Песенка лисы Алисы и кота Базилио (Булат Окуджава)
Пока живут на свете хвастуны,
Мы прославлять судьбу свою должны.Какое небо голубое!
Мы не поклонники разбоя!
На хвастуна не нужен нож,
Ему немножко подпоешь
И делай с ним, что хошь.Покуда живы жадины вокруг,
Удачи мы не выпустим из рук.Какое небо голубое!
Мы не поклонники разбоя:
На жадину не нужен нож,
Ему покажешь медный грош
И делай с ним, что хошь.Пока живут на свете дураки,
Обманывать нам, стало быть, с руки.Какое небо голубое!
Мы не поклонники разбоя:
На дурака не нужен нож,
Ему с три короба наврешь
И делай с ним, что хошь.Какое небо голубое!
Ссылка на оригинал
Живут на свете эти трое.
Им, слава богу, нет конца
Как говорится, зверь бежит -
И прямо на ловца.
Так случилось, что я дважды становился жертвой мошенников.
К тому моменту, как меня «развели» в первый раз, я провёл уже не один десяток лекций старшему поколению про цифровую безопасность, и вот, сам же и попался. Как оказалось, самоуверенность — не лучшая защита от обмана.
Поскольку за последнее время я столкнулся с ещё несколькими случаями мошенничества, решил поделиться своими историями. Возможно, мой опыт будет кому-то полезен.
Телефонное мошенничество
На дворе благословенный 2020-й. Я заказал подарок сестре на день рождения и принимаю его из рук курьера. Курьер отдаёт мне товар и просит сфотографировать чек в моём банковском кабинете; я позволяю.
Через несколько часов звонит телефон. Я, полусонный (и на тот момент в целом в не лучшей форме), принимаю звонок. Мне представляются службой безопасности Тинькофф-банка и говорят, что по моему счету была приостановлена сомнительная операция, но она пройдёт, если сейчас не перевести деньги в размере «заблокированной» операции — на резервный счёт сотрудника безопасности банка, откуда они вернутся обратно на новую перевыпущенную карту. Бросает умную фразу про «реструктуризацию счетов».
Я выражаю сомнение в том, не обман ли это, и говорю, что хочу сам перезвонить в банк, мне отвечают, что на линию службы безопасности я по общему телефону не попаду.
Оператор запрашивает информацию, которая нужна, «чтобы удостовериться, что это я» (возможно, она и была им зачем-то нужна, но скорее для создания видимости), ведёт себя предельно вежливо и втирается в доверие.
За месяц до этого события мне звонил номер 900, после чего сотрудник Сбера в чате поддержки убеждал меня (тут в треде два скриншота: скриншот 1, скриншот 2), что сотовые операторы, якобы, более не позволяют подделывать номера. Вооружённый этим «знанием», я пробиваю номер звонящего и нахожу его в списке официальных контактов банка.
Тут у меня в голове складывается картина: курьер утром что-то такое сфоткал у меня на экране, что позволило ему увести мой аккаунт, а служба безопасности реально пытается меня спасти.
И я в панике начинаю действовать. Мошенники подгоняют и не дают замедлиться и подумать.
Ксюша пытается меня затормозить, и не может, я отбиваюсь: я же самый умный, всё отлично понимаю про кибербезопасность и у меня есть основания думать, что тут всё серьёзно и честно. А ещё мне говорят: «По вашему делу уже идёт расследование, поэтому никому говорить о звонке нельзя, это уголовное преступление».
Потом «служба безопасности Тинькофф-банка» говорит, что передала информацию коллегам в Сбере, чтобы и там меня защитили. Мне тут же перезванивают из сбера, и на этот раз у меня, якобы, пытаются снять деньги с кредитной карты.
А мы в этот момент идём смотреть квартиру — Ксюша выбирала, что ей покупать. И вот у меня в одном ухе «служба безопасности банка», в другом — Ксюша и продавец квартиры.
