
Атаки социальной инженерии: что важно знать?
Автор: Алина Соловьёва · Обновлено
Главное
- При краже денег с карты немедленно заблокируйте её в приложении или по горячей линии, чтобы остановить списания.
- Банк обязан ответить на заявление о спорной операции в течение 30 дней (60 дней для трансграничных переводов); требуйте письменный ответ для жалобы в ЦБ или суда.
- Коллекторы не могут звонить чаще 1 раза в сутки, 2 раз в неделю и 8 раз в месяц, а также ночью с 22:00 до 8:00; фиксируйте нарушения и жалуйтесь в ФССП.
- Страхование жизни и здоровья при кредите — добровольное, от него можно отказаться и вернуть премию в течение 30 дней; навязывание страховки незаконно.
- Максимальная ставка по микрозайму с 1 июля 2023 года — не более 0,8% в день (около 292% годовых), МФО не вправе её превышать.
Представьте: вам звонит «сотрудник банка» и уверенным голосом сообщает о подозрительной операции. Он просит назвать код из SMS, чтобы «заблокировать счёт». Это классическая атака социальной инженерии — метод мошенничества, при котором злоумышленники играют на доверии, страхе или жадности жертвы. Ежегодно россияне теряют миллиарды рублей из-за таких схем. Но хорошая новость в том, что распознать атаку и защитить свои финансы можно, если знать ключевые правила. В этом материале — конкретные шаги: как не стать жертвой, что делать при краже денег с карты и куда жаловаться на нарушителей закона.
Социальная инженерия: атака на доверие, а не на технологии
Социальная инженерия — это метод несанкционированного доступа к информации или денежным средствам, основанный на манипуляции человеческим поведением. В отличие от технических взломов, которые требуют эксплуатации уязвимостей в программном обеспечении или оборудовании, социальная инженерия эксплуатирует естественные психологические особенности человека: доверие к авторитетам, желание помочь, страх потерять деньги или репутацию. Мошенники не взламывают банковские системы — они убеждают жертву самостоятельно перевести деньги, назвать код из SMS или установить вредоносное приложение.
По данным Центрального банка, в 2023 году объём операций без согласия клиентов превысил 15,8 миллиарда рублей, и значительная часть этих хищений была совершена именно методами социальной инженерии. Техническая защита (антифрод-системы, двухфакторная аутентификация) работает только до тех пор, пока пользователь добровольно не передаёт мошеннику контрольный код. Как только жертва называет код из SMS или CVC-код карты, защита банка становится бесполезной — транзакция проходит как подтверждённая самим клиентом.
Ключевое отличие социальной инженерии от других видов мошенничества — атака направлена не на устройство, а на человека. Поэтому единственная эффективная защита — не технические средства, а осознанное поведение: знание сценариев атак, умение распознавать триггеры и готовность прервать разговор в любой момент. Банки и государство могут только информировать и блокировать подозрительные операции постфактум, но первый рубеж обороны — это сам клиент.
Норма закона
Максимальная процентная ставка по микрозайму ограничена законом: с 1 июля 2023 года — не более 0,8% в день (около 292% годовых). Это предельная ставка, которую МФО не вправе превышать. ФЗ-353 ст. 5.
Источник: consultant.ru
Набор инструментов мошенника: страх, спешка, авторитет и другие триггеры
Любая атака социальной инженерии строится на комбинации нескольких психологических триггеров. Самый мощный — страх. Мошенник создаёт ощущение неминуемой угрозы: «Вашу карту заблокируют», «На вас пытаются оформить кредит», «С вашего счёта уходят деньги». В состоянии испуга человек теряет способность критически мыслить и действует рефлекторно — выполняет инструкции звонящего.
Второй триггер — спешка. Злоумышленник настаивает, что действовать нужно немедленно: «Счёт будет заблокирован через 5 минут», «Операция проводится прямо сейчас, каждая секунда на счету». Искусственное ограничение времени не даёт жертве возможности проверить информацию, посоветоваться с близкими или позвонить в банк по официальному номеру. Третий инструмент — авторитет. Мошенники представляются сотрудниками банка, полиции, Центробанка, ФСБ или даже родственниками, попавшими в беду. Использование официальных названий и должностей снижает порог доверия — человеку кажется неудобным проверять документы у «майора полиции» или «начальника службы безопасности».
