Мошенники придумали новый способ обмана россиян, связанный с налогами. Они пишут людям от имени банков и выманивают данные личного кабинета, в котором могут украсть все деньги либо оформить на жертву кредит. «Известия» разобрались, как работает схема и как защитить себя от преступников.
Схема с налоговой
Аферисты нашли очередной способ обмана россиян под предлогом уплаты налогов. Об этом сообщает «Вестник Киберполиции» — официальный Telegram-канал Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России.
По данным канала, преступники начали рассылать письма от имени крупных банков, в которых рассказывают о новом налоге — якобы со счета человека спишутся десятки тысяч рублей. При этом от платежей можно отказаться, кликнув по ссылке и заполнив специальную форму.
На самом же деле человек переходит на поддельный сайт банка и вводит реальные данные своего личного кабинета. Потом ими смогут воспользоваться мошенники, чтобы украсть деньги со счета.
В случае если пользователь заполнит форму, он рискует не только потерей средств и компрометацией данных. Попав в личный кабинет клиента, мошенники могут даже оформить на него кредит, если им удастся обойти банковскую систему защиты, предупредили в организации.
Старая уловка
По словам адвоката, председателя коллегии «Антонова и партнеры» Екатерины Антоновой, схемы обмана людей, связанные с налогами, существовали и раньше. К примеру, мошенники обещали россиянам вернуть излишне уплаченный налог, уведомляли о задолженности или требовали оплатить штраф за нарушение законодательства. А позже с появлением новых налоговых правил и изменением ставок стали использовать более сложные сценарии, которые могли ввести в заблуждение даже опытных налогоплательщиков.
— Мошенники пользуются тем, что тема налогов актуальна для большинства людей — они боятся заплатить больше или нарушить налоговое законодательство, — отмечает юрист. — Те, для кого эта тема сложна и непонятна, могут запросто поверить преступникам.
В данном случае убедительности придают и письма, которые ничем не отличаются от настоящих, — мошенники полностью копируют шаблон и стиль текста банков. Сайты тоже, как правило, внешне повторяют оригинальные, добавляет ведущий эксперт по сетевым угрозам компании «Код безопасности» Константин Горбунов. При этом создать подобный ресурс сможет и мошенник с начальными знаниями web-программирования — исходный код frontend-части каждого сайта, то есть визуальной составляющей, доступен для просмотра всем пользователям интернета. Достаточно лишь открыть консоль разработчика в любом браузере.
— Но мошенники могут получать важные данные и без создания сайтов, например используя вредоносные вложения в письмах, при открытии которых срабатывает скрипт, позволяющий получить доступ не только к одному конкретному сервису, но и ко всем логинам и паролям, которые сохранены на компьютере/телефоне жертвы, — говорит эксперт.
От письма до звонка
По мнению эксперта по информационной безопасности «Лиги цифровой экономики» Виталия Фомина, в целом схему с отказом от уплаты налогов можно отнести к стандартным мошенническим уловкам. Они всегда используют актуальные события, чтобы вызвать доверие большого количества людей и выманить их ценные данные.
— Похожие способы обмана используются во время праздников, чтобы продать туры и подарки по низким ценам, после выхода законов, позволяющих получить льготную ипотеку, и т.д., — рассказывает Фомин. — Нововведения всегда встречают повышенный интерес общества. Главным триггером становится страх потери выгоды, поэтому люди часто неосознанно переходят на ресурсы злоумышленников.
Все сведения, введенные на таком портале, сразу попадают на сервера мошенников. И им остается только указать данные клиента на официальном сайте, а потом позвонить человеку от имени банка для подтверждения входа и попасть в личный кабинет.
— Если у пользователя включена двухфакторная авторизация, попасть в его личный кабинет будет сложнее, но всё равно возможно. В таком случае мошенническая схема разбивается на два этапа: сперва киберпреступникам необходимо получить логин и пароль жертвы, а затем одноразовый код для входа. Его могут запросить под совершенно разными предлогами. К примеру, сказать, что в СМС придет трек-номер почтового отправления, который необходимо сообщить, — поясняет Константин Горбунов.
Между тем на поддельном сайте, где пытается авторизоваться человек, может появиться сообщение о технической ошибке. Так пользователь не сразу поймет, что его обманули, и продолжит сообщать данные, добавляет куратор платформы «Народного фронта» «Мошеловка» Алла Храпунова.
Способы защиты
Для того чтобы не дать мошенникам обмануть себя, руководитель юридической компании «Достигация» Артем Баранов советует проверять информацию о налогах и оплачивать их только на официальных ресурсах — сайтах Федеральной налоговой службы (ФНС) и «Госуслуг». Для этого нужно завести личный кабинет и обязательно использовать сложный пароль и двухфакторную аутентификацию.
— Помните, что сроки на оплату у каждого конкретного налога разные. Если вы не уложитесь в них, то налоговая спишет с вас сумму в принудительном порядке либо заблокирует банковские счета до появления на них средств, — рассказывает Баранов. — При этом в случае, если вас не устроила сумма начисленного налога, можно обратиться напрямую в отделение службы и при необходимости оспорить те или иные действия.
О появлении каких-либо новых налогов можно узнать на тех же сайтах ФНС или «Госуслуг» или в официальных СМИ. К любой информации, пришедшей на почту или в мессенджерах, эксперт призывает относиться критически. Банки, которыми любят представляться мошенники, пишут туда редко: обычно они присылают уведомления в приложении, добавляет куратор «Мошеловки» Алла Храпунова.
В свою очередь, Константин Горбунов советует при получении письма внимательно проверять отправителя, а также адреса ссылок, по которым просят перейти, — сравнить с официальным сайтом банка.
— Если внешне сайт можно подделать, то оставить оригинальным его URL-адрес у злоумышленников не получится: домены всегда уникальны, и нужно искать странные символы, например лишние буквы, — поясняет эксперт «Кода безопасности».
Если у человека остались вопросы по теме или сам текст показался сомнительным, лучше перезвонить в службу поддержки клиентов организации. Но только по номеру на официальном сайте, а не по указанному телефону.
Если человек все-таки ввел личные данные для входа на мошенническом ресурсе, нужно сразу позвонить в техническую поддержку банка или воспользоваться мобильным приложением, чтобы заблокировать личные счета и изменить данные для входа. Банковская система устроена так, что деньги переводятся не сразу, поэтому перевод злоумышленникам можно будет аннулировать, заключает эксперт «Лиги цифровой экономики» Виталий Фомин.