В какой-то момент мне приходит смс «для запрета перепривязки номера», и я понимаю, что у меня пытаются увести доступ к мобильному телефону. В этот момент я отключаюсь и бегу в банк, узнавать масштаб катастрофы. К счастью, в Сбере я ничего не успел сделать, а вот с Тинькоффа перевёл столько, сколько было на карте. Хорошо, что на карте я держал меньшую часть средств.
Цена этого урока была 25 тысяч рублей. И две недели я был как в воду опущенный; не из-за суммы, конечно, а из-за самого факта.
Кстати, у меня были все записи звонков и я, конечно, написал заявление в полицию. И, как всегда, полиция оказалась совершенно бесполезна. С — стабильность.
Мошенничество с банкоматом
Теперь расскажу, что же было в Стамбуле. Я вышел купить симку. Наличку забыл в гостинице, и потому решил снять денег с карточки, благо у меня есть (была) международная.
Подхожу к ряду из полудюжины банкоматов. Во-первых, они все на турецком (и возможности выбрать язык — нет); рядом Гранд-Базар, туристический центр города, но не ставить же по такому поводу банкоматы с английским языком. Во-вторых, Pay Pass ни на одном банкомате не работает.
Я вообще-то предпочитаю Pay Pass: а вдруг карту зажуёт, и разбирайся потом с этой службой поддержки банка… Но тут делать нечего. Я вставляю карту, ввожу цифры пин-кода, но у меня его не принимает. Я не удивляюсь, посколько помню его неточно, да и не уверен я, что это был экран ввода пина. Решаю не рисковать лишними попытками и нажимаю что-то, работающее как Cancel. Но карточка не вылезает из банкомата. Я недоволен. На банкомате написан номер поддержки, но у меня всё ещё нет симки, и я не могу позвонить в банк.
Рядом ходит какой-то чел, я прошу его позвонить в службу безопасности. Он куда-то звонит и болтает там на турецком. И у меня нет возможности даже понять, с кем и о чём. Они говорят по телефону долго (с банками коротко ведь и не бывает). Подходят какие-то его друзья, потом уходят.
Дальше чел говорит, что служба безопасности просит меня зайти в банкомате на такой-то экран и там ввести пин-код. Я ввожу. Ничего не происходит. Говорю: слушай, я не уверен, что у меня правильный пин-код, раздай вайфай, я в приложении поменяю. Меняю пин, ввожу снова. Ничего.
Чел говорит: я тут работаю, мне надо отойти, но я на звонке с СБ банка. Я жду минут 40, потом не решаюсь отойти на 30 метров до магазина — попросить раздать wi-fi.
У меня было подозрение, что чел решил просто забить на меня, и ушёл, но ничего более страшного я не подозреваю: моя карточка ведь в банкомате, я ж никуда не отходил ни на секунду — так думаю я. Поэтому я и не боялся вводить пин при посторонних: какая разница, если карта внутри машины?
Но, подключившись к интернету, я увидел, что моя карта была обналичена чуть ли не сразу как чел отошёл (и оставил меня без wi-fi). Я всё ещё полагал, что они как-то скопировали мою карту. Проверил, не стоит ли на банкомате скиммер — накладка, крадущая данные, но не вижу такой. Пишу в банк, те говорят, что оплата прошла по пин-коду и чипу, то есть именно по карте, не по копии. И несмотря на это, я ещё часа два-три, сидя уже в полиции, думал, что моя карта внутри банкомата.
Позднее я нагуглю, что есть такая ловушка для карты — Lebanese loop, которая не даёт карте вылезти из банкомата, но позволяет мошеннику её достать, когда владелец карты отвернётся.
Этот урок обошёлся мне сильно дороже по денежной сумме и масштабу неудобств (например, мне теперь надо восстанавливать карту через одно место). Но по счастью, я был более устойчив эмоционально. Это не выбило меня из колеи и в целом повлияло гораздо меньше, чем первый случай.