Четвёртый триггер — взаимность. Мошенник сначала «помогает»: предупреждает о якобы подозрительной операции, предлагает «заблокировать счёт» или «отменить заявку на кредит». После такой «услуги» жертва чувствует себя обязанной и с большей готовностью выполняет дальнейшие просьбы. Пятый — социальное доказательство: ссылки на «уже пострадавших клиентов», «массовые атаки на банк» или «известные случаи». Это создаёт иллюзию, что ситуация реальна и широко распространена. Понимание этих триггеров — первый шаг к защите: если вы замечаете хотя бы один из них в разговоре, это уже повод насторожиться и прервать диалог.
Атака в деталях: пошаговый разбор трёх реальных схем с диалогами
Схема 1: «Звонок из службы безопасности банка»
Звонящий: «Здравствуйте, это служба безопасности банка. Зафиксирована попытка списания 50 000 рублей с вашей карты. Чтобы отменить операцию, назовите код из SMS».
Жертва: «Но я не совершал никаких операций».
Звонящий: «Мы знаем, это мошенники. Нам нужно срочно заблокировать карту. Назовите код, иначе деньги уйдут».
Разбор: Мошенник использует страх потери денег и спешку. Настоящий сотрудник банка никогда не попросит назвать код из SMS или CVC-код — у банка уже есть все данные для блокировки. Правильное действие: положить трубку и перезвонить в банк по номеру на обратной стороне карты. Если код уже назван — немедленно заблокировать карту в приложении и позвонить в банк.
Схема 2: «Звонок от родственника, попавшего в ДТП»
Звонящий (плачущим голосом): «Мама, это я, я попал в аварию, сбил человека, меня заберут в полицию, нужны деньги, чтобы договориться с потерпевшим». Затем трубку берёт «полицейский»: «Ваш сын задержан, нужно перевести 200 000 рублей на такой-то счёт, иначе возбудят уголовное дело».
Разбор: Здесь работают страх за близкого, авторитет («полицейский») и спешка. Мошенники часто используют голосовые дипфейки или просто имитируют взволнованный голос. Правильное действие: прервать разговор, перезвонить родственнику на его личный номер, связаться с другими членами семьи. Не переводить деньги, не называя имени и обстоятельств. Если родственник действительно в ДТП, с ним можно связаться через ГИБДД по номеру 112.
Схема 3: «Предложение дополнительного заработка»
В мессенджере приходит сообщение: «Заработок на маркетплейсах. Нужно ставить лайки и писать отзывы — 500 рублей за 10 минут». После выполнения нескольких заданий жертве предлагают «купить товар» за свои деньги, обещая вернуть с процентами. Сначала возвращают небольшие суммы, затем — крупный «заказ» на 50 000 рублей, после которого мошенник исчезает.
Разбор: Используется триггер взаимности (сначала платят за лайки) и социальное доказательство (скриншоты «успешных» участников). Это типичная схема «крипто-лохотрона» или «инвестиционного мошенничества». Правильное действие: не вступать в переписку, не переходить по ссылкам, не вводить данные карты на сомнительных сайтах. Если деньги уже переведены — немедленно заблокировать карту и подать заявление в полицию.
Дебетовые карты: кешбэк сегодня
на 17 июля 2026 г.| Банк | Обслуживание | Кешбэк | |
|---|---|---|---|
| Промсвязьбанк Твой Кешбэк | 0 ₽ | до 25% | Оформить → |
| ВТБ | Дебетовая карта МИР | до 23% | Оформить → |
| ОТП Банк | Дебетовая карта «ОТП карта» (выданная карта и транзакция по карте ) | до 20% | Оформить → |
| АК Барс банк | 0 ₽ | до 20% | Оформить → |
| Россельхозбанк | дебетовая карта UnionPay | до 15% | Оформить → |
Как оборвать атаку в момент звонка: универсальный чек-лист вопросов
Если вы получили звонок от якобы сотрудника банка, полиции или другого официального лица, не поддавайтесь эмоциям. Используйте этот чек-лист, чтобы проверить собеседника и прервать атаку. Задайте следующие вопросы в любом порядке:
- «Назовите мои паспортные данные и последние четыре цифры моей карты». Настоящий сотрудник банка видит эти данные в системе. Мошенник, скорее всего, не сможет их назвать или начнёт уклоняться.
- «Какой номер моего договора с банком?». Если звонящий не может ответить — это мошенник.
