Мошенники стали обманывать россиян под видом сотрудников «Почты России». Они сообщают людям о доставке посылки из-за рубежа, за которую нужно заплатить таможенный сбор, а в случае отказа — назвать код из SMS. С помощью него преступники могут получить доступ к онлайн-банку человека или сервису «Госуслуги». «Известия» узнали, как отличить аферистов от настоящих работников почты и не стать жертвой новой уловки.
Вам посылка
Мошенники придумали новую схему кражи денег у россиян. Теперь они представляются сотрудниками «Почты России» и сообщают людям о доставке посылки из-за рубежа, за которую нужно заплатить таможенный сбор, сообщил СМИ представитель платформы безопасности «Т-защита» (входит в Т-банк).
Когда человек говорит, что не заказывал никакой посылки, ему предлагают отказаться от получения. Но для этого нужно назвать код из SMS. По словам мошенников, это нужно якобы для того, чтобы подписать официальный отказ в базах почты.
Получив код, мошенники могут зайти в аккаунт человека на портале «Госуслуги» или в его мобильном банке. Там они попытаются перевести деньги себе или взять кредит. Эксперты предупредили россиян, чтобы те не доверяли подобным звонкам. И никогда не говорили неизвестным коды из сообщений под любыми предлогами, даже внешне убедительными. Сотрудники почты не станут просить назвать их по телефону.
Жених из Майями
Легенду мошенников о необходимости оплатить таможенный сбор за посылку из-за границы впервые зафиксировали еще в конце 2021 года, рассказывает «Известиям» эксперт проекта «Народного фронта» «За права заемщиков», куратор платформы «Мошеловка» Алла Храпунова. При этом у схемы были разные вариации: как классические просьбы от якобы сотрудника «Почты России» назвать код из SMS для отказа от нежданной посылки, так и просьбы оплатить крупную пошлину за драгоценности и валюту, «отправленные в качестве подарков в честь помолвки от жениха-пилота из Майями».
— Схемы, которые реализуются по этой легенде, тоже хорошо известны. В первом случае это попытка с помощью социальной инженерии выяснить коды, позволяющие получить доступ к личным кабинетам на портале «Госуслуги» или к банковским приложениям. Во втором — рассылка фишинговых ссылок или прямого перечисления средств от жертвы на криптокошельки, — говорит собеседница «Известий».
По словам Храпуновой, в «Мошеловку» поступали сигналы о еще одной схожей легенде. В ней мошенники пытались обмануть клиентов транспортных, логистических и курьерских компаний — получателей посылок и грузов. Им приходили сообщения о том, что груз или посылка якобы утеряны и теперь получателю положена страховая выплата. Чтобы получить деньги, необходимо пройти по ссылке. В сообщении указывались корректные данные (получатель, трек-номер и отправитель), а вот ссылка была фишинговой.
— Еще до недавнего времени были широко распространены случаи отправления наложенным платежом по почте покупателям интернет-магазинов мусора, ветоши, кирпичей или явных подделок вместо заказанных товаров. Или неожиданных посылок: аферисты узнавали адрес и минимальные данные жертв, после чего собирали посылку-обманку и отправляли ее наложенным платежом. В основном под «прицел» таких мошенников попадали пожилые и любопытные люди, — рассказывает Храпунова.
В случае если получатель отказывался забирать посылку, то ему начинали звонить и запугивать выдуманными штрафами. Чаще мошенники говорили о том, что человеку всё равно нужно оплатить время хранения.
Частично решить проблему удалось в 2022 году. Тогда, после обращения «Мошеловки» и «Известий» в Минцифры и «Почту России», в последней рассказали о разработке поправок в правила оказания услуг почтовой связи. Согласно им, по желанию получателя (или его уполномоченного представителя) можно вскрывать посылку до оплаты. Если в ней оказывается мусор, то клиент ничего не платит, а посылку возвращают отправителю.
Обман в доставке
В случае когда речь идет не о реальной посылке, а упоминание почты, сервиса доставки или перевозок звучит лишь как предлог, мошенники просто пытаются получить от человека нужную информацию или деньги. Для этого используют различные схемы, одна из самых популярных в сегменте логистики — кражи средств с помощью фишинговых сайтов, имитирующих оплату, говорит директор департамента безопасности ПЭК Алексей Персиянов.
— Как правило, они создают сайты-аналоги с похожими доменными именами. Схема работает так: на сайте объявлений создается обращение о продаже товара. Для привлечения покупателей мошенники устанавливают низкую цену. Заинтересованным в покупке направляется ссылка на фишинговый сайт для оплаты. В итоге и товар не доставлен, и продавец пропадает, — говорит собеседник «Известий».
