«Вижу любой развод за версту»: эксперт рассказал, как спастись от мошенников, охотящихся за «Госуслугами»

В этой колонке постоянный эксперт E1.RU Дмитрий Ларионов рассуждает о том, как можно успешно защититься от мошенников, которые охотятся за аккаунтами в «Госуслугах». К сожалению, преступники изобретательны и часто жертвы добровольно выдают им всю нужную информацию. Главным оружием против обманщиков является критическое мышление и спокойствие. Что нужно знать, чтобы не попасться на удочку? Публикуем текст с разрешения автора.

Случилась тут поучительная история. Краткое содержание: «мошенники не дремлют, но рядом со мной их неизменно ждет облом». А теперь подробнее. В тексте будет важная информация, которую знают не все.

Сижу дома, работаю. В соседней комнате сидит родственница. И тут она заходит ко мне, параллельно разговаривая в WhatsApp по громкой связи. Я слышу, как ей хорошо поставленным голосом дают инструкцию по включению трансляции экрана. Вскакиваю со стула, перехватываю телефон, убеждаюсь, что трансляцию она включить не успела. Открываю шторку уведомлений, вижу полученную SMS с кодом подтверждения смены пароля «Госуслуг». Пазл завершен. Сбрасываю вызов. От epic fail отделяли две кнопки.

Знаете, я даже сперва описал легенду мошенника, но потом удалил. Она не имеет ни малейшего значения. Люди обычно делятся этими легендами, чтобы в очередной попытке развода узнать и сказать: «О, ура-ура, меня это знание спасло, и я не попался». А завтра этому же человеку позвонят со свежей легендой, и он клюнет.

Мошенники могут быть очень убедительными. И горе вам, если вы готовы поверить в легенду мошенника. Просто потому, что он знает о вас что-то, чего (по вашему мнению) он знать не может.

Для понимания:

• мошенник знал Ф. И. О. родственницы, телефон и адрес квартиры в собственности;
  

• чтобы в процессе сброса пароля «Госуслуг» дойти до отправки SMS, нужно знать реквизиты документа, который у вас запросит портал. Раз SMS на телефон пришла — значит, мошенник эти реквизиты знал.

Так что, сюрприз, у мошенников, уж поверьте, есть всевозможные базы данных со сведениями о каждом из нас. И они умеют пользоваться этими сведениями, чтобы люди им верили. И им реально верят! Когда я завершил вызов от мошенника, мне даже пришлось разубеждать родственницу.

Есть целая наука — социальная инженерия. Предметом ее изучения являются уязвимости человеческой психики, позволяющие манипулировать людьми с целью побудить их выполнить какие-то действия, как правило, против их интересов. И, по моим наблюдениям, подверженность таким уязвимостям никак не коррелирует с интеллектом.

Разномастные профессора университетов, адвокаты, прокуроры и даже судьи, которые клюнули, не дадут соврать.

А что тогда коррелирует? Какие знания и навыки могут помочь не клюнуть?

Ответ прост:

• знание методов социальной инженерии;

• критическое мышление;

• спокойствие.

Как наработать эти навыки? О, если у вас их нет, вы не сможете сделать этого быстро. Но тут главное — начать. В этом вам помогут две книги, написанные величайшим хакером и социальным инженером Кевином Митником: «Искусство обмана» и «Искусство вторжения». Их можно купить и почитать в бумаге или скачать и почитать на компьютере. Эти книги — буквально «прививка от мошенников». Я прочитал их более 20 лет назад, и по сей день я вижу любой развод за версту. А еще безопасность — это уже давно часть моей работы.

