Не паролем единым: как не стать жертвой оффлайн-мошенников?

О мошенничестве по телефону, в мессенджерах и социальных сетях знает каждый. По телевизору, в средствах массовой информации и в интернете вновь и вновь рассказывают, как люди отдают все свои средства и даже берут кредиты, чтобы перевести деньги мошенникам. Часто речь идёт об очень значительных суммах.
При этом никто не стоит у них за спиной с пистолетом, не берёт в заложники членов их семьи, не выкручивает руки, заставляя совершить то или иное действие. Наоборот, злоумышленники находятся далеко, разговаривают с человеком по телефону и не имеют возможности оказывать на него физическое воздействие. Казалось бы, чего проще: никогда не разговаривайте с неизвестными, — и вероятность стать жертвой мошенников будет сведена к нулю. Но нет: люди снова и снова реагируют на манипуляции, несмотря на то, что не раз слышали о них.
В чём причина? Дело в том, что мошенники используют методы социальной инженерии — манипулирования людьми при помощи психологических приёмов и воздействия на эмоции. Эти методы хорошо известны и применяются не только при общении по телефону или в мессенджере, но и в реальной жизни. Часто мошенники вступают с жертвами в прямой контакт на улице или в офисе. Например, выдают себя за специалистов техподдержки, чтобы проникнуть в офис или в квартиру. Давайте рассмотрим основные этапы социальной инженерии на реальном примере.
В Москве 55-летний мужчина обокрал турфирму, притворившись её новым сотрудником. Он сделал бейджик, пришёл в офис и весь день работал. А когда все ушли — вскрыл замок тумбочки, в которой хранились 330 тыс. рублей, и забрал деньги. Мошенника задержали, но деньги он уже успел потратить.
1. Установить контакт
На первом этапе надо установить контакт с потенциальной жертвой. В нашем примере мошенник с бейджем просто пришёл в офис и сказал, что он — новый сотрудник фирмы. Он был убедителен в своей роли.
В киберпространстве мошенники используют звонки по телефону или в мессенджеры. Для обзвонов покупают в даркнете базы данных телефонных номеров. Там часто встречается информация о владельце номера — имя, данные о собственности, кредитах, покупках, страховках и т. д. Это даёт мошенникам возможность совершать целевые атаки (например, от имени представителей госструктур).
2. Повысить уровень доверия
Второй этап — втереться в доверие к потенциальной жертве. В нашем примере мошенник собрал информацию о деятельности фирмы, возможно, узнал фамилию её генерального директора или сотрудников, чтобы при случае их упомянуть, сделал бейджик, чтобы подчеркнуть свою принадлежность к коллективу. И вёл себя как обычный новый сотрудник.
В киберпространстве для того, чтобы войти в доверие, мошенники выдают себя за сотрудников известных организаций: службы безопасности банка, полиции, ФСБ, Центробанка, Росфинмониторинга, Роскомнадзора. Они вежливо представляются, называют свою должность, выражают обеспокоенность якобы возникшей у собеседника проблемой, а также готовность немедленно её решить. При этом могут упомянуть факты, которые не должны быть известны посторонним. Для достоверности мошенники на видео могут быть в форме, на фоне государственных символов.
3. Заставить жертву совершить желаемое действие
Если первые два этапа прошли успешно, то мошенники переходят к следующему, основному — похищению денег. В нашем примере злоумышленнику удалось не только узнать, где хранятся 330 тыс. рублей, но и убедить «коллег» оставить его в офисе одного. После этого мошенник вскрыл замок, забрал деньги — и был таков.
В киберпространстве для кражи денег мошенникам надо уговорить вас самостоятельно сделать перевод на их счёт или выведать у вас секретный код из банка для подтверждения перевода. Если вы окажетесь таким же доверчивым, как «коллеги» описанного в нашем примере вора, то останетесь без денег.
Как противостоять социальной инженерии?
Чтобы не стать жертвой социальной инженерии, запомните простые правила.
Будьте готовы к встрече с мошенниками и заранее продумайте, как отреагируете.
Не отвечайте на звонки с незнакомых номеров, не разговаривайте с неизвестными, кем бы они ни представлялись. Не позволяйте мошенникам манипулировать вашими чувствами и эмоциями.
Если всё же приняли подозрительный звонок — немедленно положите трубку. При сомнениях перезвоните в организацию, от имени которой к вам обратились, по указанному на сайте номеру телефона.
Если на улице незнакомые люди пытаются вами манипулировать — зайдите в людное место, позовите на помощь, попросите окружающих позвонить в полицию. При этом держите физическую дистанцию, не смотрите в глаза, найдите способ завершить диалог. Действовать надо твёрдо и вежливо.
Если в офисе вы видите подозрительных людей — нужно действовать согласно правилам внутренней безопасности. Как минимум, необходимо уведомить руководителя или охрану.
Никогда и никому не сообщайте свои личные данные: номер паспорта, СИЛС, информацию о ваших банковских счетах, номер банковской карты, пин-код или CVV/CVC/CVP-код, код из СМС и любые другие сведения. Их спрашивают только мошенники.
В любой подозрительной ситуации не действуйте сгоряча, на эмоциях. Возьмите паузу, подумайте, посоветуйтесь с родными и друзьями. При необходимости позвоните в полицию.