— По опыту моего общения в Ростове-на-Дону, в Краснодаре — это города, где я постоянно бываю, — люди редко ведутся на коды от Госуслуг. Может, бабушка какая по наивности ответит, — рассказывает блогер-антимошенник Тимур, который общался с аферистами по телефону 56 тысяч раз. — Поэтому мошенники активно переключились на другие ресурсы, от которых можно прислать код в SMS. Жертве они так и говорят: «Сейчас мы пришлем вам код для регистрации, скажите мне его. Или у вас есть какие-то сомнения?» Если человек скромный, стеснительный, он скажет, что сомнений нет.
Но вообще этот скрипт писали спецы на западный манер, продолжает Тимур. Американцам и европейцам стыдно сказать, что они сомневаются. А у нас их вопросы все же вызывают подозрение. Но у мошенников, видно, идет такой огромный оборот средств, что они даже не заморачиваются над «пророссийским» скриптом, им и такого словесного поноса хватает, чтобы задурить людей. Задача мошенников — сделать так, чтобы жертва меньше спрашивала и больше отвечала на их вопросы. А вопросы эти обычно подленькие, человек теряется.
— Например, я прошу мошенника назвать ИНН его компании. Он спрашивает: «Что вам это даст?» На такой вопрос жертва, как правило, ответить не может — заходит в тупик. И мошенники начинают «закапывать» клиента: стыдят, чтобы сделать «ватным», отчитывают, принижают. Всячески показывают, что жертва — дурачок или дурочка, которая не может ответить на простейший вопрос. Несчастный человек фактически возвращается в школьное время, когда учитель стыдил его за незнание предмета, — говорит блогер.
Подмена отправителя SMS — поставленный на поток инструмент
Классика жанра: человек сообщает мошенникам какой-либо код, вскоре ему звонят другие мошенники — представители якобы Военной прокуратуры, лже-Роскомнадзора, лже-Центробанка, лже-Следственного комитета и т.д. Аферисты уведомляют жертву, что та, назвав код из SMS или номер паспорта, подписала себе приговор, и теперь судьба ее печальна — отсидка в колонии строгого режима за госизмену.
«В чем моя вина? — недоумевает жертва. — Каким законом запрещается озвучивать коды или номера документов?»
«Неужели вы не понимаете, что озвучили информацию жителям недружественного государства, Украины, да еще и мошенникам? — парирует лжепрокурор или лжеследователь. — Вы же взрослый человек! По телевизору постоянно говорится, что нельзя произносить коды по телефону! Злоумышленники прислали вам подменный код — на самом деле они отправляли его от Госуслуг. Теперь они имеют все ваши персональные данные, оформляют на вас кредиты и переводят деньги в соседнюю страну».
Что из слов лжепрокурора правда, а что ложь? Могут ли мошенники на самом деле подменить отправителя SMS — например, отправить от Госуслуг, а получателю придет будто от hh.ru, Мосводоканала или "Сравни.ру"?
— Подмена отправителя SMS — не какая-то экзотическая хакерская техника, а давно поставленный на поток инструмент, — говорит директор по безопасности и развитию web-технологий Artezio Сергей Матусевич. — На теневых форумах и в Telegram-каналах такие сервисы продаются открыто, стоят копейки. И чтобы ими воспользоваться, не нужно быть программистом. Буквально несколько кликов — и сообщение уходит от имени Gosuslugi, hh.ru, банка или любого другого отправителя, как захочет мошенник.
Но самое неприятное даже не это. Многие смартфоны автоматически группируют сообщения по имени отправителя. Это значит, что поддельная SMS может попасть прямо в существующий чат с настоящим сервисом, и пользователь увидит ее в одном ряду с реальными уведомлениями, которые получал месяцами. Психологически это создает абсолютное ощущение подлинности.
— С технической точки зрения подмена работает через SMS-спуфинг или так называемые серые GSM-шлюзы — промежуточные узлы, которые пропускают трафик в обход систем проверки операторов, — продолжает эксперт. — Российские операторы связи обязаны фильтровать такие сообщения, и определенная работа в этом направлении ведется. Но когда трафик идет через зарубежные шлюзы, заблокировать его значительно сложнее. Получается замкнутый круг: операторы латают одни дыры, мошенники находят другие.
Для обычного пользователя это означает одно: имя отправителя в SMS — не доказательство его подлинности. Никакой визуальной подсказки, которая помогла бы отличить настоящее сообщение от поддельного, в интерфейсе телефона просто нет. Единственный надежный ориентир — содержание сообщения и контекст, в котором оно пришло. Если вас никто ни о чем не просил, а тут вдруг пришел код — это уже повод насторожиться, вне зависимости от того, чье имя стоит в поле отправителя.
