Что такое вишинг и как защитить деньги от телефонных мошенников

60% разводов в России происходит через звонки по телефону — такова статистика преступлений от ЦБ.

Если раньше мошенники в основном обитали в интернете и рассылали спам, то теперь самый популярный способ найти жертву — ей позвонить. Исследователи из США считают, что каждый второй звонок в мире совершается мошенниками. А по данным Роскомнадзора, в июле 2023 в России зафиксировали 73 млн мошеннических звонков — на 21% больше, чем в июне. Звонок из «полиции», «Центрального банка» или «службы безопасности» получал примерно каждый третий россиянин.

Мошеннические звонки стали настолько массовыми, что специалисты придумали для них новый термин — «вишинг».

Vishing — это смесь английских слов voice phishing, то есть «голосовой фишинг». Фишинг, в свою очередь, — это разновидность мошенничества, когда злоумышленник старается обманом получить доступ к информации, которая поможет ему украсть деньги. Подробнее мы рассказывали об этом в предыдущем выпуске проводника по финбезопасности.

Цель вишинга такая же — узнать данные жертвы: номер карты, код из смс, данные паспорта, пароль от соцсети. Или с помощью методов социальной инженерии уговорить человека перевести деньги на счет мошенника.

В этой статье я подробно расскажу, как устроен вишинг и как отличить звонок мошенника от настоящего звонка из банка или полиции.

Еще лет десять назад мошенники в основном звонили «вслепую» и ничего не знали о собеседнике. Тогда работал простой совет: если звонящий чего-то от вас хочет, но не знает вашего имени, он наверняка мошенник.

Теперь опытные вишеры покупают у хакеров украденные базы данных компаний — от пиццерий до банков. Благодаря базам звонящий может назвать не только ФИО собеседника, но и домашний адрес, место работы или номер машины — это добавляет правдоподобности разводу.

К счастью, есть универсальные признаки, которые помогут вычислить звонок мошенников при любом сценарии:

• Вас торопят. Например, уговаривают срочно спасать деньги. Действовать нужно прямо сейчас, иначе вы потеряете все свои сбережения. Расчет на то, что у собеседника начнется паника и он не сможет адекватно мыслить. Такого человека намного проще уговорить перевести деньги на «защищенный счет» или сказать код из смс для «отмены заявки».
• Спрашивают код из смс. Настоящий сотрудник банка никогда не спросит код, иначе его уволят и привлекут к уголовной ответственности.
• Спрашивают код с обратной стороны карты. Если вас убеждают, что эти три цифры нужны для перевода, — не верьте и кладите трубку: вполне достаточно номера карты. А если переводить через СБП, вообще нужен только номер телефона.
• Не могут ответить на простые вопросы. Даже если мошенники украли банковскую базу, у них нет актуальных данных о вашем счете. Они не смогут сказать, сколько у вас денег на карте, и не назовут последнюю покупку. Вместо этого они будут уводить разговор в сторону, торопить или обвинять вас в том, что мешаете защитить деньги.
• Обещают выгоду без усилий. У мошенников есть решение всех финансовых проблем: автоматическая генерация прибыли, уникальные торговые алгоритмы, способы обмануть банк. Но обогатитесь в этой схеме не вы, а они.
• Просят установить приложение на смартфон. Задача мошенников — чтобы вы установили на смартфон программу удаленного доступа и сказали им код для подключения. Это маскируют под программы для защиты денег или для трейдинга.
• Давят авторитетом. Например, звонящий представляется следователем по экономическим делам и сообщает жертве, что ее деньги якобы в опасности. Или обвиняет в отказе от сотрудничества со следствием.
• Звонят в неудобное время. Мошенники выбирают для общения время, когда среднестатистический человек хуже соображает: или в районе девяти утра, когда он еще не совсем проснулся и собирается на работу, или около пяти вечера, когда накопилась усталость от рабочих задач.

Мошенники постоянно адаптируют и актуализируют свои схемы. Расскажу про самые популярные — и про необычные.

«Ваши деньги в опасности. Чтобы их защитить, нам нужны ваши данные». Мошенники разыгрывают целый спектакль: представляются сотрудниками полиции, переключают звонок на «коллег из Центрального банка»: якобы у собеседника пытаются украсть деньги со счета.

Чтобы предотвратить кражу, нужно сообщить код из смс — тогда «реквизиты счета изменятся» и воры останутся ни с чем. Только произойдет все ровно наоборот.

«Вам положена выплата, продиктуйте данные карты, куда перевести деньги». Один из самых распространенных вариантов вишинга. Звонящий сообщает, что собеседнику полагается компенсация за просмотр рекламы, индексация пенсии, возврат налога, перевод из-за границы, наследство или выплата по решению суда.

