»

Злоумышленники могут отправить сообщение – якобы от банка – о том, что вам поступили деньги. Затем они пишут или звонят с просьбой перевести средства обратно.

Преступники могут отправлять смс с номеров, похожих на настоящие номера банков. Например, абонент будет записан как Tiknoff (вместо Tinkoff). Если с такого номера поступило странное смс, это не доказывает того, что деньги действительно пришли или были списаны. Звоните или пишите в банк.

Через интернет

В интернете распространен фишинг – мошенничество с целью украсть платежную информацию, пароли или другие сведения.

Чтобы попасться на удочку фишеров, достаточно ввести данные карты на ненадежном ресурсе (преступники делают все, чтобы он, наоборот, казался очень надежным). Ссылку вам могут прислать по электронной почте, в соцсетях и мессенджерах и даже через Google Фото, пригласив вас к просмотру альбома с заманчивым предложением. Отправители писем и сообщений могут маскироваться под большие бренды и крупные банки – под кого угодно. Напомним, уже только данные карты – без смс-кода – позволят совершить некоторые операции.

Что делать, если вы стали жертвой мошенников?

Как можно быстрее заблокируйте карту – в мобильном приложении или в личном кабинете, в контакт-центре или в отделении банка. Это нужно, чтобы предотвратить новые списания.

В течение суток обратитесь в банк с заявлением о том, что вы не согласны с операцией. Заявите о хищении средств в полицию.

Если вы сами перевели деньги преступникам или раскрыли свои данные, банк не должен возмещать ущерб.

Какие легенды используют для фишинга?

«Большие скидки! Акция! Уникальное предложение!»

Вам приходит письмо или сообщение, вы натыкаетесь на ссылку в соцсетях. Предлагают купить товар или услугу по привлекательной цене. Это может быть как ноунейм-продавец, так и какой-нибудь ozone вместо ozon. Вводите данные для оплаты – теряете деньги. Товара не существует.

«Пройдите опрос / участвуйте в розыгрыше»

Предлагают пройти опрос, часто от имени известного бренда, иногда от органа власти. В подарок за участие обещают дорогую технику (это может быть iPhone, MacBook, Sony Playstation) или деньги. Чтобы получить приз или компенсацию, нужно заплатить комиссию / пошлину / налог в несколько сотен рублей.

По такой же схеме могут проводить розыгрыши в соцсетях. Платите «комиссию», иногда даже в 1 рубль – и у вас списывают деньги с карты. Гораздо больше, чем обещали.

«Получите компенсацию за похищенные средства»

Тех, кто уже потерял деньги из-за фальшивых страниц оплат, иногда пытаются обмануть во второй раз. Возможно, они остались в базах мошенников, или уже другие группировки нашли их жалобы в соцсетях. Им отправляют письмо от некоего центра финансовой защиты (организация может называться как угодно). Жертвы рассчитывают сумму компенсации – с помощью калькулятора на сайте центра или через консультанта. Им «положены» десятки тысяч рублей, но нужно оплатить услуги юриста – всего несколько сотен. Мошенники снова получают доступ к данным карты.

Интернет-площадки по продаже подержанных вещей притягивают множество мошенников. Обманывают и продавцов, и покупателей. Одна из стратегий – выманить жертву в мессенджер и отправить ей ссылку – или на получение денег, или на оплату товара, или на оформление доставки. Пользователь попадает на сайт-клон, вводит реквизиты, теряет деньги.

Иногда используют более простые с технической точки зрения уловки: покупатель якобы оплачивает покупку, отправляет продавцу поддельный чек, а затем отказывается от товара и требует вернуть деньги. Продавец, сам того не зная, переводит лжепокупателю свои средства, ведь в действительности ему ничего не поступало.

Или, например, продавец отправляет доставкой приставку (но вместо нее кладет старый кроссовок). Когда коробка поступает в пункт выдачи, он пытается восстановить доступ в аккаунт покупателя и просит сообщить код из смс – якобы подтвердить, что посылка дошла. Если покупатель выполнит просьбу продавца, то лишится аккаунта.

Среди других уловок – поддельные сайты государственных лотерей, сайты казино, фейковые штрафы от налоговой, имитация приложений банков, приложения для удаленного доступа к устройству и т. д. паролей. Лучше, если это будет сервис на компьютере или смартфоне, а не онлайн-хранилище. И уж точно не мессенджер, не переписка в соцсетях и не заметки в телефоне.

Проверяйте страницу, на которой вводите данные карты или пароль: в адресной строке должен быть нарисован замок; это значит, что данные передаются по https – зашифрованному протоколу. Каждая буква адреса должна быть на своем месте: icloud и icioud – разные вещи; сомневаетесь – найдите ресурс через браузер или другой надежный источник и сравните; переписка с посторонними – источник ненадежный.

Заведите отдельную карту для онлайн-платежей. Многие банки разрешают моментально создавать виртуальные карты в личном кабинете. Храните на ней небольшую сумму.

Установите лимиты по картам и счетам. Даже если мошенники будут списывать деньги с вашей карты, вы потеряете только часть сбережений.

Подумайте о том, чтобы подключить оповещения об операциях по карте или оформить страховку карты. Если вы считаете, что можете пострадать от мошенников, возможно, эти услуги будут полезны для вас.

Если есть возможность, храните основные накопления на счету без дистанционного обслуживания. В некоторых банках от него можно отказаться.

Обратитесь к мобильному оператору и запретите перевыпускать вашу сим-карту по доверенности.

Установите приложение, которое подсвечивает красным звонки от подозрительных абонентов. Например, от тех, на кого массово жаловались другие пользователи. Такой сервис есть, например, в приложениях Яндекса и Сбера.

Старайтесь читать о новых способах мошенничества.