Кино показывает хакеров как людей, которые ломают пароли кодом. На деле большинство «взломов» — это обман человека, а не системы. Технически уязвимости часто отсутствуют — но человек сам отдаёт ключи. Это и есть социальная инженерия.
Основные техники
1. Звонок «из банка». «Здравствуйте, у вас подозрительная транзакция, подтвердите код из SMS». Жертва вводит код — мошенник входит в личный кабинет и переводит деньги.
2. Сообщение «от знакомого». «Привет, можешь срочно одолжить 5 000, перевод заберу завтра?» Жертва переводит, а это бывший аккаунт знакомого, взломанный мошенниками.
3. «Из техподдержки». «Здравствуйте, я из техподдержки Apple. У вас подозрительная активность, установите программу для проверки». Жертва ставит шпионское ПО.
4. Бесплатный «розыгрыш». «Получите 100 000 ₽ ваш номер выиграл! Подтвердите данные карты для перевода». Жертва вводит данные карты — деньги списываются.
5. «Срочная доставка». «Ваша посылка задерживается, оплатите хранение». Жертва переводит «оплату» мошенникам.
6. Romance scam. Знакомство в сети, романтические отношения, потом «помоги материально». Долгая, изощрённая схема.
Почему люди ведутся
Не потому что они «глупые». Социальные инженеры используют:
- Срочность. «Срочно подтвердите, иначе заблокируют». Заставляет действовать без раздумий.
- Авторитет. Представляются «полицией», «банком», «налоговой». Уровень дофамина растёт от страха.
- Эмоции. «Сын попал в аварию, нужны деньги срочно». Сильные эмоции отключают логику.
- Жадность. «Вы выиграли». Хочется верить.
- Знание деталей. Знают ваше имя, имя ребёнка, иногда — последние цифры карты. Чувство «это точно из банка».
Это работает на любых людях. Под давлением даже опытный пользователь может ошибиться.
Откуда они знают ваши данные
Часто люди удивляются: «откуда они знали моё имя?». Источники:
- Утечки баз данных. Каждый год утекают миллионы записей.
- Социальные сети. Открытый профиль — это анкета для мошенников.
- Сами вы. На сайтах с акциями вводили имя, телефон, email.
- Знакомые в окружении. Иногда мошенники работают через подкупленных сотрудников банков, операторов.
Как защититься
1. Замедлитесь. Любой звонок «срочно подтвердите» — повод повесить трубку и перезвонить в банк самому.
2. Не сообщайте коды по телефону. Никогда. Ни банку, ни «техподдержке», ни мужу/жене.
3. Проверяйте источник. Если знакомый просит денег в мессенджере — позвоните ему голосом. Возможно, аккаунт взломан.
4. Не доверяйте номерам. Звонок «с номера банка» — номер можно подделать. Проверяйте через официальное приложение.
5. Не открывайте подозрительные ссылки. Особенно из SMS «ваш банк просит».
6. Объясните близким. Особенно пожилым родителям. Они — главная мишень.
Признаки атаки
- Срочность — «прямо сейчас», «иначе заблокируют».
- Просьба об одолжении (особенно от знакомого, странным языком).
- Запрос конфиденциальных данных по непривычному каналу.
- Угрозы или давление.
- Предложения «слишком хорошие, чтобы быть правдой».
VPN и социальная инженерия
VPN — техническая защита. Социальная инженерия — психологическая атака. VPN тут не помогает.
Что VPN косвенно делает:
- Скрывает ваш IP — мошенник не может из IP узнать ваш точный адрес.
- Зашифровывает трафик — мошенник в публичной Wi-Fi не видит, что вы вводите.
Это сужает потенциальные источники информации о вас. Но прямо от «звонок от мошенника» не защищает.
Если уже стали жертвой
- Сразу звоните в банк. Блокируйте карту.
- Меняйте пароли, если передали данные аккаунта.
- Сообщите в полицию (заявление по статье 159 УК — мошенничество).
- Не платите снова даже если просят. Это вторая волна атаки.
Резюме
- Социальная инженерия — главное оружие современных мошенников.
- Технически вы можете быть защищены идеально, но человека обмануть всегда можно.
- Замедление и проверка — лучшая защита.
- Никогда не сообщайте коды и пароли по телефону.
- Объясняйте близким — особенно пожилым.