Чтобы получить деньги, нужно назвать реквизиты карты. Только номера недостаточно: якобы для отчетности нужны все данные, в том числе срок действия и цифры с обратной стороны.

Если сказать эти данные, мошенники смогут расплачиваться картой на некоторых сайтах: до сих пор не все сервисы требуют подтверждать покупку кодом из смс.

«Ваш родственник нарушил закон. Заплатите, а то посадим его в тюрьму». В этой схеме аферисты обычно звонят посреди ночи. Расчет на то, что спросонья человек не сможет вслушаться в голос «родственника» и поверит, что тот действительно в беде.

Долго поговорить с ним все равно не дадут: «полицейский» отберет трубку, расскажет историю про сбитого человека, наркотики или что-то еще и потребует перевести деньги, чтобы «замять проблему».

Мошенники звонят всем подряд, поэтому зачастую схема дает сбой. Как, например, в истории нашего читателя.

«Вам письмо от госорганов, скажите код из смс, чтобы его получить». Мошенник представляется сотрудником МФЦ или почты и сообщает, что человеку выслали очень важное письмо из госорганов. Про что оно — сообщить не может, так как письмо зашифровано. Но если его не получить, у человека точно возникнут проблемы.

Чтобы получить и расшифровать письмо, необходимо пройти верификацию. Сделать это просто: достаточно сказать код из смс. Как обычно, с помощью кода мошенник сможет украсть деньги.

«Вы добавляли номер телефона к своему банку? Кажется, кто-то вас взломал». Мошенник, как это часто бывает, представляется сотрудником банка. Он пугает, что кто-то добавил новый номер к интернет-банку собеседника. А значит, может войти туда и похитить все деньги. Но заявку на добавление номера можно отменить: для этого нужно сообщить сотруднику код из смс.

Есть и альтернативный вариант этой схемы, с которым столкнулась наша читательница: звонящий предлагает установить бесплатный антивирус, чтобы защититься от взлома. На самом деле ссылка ведет на программу удаленного доступа, с помощью которой мошенники получат доступ к смартфону, зайдут в интернет-банк и переведут деньги на свои счета.

«Хотите зарабатывать? Установите программу на телефон, мы поможем». Еще один вариант развода с программой удаленного доступа.

Мошенник притворяется сотрудником инвестиционного фонда. Якобы у них есть программа для автоматического трейдинга: достаточно установить ее на телефон — и она будет автоматически генерировать прибыль.

Сотрудник готов помочь установить ее прямо сейчас: он дает указание зайти в магазин приложений, скачать программу и назвать код для подключения. Только на самом деле жертва установила на свой смартфон программу удаленного доступа и сообщила код, благодаря которому злоумышленник к нему подключится.

«Вы подавали заявку на кредит? Если нет, поможем ее отменить». Мошенник представляется сотрудником банка и говорит, что на имя собеседника пытаются взять кредит. Как вариант — указали поручителем. Если не отменить заявку, ее автоматически одобрят.

Никому не хочется платить кредит за неизвестного человека. Когда кто-то звонит и говорит, что вы будете должны банку крупную сумму, первая реакция — страх и паника. На это и рассчитывают мошенники.

Заявку можно отменить, вот только у службы поддержки не получается это сделать из-за сбоя. Но тут же «сотрудники банка» успокаивают собеседника: можно установить программу на телефон, тогда все помогут сделать через интернет-банк. Дальше все как и в предыдущем сценарии: управление смартфоном блокируют, а деньги переводят на свои счета.

«Увеличим вам кредитный лимит и отменим плату за обслуживание». Мошенник представляется сотрудником банка и предлагает улучшить условия по кредитной карте. Например, отменить плату за обслуживание или понизить процентную ставку. Все это якобы в рамках рекламной акции для клиентов.

Если согласиться, мошенник отправит смс с кодом — якобы для подключения услуги. Разумеется, говорить его людям нельзя. Зато роботам можно, они же не будут использовать полученную информацию во вред клиенту!

Далее мошенник делает вид, что переключает звонок на голосового помощника. Конечно, он продолжает слышать все, что говорит человек. Код из смс он использует для входа в интернет-банк, чтобы похитить деньги.

Иногда мошенникам играет на руку то, что клиентам банка с подобными предложениями звонят настоящие сотрудники. Из-за такого совпадения как-то раз чуть не попалась наша читательница.

Когда звонящий представляется сотрудником банка, многие напрягаются, а некоторые сразу кладут трубку: ведь мошенники любят звонить «из службы безопасности».

Но на самом деле сотрудники антифрода — так специалисты называют «службу безопасности банка» — не звонят внезапно. Чтобы привлечь их внимание, вы должны сначала сделать что-то необычное. Вот три основных сценария, после которых вам может позвонить настоящий сотрудник банка.