- «Я перезвоню вам через 5 минут. Назовите номер, по которому я могу вам перезвонить». Мошенники никогда не дают обратный номер — они используют подменные номера, и через 5 минут трубку возьмёт уже другой «оператор» или номер будет недоступен.
- «Почему вы звоните с номера, который не совпадает с номером горячей линии банка?». Если номер отличается — это стопроцентный признак мошенничества.
- «Какая именно операция была зафиксирована? Назовите точную сумму и время». Мошенник может назвать примерную сумму, но точное время и сумму реальной операции знает только банк. Если звонящий не может ответить — кладите трубку.
После любого из этих вопросов, если вы почувствовали неуверенность или агрессию в голосе собеседника, положите трубку. Не пытайтесь переубедить мошенника, не вступайте в дискуссию — это часть сценария. Ваша задача — прервать контакт. После этого самостоятельно наберите номер горячей линии банка (с обратной стороны карты) и уточните, были ли какие-то подозрительные операции. Если операций не было — вы только что предотвратили атаку.
Превентивная защита: настройки банка и привычки, которые ломают сценарий
Большинство атак социальной инженерии можно предотвратить ещё до звонка — с помощью правильных настроек и повседневных привычек. Начните с банковских приложений: установите лимиты на операции. В настройках большинства банков можно задать суточный лимит на переводы и снятие наличных, например, 50 000 или 100 000 рублей. Даже если мошенник получит доступ к вашему аккаунту, он не сможет вывести больше этой суммы без дополнительного подтверждения.
Второй важный шаг — отключите или ограничьте использование SMS-кодов для подтверждения операций. SMS — самый уязвимый канал: мошенники могут перехватить сообщение через подмену SIM-карты или просто выманить код у жертвы. По возможности переключитесь на пуш-уведомления в официальном приложении банка или используйте аппаратный токен. Также включите уведомления о всех операциях — это позволит мгновенно заметить несанкционированное списание.
Третья привычка — никогда не называть код из SMS, CVC-код, PIN-код или пароль от личного кабинета никому, даже если собеседник представляется сотрудником банка. Настоящий банк никогда не запрашивает эти данные — они нужны только для подтверждения операций самим клиентом. Четвёртая — не переходить по ссылкам из подозрительных писем и сообщений. Если вам пришло письмо от «банка» с требованием срочно обновить данные, не кликайте на ссылку — откройте браузер и вручную введите адрес сайта банка. Пятая — используйте отдельную карту для онлайн-покупок с небольшим лимитом и пополняйте её только на сумму покупки. Это минимизирует ущерб в случае компрометации данных.
Важно знать
При краже денег с карты: сразу заблокируйте карту в приложении или по горячей линии, подайте заявление о несогласии с операцией в банк и заявление в полицию. Блокировка останавливает дальнейшие списания.
Источник: consultant.ru
Что делать после: два сценария — если код не назвал и если назвал
Сценарий 1: Вы поняли, что это мошенники, но не назвали код и не перевели деньги.
В этом случае вы уже в безопасности. Единственное, что стоит сделать — заблокировать карту в приложении или по горячей линии, чтобы мошенники не смогли использовать её данные, если вы случайно назвали номер карты или срок действия. Затем перезвоните в банк по официальному номеру и сообщите о попытке мошенничества — банк может заблокировать номер звонившего и предупредить других клиентов. Также можно подать заявление в полицию, но если деньги не похищены, уголовное дело, скорее всего, не возбудят — достаточно сообщить о попытке.
Сценарий 2: Вы назвали код из SMS, CVC-код или перевели деньги.
Действовать нужно немедленно. Первое — заблокируйте карту в приложении или по горячей линии. Это остановит дальнейшие списания. Второе — позвоните в банк и подайте заявление о несогласии с операцией. По закону (ФЗ-161) банк обязан рассмотреть ваше заявление в течение 30 дней (по трансграничным переводам — 60 дней). Требуйте письменный ответ — он понадобится для жалобы в Центробанк или для суда. Третье — обратитесь в полицию с заявлением о мошенничестве. Приложите все доказательства: записи разговоров, скриншоты переписки, выписки по счету. Шанс вернуть деньги есть, если вы действуете быстро: банк может отозвать перевод, если он ещё не зачислен на счёт мошенника, или если вы успели подать заявление до того, как деньги были обналичены.