Всплеск такой активности в компании наблюдали во время пандемии, когда в Сети появились десятки поддельных сайтов служб доставки. Ситуация оставалась острой на протяжении всего первого локдауна. Сейчас, отмечает директор департамента безопасности ПЭК, всплеска кибермошенничества нет. Покупатели стали внимательнее относиться к приобретению товаров в интернете, а бизнес адаптировался к новым условиям и уделяет больше внимания мерам безопасности.
— В таких вопросах важна проактивная позиция служб безопасности компаний. Например, в ПЭК разработана программа для борьбы с хакерскими атаками. Команда сотрудников ежедневно мониторит вновь регистрируемые домены на предмет совпадения с официальным адресом сайта компании с помощью программы и в ручном режиме, — рассказывает Персиянов.
В других схемах жертву просят оплатить «доставку» товара на фейковом ресурсе. Иногда мошенники обращаются в личные сообщения, представляясь операторами служб доставки, и просят сделать предоплату за «услуги», добавляет CEO АПУМ, бывший PR-директор СДЭК Анна Иоспа. Жертвами обычно становятся люди, которые обладают низкой цифровой грамотностью и доверяют звонкам от незнакомцев.
— Новая схема, где у россиян просят коды, опасна в первую очередь своей простотой и видимой легитимностью. Люди могут поверить в необходимость немедленного действия, чтобы не «потерять» посылку или избежать проблемы. Мошенники часто создают атмосферу срочности и психологического давления, и это может сработать — человек выдает код, — говорит Иоспа.
Назовите код
Как говорит «Известиям» заместитель директора центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско, сами по себе схемы с получением кода для доступа в банковское мобильное приложение и другие важные сервисы существуют уже несколько лет. Мошенники придумывают всё новые легенды, чтобы вынудить жертву назвать заветные цифры из SMS.
— Номера телефонов людей они берут из различных публичных утечек, а иногда обзванивают произвольно, делая ставку на массовость охвата схемы. Сегодня с учетом количества утечек персональных данных найти в Сети базу, содержащую ФИО и телефон, не составляет никакого труда, — поясняет эксперт.
В тех же слитых базах преступники могут обнаружить другие ценные данные, например список используемых сервисов и регистрационные сведения. После получения доступа к ним у мошенников остается два варианта, как попасть в сервис под видом жертвы.
— Обычно пароли от аккаунтов хранятся в базе данных в виде хеш-функции. Поскольку хеш-функция необратима, в таком случае невозможно вычислить настоящий пароль, что, в свою очередь, придает дополнительную безопасность аккаунту. В таких ситуациях мошеннику и нужен тот самый одноразовый код из SMS для сброса пароля от аккаунта жертвы, — рассказывает ведущий эксперт по сетевым угрозам, web-разработчик компании «Код безопасности» Константин Горбунов.
Если хакеру повезло и в слитых данных находится пароль в явном виде, то одноразовый код может и не потребоваться вовсе. Либо он будет необходим для двухфакторной авторизации — и мошеннику опять же понадобится номер телефона, привязанный к аккаунту. Туда придет код, который у человека опять же попытаются получить во время телефонного звонка.
Способы защиты
Получение доступа к онлайн-банку человека грозит выводом денег и возможным оформлением кредита. Если же злоумышленники добрались до «Госуслуг», это открывает перед ними довольно обширные возможности, рассказывает Константин Горбунов. Во-первых, становятся доступны все личные данные жертвы — от ИНН, СНИЛС и паспорта до истории запросов в ведомства и трудовой деятельности.
— Эти данные киберпреступник может в дальнейшем использовать в фишинговых целях, например, представляясь сотрудником силового ведомства, чтобы у жертвы было больше доверия к нему. Помимо доступа к личным данным, мошенник сможет от имени жертвы отправлять различные запросы, оформлять кредиты, — рассказывает эксперт «Кода безопасности».
Как отмечает директор по правовым вопросам, юрист Михаил Хоменко, ни одна банковская или любая иная организация не будет просить клиента назвать код из SMS или номер карты по телефону или через интернет. Потому не стоит раскрывать их во время разговора — при любых сомнениях сразу заканчивать разговор и перезванивать по официальному номеру телефона, указанному на сайте.
— Также важно включить уведомления о действиях с учетной записью, в частности на «Госуслугах», и актуализировать контактные данные, куда такие уведомления будут приходить, — добавляет Константин Горбунов.
В свою очередь, эксперт Solar AURA ГК «Солар» Александр Вураско призывает не предоставлять личные данные на подозрительных и неофициальных веб-сайтах и использовать антивирусное программное обеспечение для дополнительной защиты от вредоносных программ и фишинговых атак.