Вы переводите много денег незнакомцу. Например, вы увидели в интернете рекламу инвестиционного сервиса, где обещают доходность 25% уже через месяц. Вы оформили заявку, оператор перезвонил и попросил перевести 200 000 ₽ по номеру карты физлицу. Банк может заморозить такую операцию и позвонить вам, чтобы убедиться в безопасности перевода.

Есть подозрения, что мошенник украл вашу карту или телефон. Система безопасности зафиксировала новую модель устройства, вход из непривычного места или необычные действия со счетом. Возможно, вы купили новый смартфон или симку, но банку надежнее переспросить: «Это вы сейчас входили в интернет-банк?»

Вы делаете покупку на поддельном сайте. Некоторые банки ведут список сайтов, на которые клиенты оставляют жалобы: например, что они привязывали карту и оплачивали покупку, но так и не получили товар.

Вот четыре главных совета, которые помогут защититься от большинства схем вишинга.

Пользуйтесь определителем номера. Установите приложение с базой данных номеров мошенников на смартфон. Когда вам кто-то позвонит, приложение проверит, были ли на этот номер жалобы из-за спама или мошенничества. Целиком доверять определителю не стоит: аферисты часто меняют номера телефонов. Но такая система лучше, чем ничего.

Берите паузу. Деньги и спешка несовместимы. Когда вам звонят по поводу денег и вы чувствуете нервное напряжение, стоит сделать паузу, чтобы унять эмоции и не совершить ошибку. Про это в нашем курсе «Как защититься от мошенников» есть отдельный урок.

Перезванивайте сами. Уточните название организации, положите трубку и самостоятельно перезвоните по номеру с официального сайта. Не сообщайте никаких данных, если не уверены, что вам звонят из банка, полиции или других служб.

Даже если на самом деле звонили оттуда — не случится ничего страшного, если вы повесите трубку и перезвоните сами. Никто не подаст в суд только потому, что вы прервали разговор.

Слушайте и читайте истории пострадавших. Так вы поймете, на что вообще способны мошенники и какие фразы они используют, чтобы втереться в доверие. Возможно, во время звонка вы вспомните аналогичную историю и положите трубку.

Послушать реальные записи звонков от мошенников можно в подкасте Т⁠—⁠Ж «Схема», а почитать истории — в потоке «Читатели против мошенников».

Вот еще несколько статей, которые помогут разобраться в мотивах и схемах вишинга:

1. Как мошенники прикидываются известными компаниями.
2. Как избавиться от звонков мошенников и банков.
3. Три фразы, которые отличают мошенника от сотового оператора.

Самый эффективный способ — обратиться в полицию.

Зачастую пострадавшие этого не делают, потому что не видят смысла. Они считают, что правоохранительные органы толком не работают и мошенникам все сойдет с рук. Это не так. Телефонных обманщиков регулярно ловят и сажают. Тем, кто уже сидит, добавляют срок.

В заявлении можно написать так: «В соответствии со статьей 159 УК РФ прошу привлечь к уголовной ответственности неизвестное мне лицо, которое пыталось завладеть моими денежными средствами путем обмана и злоупотребления доверием».

Укажите номер телефона, время звонка и все, что знаете о преступнике. Если есть запись разговора или детализация звонков от сотового оператора, приложите к заявлению.

Бывает, что заявителя отговаривают от подачи заявления, рассказывают сказки в стиле «нет ущерба — нет дела». Не верьте. Даже если вас только пытались развести, но вы вовремя повесили трубку, это уже преступление согласно части 3 статьи 30 УК РФ.

Принять заявление и провести проверку полиция обязана в любом случае. Сотрудников правоохранительных органов обычно отрезвляет фраза: «То есть вы отказываетесь принять у меня заявление?» О том, как обратиться в полицию так, чтобы ваше заявление приняли, мы рассказали в отдельной статье.

1. Вишинг — это фишинг по телефону. Фишинг — это разновидность мошенничества, когда злоумышленник старается обманом получить доступ к информации, которая поможет ему украсть деньги.
2. Вишинг — это самый распространенный способ мошенничества в России: 60% попыток развода происходит через телефонные звонки.
3. Есть несколько важных красных флагов, которые помогают распознать звонок мошенников: вас торопят, спрашивают код из смс, вам угрожают или давят авторитетом.
4. Самые распространенные схемы вишинга — звонки от имени полиции или спецслужб. Если вам поступил такой звонок, не верьте угрозам и смело кладите трубку.
5. Если вы переживаете, что вам на самом деле звонили из ФСБ или банка, — перезвоните сами. Но не на тот номер, с которого поступил звонок, а на номер с официального сайта.
6. Если вы пострадали от мошенников или хотите наказать тех, кто пытался вас обмануть, — обращайтесь в полицию. Помочь вам — это их работа и прямая обязанность.