Но есть категория людей, образующая особую группу риска. Назову их так: «те, кого уже поздно обучать». Это про львиную долю людей в возрасте. Поэтому актуальным становится еще один вопрос:

Основной целью мошенников является доступ к аккаунтам «Госуслуг» и банков, и лучше сконцентрироваться на них. Итак:

•  надежнее всего — не заводить аккаунты вовсе. В банках придется явным образом запретить любые операции по командам в SMS;
  

• никогда никому не верить на слово, не сообщать коды, не включать трансляции экрана;
  

•  установить самозапрет на получение кредитов (на «Госуслугах»);
  

•  установить контрольный вопрос на «Госуслугах» (что-то, что никто не знает);
  

•  использовать для банков и «Госуслуг» другой номер телефона, которого никто не знает, и не втыкать его симку в основной телефон;
  

•  а еще лучше вставить основную симку в кнопочный телефон и использовать его;
  

• при любых сомнениях обращаться к компетентным родственникам ПЕРЕД тем, как что-то делать;
  

• к черту вежливость! При любом подозрении молча класть трубку.

Всё равно главная уязвимость — это человек. Запомните это!

Кстати, про кнопочный телефон — ни разу не шутка. Когда мошенники требуют запустить трансляцию экрана, они охотятся именно за такими уведомлениями, как на картинке выше. При активной трансляции вы даже ничего не успеете понять, а код уже будет в руках у мошенника. Но если симка с номером, на который зарегистрирован аккаунт «Госуслуг» или банка, вставлена в старый кнопочный телефон, такой сценарий становится невозможным. И это один из способов борьбы с некоторыми сценариями.

Кому-то может показаться неудобным, но знаете, это ведь вечная проблема: безопасность и удобство — это палка о двух концах. Выбирая удобство, мы почти всегда жертвуем безопасностью, и наоборот. Ответьте себе на вопрос: есть ли у вас реальная объективная потребность иметь всегда при себе возможность получения одноразовых кодов входа на «Госуслуги»? Сильно вряд ли.

Но зачем люди делают так, чтобы такая возможность у них круглосуточно была? Потому что это удобно! Удобно, когда всё под рукой. Удобно, когда всё на одном номере. Удобно, когда симка вставлена в основной телефон. Удобно, когда телефон как девайс — один. Безопасно ли это? Точно нет.

Все сценарии направлены на то, чтобы любыми правдами и неправдами добиться от жертвы кода из SMS. Можно выудить код напрямую, чтобы жертва его продиктовала.

Можно позвонить на WhatsApp/Telegram и попросить открыть трансляцию экрана под любым предлогом (как правило, под предлогом оказания помощи) — и в таком случае код попадет к мошенникам вместе с содержимым экрана, жертва даже ничего не сможет успеть сделать.

Но есть еще один важный сценарий, достойный отдельного упоминания. Дело в том, что мошенники эксплуатируют схему восстановления доступа к «Госуслугам». Они имеют для этого все необходимые данные, и им не хватает только кода из SMS, который они выуживают. Но есть загвоздка: этот код работает только на смену пароля, но не на последующий вход с новым паролем. Чтобы произвести вход, нужен еще один код. Жертву очень сложно заставить сообщить два кода — как правило, люди уже после первого понимают, что совершили глупость.

Поэтому на этапе передачи первого кода разговор, как правило, заканчивается, и спустя короткое время человеку приходит SMS вида: «Обнаружен вход в „Госуслуги“. Если это были не вы, срочно позвоните по телефону XXXXXX».

Человек внезапно получает подтверждение своей догадки и вприпрыжку бежит звонить по номеру, не думая, что номер не имеет никакого отношения к «Госуслугам». Он добровольно звонит мошенникам, и он гораздо больше верит, что звонит в «Госуслуги». Разумеется, в таких условиях получить второй код, необходимый для завершения преступного замысла, мошенникам становится в разы проще.

В России чуть ли не каждый день людей обманывают всё новыми способами, при этом не только забирают их деньги, но и вынуждают идти на преступления. Число пострадавших настолько велико, что мошенники, по сути, стали новыми террористами.

Прочитайте объяснение эксперта Яны Амелиной о том, почему не стоит вести разговоры с мошенниками, надеясь занять их время. И как схемы обмана перешли от вымогательства денег к приказам совершать преступления. Мы также рассказывали, по каким фразам можно сразу понять, что с вами говорит мошенник.