Личные кабинеты пользователей открывают перед аферистами все двери
— Сергей, что может сделать мошенник, войдя в личный кабинет жертвы на hh.ru или Мосводоканале?
— Код из SMS — это фактически ключ от двери. Когда вы его сообщаете, вы передаете этот ключ постороннему человеку, и дальше все зависит только от того, что за этой дверью находится.
Возьмем ресурс по поиску работы. На первый взгляд кажется: ну зашли мошенники в мой аккаунт, и что? Резюме украдут? Но на самом деле последствия серьезнее. Во-первых, в профиле, как правило, хранятся подробные персональные данные: телефон, почта, дата рождения, иногда адрес и копии документов. Это готовое досье для дальнейших манипуляций. Во-вторых, мошенники могут рассылать сообщения работодателям от вашего имени — например, с просьбой перевести деньги «за срочное оформление» или с фишинговыми ссылками. Репутационный ущерб здесь вполне реальный.
С Водоканалом история другая, но тоже неприятная. Личный кабинет коммунального сервиса содержит адрес, данные о лицевом счете, историю платежей. Эта информация может использоваться для верификации личности в других сервисах — например, при попытке восстановить доступ к банковскому аккаунту через службу поддержки, где оператор спрашивает контрольные сведения вроде адреса или номера договора. Кроме того, мошенники могут изменить реквизиты для оплаты и перенаправить ваши платежи на свои счета. Вы будете исправно платить, не подозревая, что деньги уходят не туда.
Общая логика такова: даже если конкретный сервис кажется безобидным, доступ к нему — это кусочек пазла. Мошенники собирают информацию из множества источников, и каждый новый аккаунт добавляет детали, которые помогают либо напрямую навредить, либо выстроить более убедительную легенду для следующей атаки.
Доступ мошенников к "Сравни.ру" — еще более опасный случай, и вот почему. Это не просто информационный сервис, это финансовый агрегатор, через который можно подавать заявки на кредиты и займы сразу в несколько организаций. Если мошенник получил доступ к вашему профилю, он оказывается в очень удобной позиции.
Схема выглядит так: злоумышленник заходит в ваш аккаунт, где уже заполнены персональные данные: имя, телефон, паспортные сведения, и от вашего имени отправляет заявки на займы или кредитные карты. Часть из них может быть одобрена автоматически, особенно если речь идет о микрофинансовых организациях. Деньги при этом выводятся на реквизиты, которые мошенник успевает подменить в профиле, или оформляются на карту, которую он сам контролирует.
Захват кабинета в "Госуслугах" — один из самых опасных сценариев
Методы, которые используют мошенники, как правило, комбинированные. Сначала — захват аккаунта через перехваченный SMS-код. Затем быстрая смена контактных данных, чтобы уведомления о заявках шли уже не вам, а им. После этого — подача заявок, пока у них есть доступ. Все это может занять буквально несколько минут.
Есть еще один нюанс, о котором мало говорят. Даже отклоненные заявки оставляют след, они фиксируются в кредитной истории как запросы. Человек может узнать о произошедшем спустя время, когда получит отказ в банке, и выяснится, что за последний месяц на его имя было подано двадцать заявок в разные микрофинансовые организации, о которых он ничего не знал.
Один из самых опасных сценариев — захват Госуслуг, ведь это не просто сайт для записи к врачу, а цифровой центр управления вашей жизнью. Через этот портал можно взаимодействовать с налоговой, Пенсионным фондом, судами, банками. И если мошенник получил туда доступ, первое, что он постарается сделать, — это закрепиться: сменить номер телефона и желательно адрес электронной почты. После этого все уведомления и коды подтверждения будут приходить уже ему, а не вам.
Технически это реализуется прямо в настройках профиля. Есть раздел, где пользователь может изменить контактные данные. При смене номера портал отправляет код подтверждения — но на старый номер, то есть ваш. Казалось бы, это защита. Однако мошенники обходят ее по-разному.
Иногда они действуют быстро и параллельно с захватом аккаунта перехватывают входящие SMS через уязвимости в протоколе SS7 (на этой технологии работает вся телефонная сеть, и в ней есть известные бреши, позволяющие при наличии нужного оборудования читать чужие сообщения). В других случаях мошенники просто звонят жертве под видом техподдержки и просят продиктовать код для подтверждения личности. Человек сам отдает то, что им нужно.
