Крупнейший российский банк бьет тревогу: злоумышленники освоили сценарий обмана, в котором задействованы поддельные служебные удостоверения и видеосвязь. Мошенники научились не просто выманивать логины и пароли от портала госуслуг, но и делать это с почти официальным антуражем, используя психологическое давление через экран смартфона. О новой витке эволюции цифрового мошенничества рассказал зампред правления Сбербанка Станислав Кузнецов.
Если раньше схемы строились вокруг тревожных сообщений о якобы подозрительных переводах или попытках оформления кредита, то теперь злоумышленники примеряют на себя роль стражей порядка. Человеку поступает видеозвонок. На том конце провода — гражданин в форме или при галстуке, который без запинки называет себя оперуполномоченным, следователем или сотрудником управления по борьбе с киберпреступлениями. Для убедительности «правоохранитель» демонстрирует в объектив камеры пластиковую карточку, имитирующую официальное удостоверение.
После короткого представления следует сакраментальная фраза: ваши персональные данные скомпрометированы, а учетная запись на «Госуслугах» взломана либо используется для финансирования запрещенной деятельности. Растерянность, страх и желание оправдаться — триггеры, на которые давят преступники. В состоянии стресса жертва сама диктует пароль для входа и код из СМС-сообщения.
«Одним из признаков мошенничества является ситуация, когда кто-то, выдавая себя за сотрудника правоохранительных органов или банка, показывает удостоверения или другие документы в видеосвязи», — подчеркнул Станислав Кузнецов.
Получив доступ к личному кабинету, аферисты действуют молниеносно. На имя гражданина оформляются микрозаймы. Для этого используются сайты микрофинансовых организаций, где регистрация и одобрение кредита происходят в течение нескольких минут. Система идентификации давно отлажена: если у мошенника есть доступ к подтвержденной учетной записи на портале, он проходит проверку автоматически. Деньги по таким договорам обналичиваются мгновенно, а долговые обязательства с кабальными процентами повисают на реальном владельце аккаунта.
В Сбербанке отмечают, что подобные методы воздействия сейчас фиксируются повсеместно. Однако этим преступники не ограничиваются. Паспортные данные, ИНН, СНИЛС и сведения о недвижимости, извлеченные из цифрового профиля жертвы, могут продаваться на теневых форумах. Впоследствии такая база используется для более изощренных атак — например, звонков от имени судебных приставов, налоговой инспекции или даже операторов сотовой связи с целью перевыпуска сим-карты.
Проблема усугубляется тем, что потерпевший часто узнает о случившемся слишком поздно. Иногда — в момент, когда банк или коллекторское агентство начинает требовать погашение просроченного займа. Доказать, что договор заключался без ведома гражданина, можно, но процесс этот длительный и требует вмешательства правоохранителей.
Кузнецов акцентирует внимание на алгоритме действий для тех, кто все же потерял контроль над своим профилем. Промедление здесь равносильно финансовому краху. Первое и главное — немедленное восстановление доступа через центры обслуживания или с помощью процедуры подтверждения личности на самом портале. Только вернув учетную запись под свой контроль, можно оперативно заблокировать возможность оформления новых заявок в МФО от вашего имени.
При этом сотрудники банка напоминают прописную истину, которую в эпоху дипфейков и реалистичных «корочек» стоит повторять как мантру: ни полиция, ни Следственный комитет, ни тем более служба безопасности банка никогда не требуют по видео предъявить пароль или назвать трехзначный код с обратной стороны карты. Демонстрация удостоверения на камеру не имеет юридической силы — это всего лишь картинка, которую можно скачать в интернете или сгенерировать в графическом редакторе за пару минут.
Эксперты также советуют настроить контрольный вопрос, о котором злоумышленники не смогут догадаться, и использовать сложные уникальные пароли, не применяемые на других ресурсах. По возможности стоит установить запрет на оформление кредитов через портал госуслуг или подключить уведомление о каждом входе в личный кабинет. Однако, как показывает практика, самым надежным щитом остается холодная голова и сброс звонка при малейшем намеке на просьбу назвать конфиденциальные сведения.
