Как устроены фишинговые звонки, по каким признакам их можно распознать и что делать, если данные уже попали к преступникам, — рассказывает Мария Сергеева, специалист группы социально-технического тестирования «Бастиона».
Телефонный фишинг: как отличить атаку от реального звонка
Телефонный фишинг остается одной из самых массовых схем социальной инженерии: около 62% россиян сталкивались с попытками мошенничества по телефону. Злоумышленники используют подмену номера, утечки информации и правдоподобные сценарии разговора. В таких условиях ключевой навык — быстро оценивать звонок и проверять канал до передачи чувствительных сведений.
Magnific
Как выглядит «банковский звонок»
Атака начинается с входящего вызова от злоумышленника. В начале разговора задается контекст: мошенник сообщает о попытке списания средств со счета, оформленном кредите или платной доставке заказа. Сразу подчеркивается срочность — перевод нужно отменить, заявку остановить, а оплату проверить. Собеседника подводят к немедленным действиям — просят продиктовать код из СМС, сверить реквизиты или выполнить операцию в приложении. При этом человека удерживают на линии, чтобы усилить психологическое давление и помешать проверить информацию.
Подобные сценарии часто включают подмену номера телефона. На экране в момент звонка отображается контакт «банка», при этом источник соединения никак не относится к организации и может даже находиться в другой стране. Для этого мошенники используют интернет-телефонию и сервисы подмены номера.
Дополнительную достоверность создают голосовые боты: они воспроизводят типичный сценарий общения с банком — сначала автоматическое приветствие, затем переключение на «оператора», который ведет разговор по стандартному скрипту, задает уточняющие вопросы и использует служебные формулировки. В результате создается ощущение, что звонок проходит через настоящий контакт-центр.
Как злоумышленники выбирают цели
Большинство злоумышленников не звонят специально конкретному человеку, а используют утекшие базы для массового обзвона. Информацию из этих баз — номер, ФИО и другие персональные данные — они озвучивают в ходе разговора, чтобы создать впечатление, что звонок инициирован легитимной службой, например, банком, и быстрее вызвать доверие собеседника. Для усиления убедительности злоумышленники могут упомянуть реальные транзакции, о которых они узнают из тех же баз данных. Такие детали ускоряют вовлеченность человека в разговор независимо от сценария атаки.
Публичные объявления — еще один источник выборки. Пользователи, которые размещают предложения о продаже недвижимости или автомобиля, чаще попадают в базы для обзвона.
Какие триггеры используют злоумышленники
Телефонный фишинг строится на управлении состоянием собеседника. Главная цель звонка — вызвать сильную эмоциональную реакцию, при которой человеку сложнее критически оценивать происходящее и сопротивляться давлению.
Это делается с помощью такого базового триггера, как страх потери средств, который усиливается срочностью: собеседник утверждает, что деньги могут исчезнуть в ближайшие минуты, и действовать нужно немедленно.
Также злоумышленники могут усиливать давление с помощью авторитета источника. Звонящий представляется сотрудником службы безопасности, разговаривает в официальном тоне и использует служебные термины — так контекст беседы кажется убедительным. Параллельно создается изоляция: собеседника просят не обсуждать ситуацию с близкими и не связываться с банком самостоятельно. Это усложняет объективную оценку.
Отдельный прием — постепенное вовлечение. Сначала уточняются нейтральные данные, например, имя, последние цифры карты или факт совершения операции. Затем злоумышленники предлагают выполнить простые действия: проверить уведомление в приложении банка или сверить статус операции. И только после этого запрашивается проверочный код из СМС. В результате создается ощущение штатной процедуры, хотя, на самом деле, пользователь подтверждает перевод или оформление кредита.
Как проверить звонок и оценить риск
- Самый надежный способ — завершить разговор и самостоятельно связаться с банком. Номер следует набрать вручную с официального сайта или из мобильного приложения. Перезванивать на входящий вызов не стоит: это не подтверждает подлинность канала, так как номер может быть подменен, и соединение снова пройдет через злоумышленников.
- При оценке звонка могут помочь определители спама: они показывают наличие жалоб пользователей и признаков массового обзвона, а также репутацию номера. Но при подмене идентификатора абонента их точность снижается.
- Надежнее работает поведенческая проверка. Настоящий сотрудник банка спокойно согласится завершить разговор, если клиент захочет самостоятельно связаться с организацией по официальному номеру. Попытки удержать собеседника на линии или запрет на обратный звонок указывают на фишинговый сценарий.
- Дополнительный ориентир — время обращения. Контакт-центры работают по регламенту и звонят клиентам в рабочие часы, тогда как мошеннические атаки чаще проходят волнами в вечернее время. Звонок в нетипичное время требует более внимательной оценки источника.
Какие данные представляют риск
Важно помнить, что банку не требуются ПИН-код, CVV, цифры из СМС или пуш-уведомлений, поскольку их единственная функция — подтвердить финансовое действие, например, перевод средств третьим лицам или оформление кредита.
Однако угрозы не ограничиваются только одноразовыми подтверждениями операций. Компрометация логинов и паролей от интернет-банка и установка программ удаленного доступа также существенно повышают риск. Такие данные дают злоумышленнику доступ к аккаунту, контроль над устройством и возможность управлять транзакциями от имени клиента.
Что делать, если данные уже переданы
Действовать следует без задержки.
- В первую очередь стоит заблокировать карту и доступ к интернет-банку и мобильным приложениям.
- Далее рекомендуется сменить пароль, завершить активные сессии и отвязать подключенные устройства.
- Если по инструкции злоумышленников была установлена программа удаленного доступа, устройство следует отключить от сети и запустить антивирусную проверку.
- При финансовых потерях необходимо уведомить банк для фиксации инцидента.
Как снизить риски
Базовое правило защиты — чувствительная информация передается только по инициативе клиента через официальный канал связи. К таким данным относятся ПИН-код, CVV/CVC, коды подтверждения из СМС и push-уведомлений, логины и пароли от дистанционных сервисов, а также персональные сведения, позволяющие подтвердить операции.
Давление, срочность и отказ завершить разговор указывают на мошеннический сценарий.
Практические меры безопасности включают хранение средств на разных счетах, установку лимитов на переводы и подключение уведомлений по операциям. Регулярный контроль истории транзакций и кредитной истории помогает своевременно выявлять подозрительную активность. Дополнительно можно оформить самозапрет на кредиты через Госуслуги — это ограничивает последствия компрометации.
Сокращение цифрового следа также уменьшает риски: отдельный номер для объявлений о продаже и сервисов, где контактные данные профиля доступны другим пользователям, уменьшает вероятность попадания в базы обзвона, а определители вызовов и антифрод-решения помогают быстрее оценить угрозу.
Риск ущерба снижается, если оперативно распознать фишинговый сценарий. Быстрое завершение разговора и проверка канала связи ограничивают возможности злоумышленников.
Любые решения следует принимать только после самостоятельного подтверждения информации. Критичным остается контроль каналов связи и собственных действий. В большинстве случаев этого достаточно, чтобы остановить атаку.