В СМИ появилась информация о новой схеме мошенничества. Теперь злоумышленники пытаются выманить у потенциальных жертв не привычный код из SMS, а номер телефона, с которого поступил входящий вызов. Несмотря на громкие заголовки, речь идет не о революционном методе, а о модификации уже известных приемов социальной инженерии, объяснил финансист Игорь Торхов.
Почему сервисы звонят и сразу сбрасывают
Подтверждение личности пользователя чаще всего происходит через отправку одноразового кода в SMS. После его ввода доступ к аккаунту открывается. По такому принципу работают государственные порталы, социальные сети и коммерческие сервисы.
Однако SMS — не единственный способ аутентификации. Код может быть направлен по электронной почте, продиктован автоматическим голосовым звонком или сгенерирован в специальном приложении одноразовых паролей. В ряде случаев используется еще один метод — входящий вызов с последующим автоматическим сбросом. При таком варианте подтверждения именно номер телефона, чаще всего его последние цифры, служит кодом для входа.
У SMS есть два существенных недостатка: возможные задержки доставки и затраты для сервиса, поскольку каждое сообщение оплачивается оператору связи. Телефонный вызов с мгновенным прерыванием обходится дешевле, поэтому некоторые платформы переходят на этот способ идентификации.
В чем суть новой схемы
Сценарий обмана выглядит следующим образом. Мошенник вступает в контакт с потенциальной жертвой через социальные сети или мессенджеры под правдоподобным предлогом — запись на услугу, оформление заказа или подтверждение действия.
После этого сообщается, что потребуется подтвердить звонок. В определенный момент действительно поступает входящий вызов, но соединение сразу обрывается. Далее злоумышленник просит назвать номер, с которого звонили, якобы для завершения процедуры. На деле именно этот номер и является кодом подтверждения для входа в аккаунт. Получив его, преступник получает доступ к сервису.
Опасность усиливается тем, что в отличие от SMS, где обычно содержится предупреждение о запрете передачи кода третьим лицам, входящий вызов не сопровождается никакими пояснениями. В списке пропущенных отображается лишь номер, без контекста и предупреждений.
Финансист Игорь Торхов отметил, что схема по своей сути не является такой уж и новой. Механизм проверки личности может меняться — SMS, звонок, приложение — однако задача мошенников остается прежней: заставить человека добровольно передать одноразовый код.
Каким способом сервис генерирует этот код, для злоумышленников не имеет значения. Ключевой элемент — психологическое давление и создание иллюзии официальной процедуры. Распространение подобных схем подтверждает: преступники продолжают адаптироваться к изменениям в системах безопасности, смещая акцент с технического взлома на манипуляции доверием.
Как распознать обман за 10 секунд»?
- Кто просит код? Официальные сервисы (банки, такси, магазины) НИКОГДА не просят продиктовать им номер, с которого они вам звонят. Они сами его знают.
- Где просят код? Если вы вводите номер телефона на сайте, а вам звонят — вводите цифры САМИ в специальное поле. Не говорите их голосом «оператору».
- Зачем звонят? Если звонок поступил без вашего запроса (вы не пытались войти в аккаунт прямо сейчас) — это 100% атака.