Стамбульская полиция, как я говорил, была очень мила и покормила меня мороженным, но разумеется, оказалась настолько же бесполезной, как российская. П — предсказуемость.
Подготовка к мошенничеству
Во многих случаях, вы сами роете себе могилу, а мошенники лишь подталкивают вас. У вас ещё не украли деньги, но вы своими руками переводите их мошенникам «в целях безопасности». Ваш пин-код никто не знает — вы его сами показываете, потому что сомневаетесь в нём.
Поэтому часто бывает так, что у атаки есть подготовительная фаза, призванная вас разогреть и подтолкнуть в заботливые руки жуликов. Ведь, чтобы вас «раскрутить», нужно создать правдоподобную угрозу, чтобы вы были серьёзно напуганы.
Вчера столкнулся с такой удивительной ситуацией (не у меня). Распутывая эту историю, мы думали, что мошенничество уже свершилось, тогда как оно даже не началось: это была лишь расстановка фигур.
Ситуация: фейковый аккаунт с некоторой валидно выглядящей целью просит авторизоваться в боте и прислать код авторизации. Если жертва клюнула, то её высмеивают в чате: ха-ха, ты отдал код от госуслуг, и мы тебя сейчас разденем догола, украдём всё (а бот называется «Портал Государственных услуг»).
Жертва пытается войти в Госуслуги, и не может. Почему не может, я не понял; возможно, они DDoS-ят аккаунт и просто число попыток входа мешает совершить вход. Я потом проглядывал журнал действий госуслуг, никаких следов входа или иных действий в аккаунте не было.
Это — подготовительная (!) стадия. На следующей должен был подключиться какой-то хмырь из «РосКомНадзора» и, если бы он дозвонился, у него были бы высокие шансы запугать жертву последствиями взлома гос.услуг.
И вот тогда уже оформить кредиты и переложить эти деньги куда-нибудь. Некоторых людей мошенники умудряются убедить даже продать квартиру, «чтобы спасти» от того, что она якобы уже продана. На этой стадии человек закопает себя сам.
Но на данной стадии пока что не произошло НИ-ЧЕ-ГО.
В чём красота описанной схемы? В том, что этот «бот Госуслуг» просто выдаёт тебе случайное шестизначное число в ответ на твой номер телефона. Никакого отношения к 2FA (двухфакторной аутентификации) это число не имеет. И приходит оно не через смс, а просто в тг-бота.
Кстати, не подключайте приход 2FA сообщений через MAX, если не хотите получить ещё один вектор атаки на госуслуги; и вообще мессенджер MAX лучше не устанавливайте.
Но, когда ты понимаешь, что отправил «код от госуслуг» мошенникам, это выглядит так, будто ты уже влип.
Кстати, кража персональных данных — это тоже часть подготовки к атаке. Сами по себе ПД ничего такого особого не содержат. Но их знание позволяет мошенникам строить более правдоподобные истории, чтобы втереться к вам в доверие.
Вам кажется, будто эти данные могли быть только у ответственных лиц. И когда они озвучиваю малоизвестный факт про вас, вы начинаете верить, что раз они это знают значит это то ли работники банка, то ли гэбня, то ли Господь Бог (ГБ).
Были у меня на памяти и другие схемы.
- увод аккаунта в тг
- покупка имени аккаунта за TON (за мой скромный никнейм предлагали $9000). Только для совершения транзакции надо положить 5% страховых взносов (которые наверняка с кошелька испарятся)
- Билеты в театр (кажется, на несуществующий спектакль), продаваемые на фейковом сайте.
- рассылки от фейковых аккаунтов директоров организаций
Нет смысла их разбирать, потому что схем — бессчётное число. Так что лучше просто пользоваться (холодной) головой. Но всё же,
Выводы и советы о том, как избегать мошенничества
- Иммунитета нет ни у кого. Не считайте себя самым умным (самый умный тут я, а всё равно попался). Излишняя уверенность в своих знаниях скорее вредит.