Важно: не стесняйтесь обращаться в полицию. Даже если сумма небольшая, ваше заявление может помочь выявить организованную группу. По статистике МВД, раскрываемость таких преступлений низкая, но без заявления она нулевая. Также сообщите о случившемся в свой банк — это поможет ему улучшить системы антифрода.
Как не стать мишенью повторно: психологическая устойчивость и правила общения
После того как вы один раз попались на уловку мошенников, риск повторной атаки возрастает. Ваши данные (номер телефона, имя, возможно, адрес) уже есть в базах злоумышленников, и они могут попробовать снова — возможно, с другой легендой. Чтобы не стать жертвой повторно, выработайте несколько простых правил общения.
Правило «Трёх секунд»: прежде чем что-то ответить на неожиданный звонок или сообщение, сделайте паузу в три секунды. За это время вы успеете осознать, что вас торопят, и вспомнить, что спешка — главный триггер мошенников. Правило «Обратного звонка»: если кто-то представляется сотрудником банка, полиции или другой организации, положите трубку и перезвоните по официальному номеру, который вы знаете (с обратной стороны карты, из квитанции, с официального сайта). Никогда не используйте номер, который вам продиктовал звонящий.
Правило «Никаких личных данных»: никогда, ни при каких обстоятельствах не называйте по телефону или в мессенджере паспортные данные, номера карт, коды из SMS, PIN-коды, CVC-коды, пароли от личного кабинета. Даже если собеседник говорит, что это «проверка безопасности» — это ложь. Правило «Второе мнение»: если вам кажется, что ситуация реальна, посоветуйтесь с кем-то из близких. Мошенники давят на то, чтобы вы действовали в одиночку, без консультаций. Позвоните супругу, другу, коллеге — свежий взгляд со стороны часто видит абсурдность ситуации.
Наконец, работайте над психологической устойчивостью. Осознайте, что мошенники — профессиональные манипуляторы, и попасться может каждый, независимо от возраста и образования. Не корите себя, если вы уже стали жертвой — это не ваша вина, а преступление. Но извлеките урок: теперь вы знаете сценарии и будете готовы к следующей попытке. Чем больше людей будут знать эти правила, тем меньше у мошенников будет шансов.
Часто спрашивают
- Как распознать атаку социальной инженерии?
- Злоумышленники выдают себя за сотрудников банка, полиции или других организаций, чтобы получить доступ к вашим данным или деньгам. Будьте внимательны, если вас просят назвать код из SMS, пароль или данные карты — настоящие сотрудники никогда этого не требуют.
- Что делать, если мошенники украли деньги с карты?
- Немедленно заблокируйте карту в приложении или по горячей линии банка, чтобы остановить дальнейшие списания. Затем подайте заявление о несогласии с операцией в банк и заявление в полицию.
- Сколько времени есть у банка на ответ по спорной операции?
- Банк обязан ответить на заявление о спорной операции в течение 30 дней, а по трансграничным переводам — 60 дней. Требуйте письменный ответ, так как он понадобится для жалобы в ЦБ или для суда.
- Можно ли отказаться от страховки при оформлении кредита?
- Да, страхование жизни и здоровья при оформлении кредита является добровольным, за исключением страхования залога по ипотеке. Вы вправе отказаться от страховки и вернуть премию в период охлаждения 30 дней, а навязывание её как условие выдачи кредита незаконно.
- Как часто могут звонить коллекторы по закону?
- Коллекторы не вправе звонить чаще 1 раза в сутки, 2 раз в неделю и 8 раз в месяц, а также беспокоить ночью с 22:00 до 8:00. При нарушениях фиксируйте их и жалуйтесь в ФССП.
Информационный сервис. Не является финансовой рекомендацией. Окончательные условия уточняйте на сайте банка.
Материал был полезен?
Поделиться
Читайте также
Что такое фишинг: как распознать и защититься
ЧитатьЛичные финансыФишинг на Android: как распознать и защититься
ЧитатьЛичные финансыФишинг на ПК: как распознать и защититься от атак
ЧитатьЛичные финансыМошенники в Telegram: как распознать и защититься
ЧитатьЛичные финансыДействия мошенников: как распознать и защититься
ЧитатьЛичные финансыМошенники в хорошем качестве: как распознать и защититься
ЧитатьИз словаря
Разберём термины из статьи простыми словами.