После смены номера жертва фактически теряет контроль над своим аккаунтом. Восстановить доступ в этом случае можно только через МФЦ «Мои документы» с личным визитом и документами. Понятно, что поход в организацию и общение со специалистами занимает время, в течение которого мошенники продолжают действовать от вашего имени. Именно поэтому скорость реакции здесь критически важна.
Нейросети с легкостью генерируют селфи с паспортом
— Мошенники знают все о жертве, и у них есть скан паспорта. Что они могут сделать?
— Это самый тяжелый сценарий, и недооценивать его не стоит. Полное досье — практически то же самое, что отдать мошеннику свою личность в аренду. Дальше он может действовать от вашего имени сразу в нескольких направлениях, и некоторые последствия будут ощущаться годами, — говорит эксперт.
Самое очевидное — оформление займов и кредитов. Микрофинансовые организации исторически отличаются упрощенными процедурами проверки, и часть из них до сих пор принимает заявки с минимальным набором документов — фото паспорта и селфи с ним. Мошенники научились обходить даже эти барьеры: с помощью нейросетей они генерируют поддельные селфи, накладывая лицо из паспорта на чужую фотографию. Технология дипфейков уже доступна любому, и качество таких подделок растет с каждым месяцем.
Следующий уровень — регистрация юридических лиц. На ваше имя можно зарегистрировать ООО или ИП, открыть расчетные счета и использовать их для отмывания денег или для мошеннических схем. Человек узнает об этом, как правило, когда к нему приходят налоговые претензии или, хуже того, уголовное дело.
Паспортные данные активно используются для регистрации SIM-карт. Мошенники создают анонимные каналы связи, которые формально привязаны к вашей личности. То же самое касается регистрации аккаунтов в различных сервисах — от маркетплейсов до криптобирж.
Отдельная история — шантаж и социальная инженерия. Имея на руках полное досье, мошенник может звонить вашим родственникам, коллегам или работодателю, представляясь сотрудником госорганов, и манипулировать ими, оперируя реальными данными — адресом, датой рождения, местом работы, что делает легенду крайне убедительной.
Важно понимать: утечка паспортных данных — не разовая проблема, которую можно решить, сменив пароль. Паспорт не меняется по щелчку пальцев. Поэтому если человек знает или подозревает, что его данные скомпрометированы, нужно как минимум подать заявление в полицию, направить уведомление в Банк России и регулярно проверять свою кредитную историю — благо сейчас это можно делать бесплатно дважды в год через Госуслуги. Это не гарантия защиты, но хотя бы позволяет оперативно реагировать, если что-то пойдет не так.
Как вести себя жертве, если она сообщила код мошенникам?
— Первое и самое главное — не паниковать, но действовать очень быстро. У человека есть буквально несколько минут до того, как мошенник успеет закрепиться в аккаунте или совершить необратимые действия, — отвечает Сергей Матусевич.
Сначала нужно зайти в сервис, от имени которого пришел код, и сменить пароль. Если мошенник уже внутри — попробовать принудительно завершить все активные сессии. Такая кнопка есть в настройках большинства крупных сервисов. Это выбьет злоумышленника из аккаунта, даже если он уже вошел.
Параллельно нужно проверить, не изменились ли контактные данные в профиле — телефон, почта. Если мошенник успел их поменять, нужно немедленно обращаться в службу поддержки сервиса и объяснять ситуацию. Большинство крупных платформ имеют процедуру восстановления доступа через верификацию личности.
Если речь идет о "Госуслугах" — идти в МФЦ лично, без промедления. Если о банковском сервисе или финансовом агрегаторе — звонить на «горячую линию» банка или в микрофинансовую организацию и блокировать любые заявки, поданные от вашего имени. Здесь важно зафиксировать факт обращения — попросить номер заявки, потому что впоследствии это может понадобиться при оспаривании кредитов или займов.
И еще один шаг, о котором часто забывают: нужно проверить, не использовался ли скомпрометированный пароль на других сайтах. Люди часто имеют одни и те же пароли на разных платформах, и мошенники это прекрасно знают. После инцидента стоит пройтись по всем важным аккаунтам и поменять пароли, особенно там, где хранятся финансовые данные или персональная информация.
Подавать заявление в полицию тоже нужно. Пусть раскрываемость таких дел невысока, но официальная фиксация факта мошенничества создает юридическую основу для дальнейших действий, если дело дойдет до оспаривания долгов или судебных разбирательств.
Читайте материал: На имя россиянки, проживающей за границей, создали фальшаккаунт на "Госуслугах"