- Два главных крючка, на которые люди ловятся: страх и жадность.
- Мошенники ловят людей в наиболее уязвимом состоянии, когда они уже «на измене». А оставляют в состоянии полного душевного раздрая, и это, пожалуй, самое поганое в мошенниках.
В качестве профилактики против мошенничества стоит заботиться о своём самочувствии и нервной системе. На полном серьёзе говорю. - Если у вас закралось хоть малейшее подозрение, кладите трубку. Не разговаривайте с мошенниками. Каждая лишняя реплика увеличивает шансы, что вас подцепят на крючок.
- Срочных дел, касающихся финансов, не бывает. Если вы чувствуете, что вас подгоняют, кладите трубку. Даже если это не мошенники, вы, как минимум, получите невыгодную сделку.
- Никакие коды, ни из каких сообщений, сообщать нельзя никому. Они предназначены для вас, а не для посторонних.
- Служба безопасности хоть банка, хоть государства никому и никогда сама не звонит.
- По телефону, телеграмму, whatsapp, MAX невозможно идентифицировать личность. Даже если вам на том конце провода представились полковником Сидоровым Иваном Петровичем, пятый полк шестой палаты ФСБ, и прислали в мессенджер фотку ксивы, это ничего не значит.
- Из этого, в частности, следует, что любые требования по телефону вы можете игнорировать. Хоть от полиции, хоть от налоговой, хоть от кого угодно (почём вам знать, что это действительно полиция). Вся юридически значимая информация доносится только в письменной форме по официальным каналам, требуйте перевода любой коммуникации в письменную форму.
- Телефонные номера подделываются. Вы не можете знать, кто вам на самом деле звонит, какой бы номер ни высвечивался. При малейших сомнениях, кладите трубку. Самостоятельно найдите на сайте организации её номер (он может быть тем же, что номер звонившего, а может отличаться) и перезвоните на него сами. Это единственный способ гарантировать, что вы общаетесь с кем надо.
- Фотографии тоже подделываются. Например, к фотографии банковской карты легко прифотошопить имя-фамилию вашего друга. Вы будете думать, что переводите на его карту, но в действительности деньги уходят на какую-то анонимную карточку и обналичиваются так называемыми дропами.
- И сайты подделываются. Очень внимательно смотрите на адрес сайта, нет ли там странных замен букв на цифры или другие буквы?. А лучше сами в поисковике найдите нужную страницу
- Не давайте никому доступ к своему телефону. И шеринг экрана тоже не давайте. Вот вам пример атаки, в ходе которой показ экрана телефона позволяет увести гос.услуги.
- Поставьте самозапрет на взятие кредитов. Это занимает 3 минуты времени, но даст вам гарантию, что хотя бы без вашего деятельного участия, на вас не возьмут кредитов.
- Довольно часто мошенники живут в другой стране, ведь «с Дону выдачи нет», трансграничные операции фиг оспоришь. У меня в 2020-м деньги ушли в итоге в британский банк, который на мой запрос даже не ответил. В лучшем случае деньги просто расползутся по сети дропов. Вы можете даже не надеяться вернуть деньги, без шансов. Не питайте надежд и иллюзий, но полицию всё равно долбайте. Пусть эти бездельники хотя бы отписки пишут.
- Не верьте в сказки. Бесплатный сыр бывает только в мышеловке.
- ЧИТАЙТЕ, что вам говорит и что у вас спрашивает телефон, компьютер, браузер. Вы точно хотите установить приложение (вирус), чтобы посмотреть картинку? Вы уверены, что хотите кому-то сказать число, которое вас на соседней строке попросили никому не говорить?
Серьёзно, 50% моей компьютерной грамотности — это способность задержаться на 10 секунд и прочесть, что комп мне пишет.