Эксперт по кибербезопасности: «Праздники — горячая пора для мошенников»
Изображение: recraft
Новогодний ажиотаж — раздолье для мошенников. В интервью Константин Мельников, руководитель департамента специальных сервисов Infosecurity (ГК Softline), рассказывает о главных схемах обмана и делится способами защиты.
— Константин, в преддверии праздников из года в год всплеск мошенничества. Чем это обусловлено?
Активизация злоумышленников, как правило, начинается уже в конце ноября и нарастает по мере приближения новогодних праздников, когда резко увеличивается объем онлайн-покупок и доставок. В этот период люди чаще ждут посылки, получают уведомления от служб доставки и менее критично относятся к входящим звонкам и сообщениям. Мошенники пользуются фоном спешки и перегруженности, подстраивая сценарии под реальные процессы логистики и поддержки, что повышает доверие жертв и снижает вероятность своевременного распознавания обмана.
— Какие самые распространенные схемы мошенничества, связанные с праздничными распродажами, вы бы выделили?
Преступники всегда играют на ажиотаже, эмоциях и доверии к брендам.
Наиболее массовая тактика — фишинг под видом акций. Мошенники заранее готовят копии сайтов популярных магазинов, создают фейковые рассылки и рекламные предложения, которые визуально неотличимы от настоящих. Цель — завлечь пользователя на поддельную страницу оплаты через ссылки в сообщениях с пометками «эксклюзивное предложение» или «персональная скидка» для хищения банковских реквизитов.
Стандартный прием социальной инженерии — создание искусственной срочности. Уловки вроде «Осталось 3 товара», «скидка только до вечера» или «-90% только сегодня» побуждают человека действовать быстро, не проверяя детали. В этой спешке пользователи часто не обращают внимание на странный домен сайта или нюансы в оформлении.
Но есть и более сложные, многоэтапные комбинированные схемы, рассчитанные на постепенное вовлечение. Классический пример — схема «Анонимная доставка подарка». Сначала звонят якобы курьеры, сообщая о посылке от неизвестного отправителя и запрашивая код из смс для «подтверждения доставки». Затем в дело вступают лже-сотрудники правоохранительных органов, которые под предлогом «расследования» выманивают уже конфиденциальные данные или прямые платежи. В этом году схема усложнилась: раньше преступники сразу просили код из смс, теперь сначала собирают данные под видом оператора поддержки.
Помимо звонков от «службы доставки», активно используются поддельные смс и сообщения в мессенджерах о проблемах с оплатой, задержке посылки или необходимости подтвердить адрес. Также встречаются сценарии с «возвратами», подарочными сертификатами, новогодними розыгрышами и корпоративными бонусами. Общая черта всех схем — апелляция к срочности и эмоциям.
— А с какими угрозами может столкнуться бизнес?
В предпраздничный период компании сталкиваются с очень специфическими угрозами. Первое — это фейковые благотворительные инициативы. Мошенники рассылают убедительные письма от имени известных фондов с просьбой о срочном пожертвовании, сопровождая их поддельными документами.
Второе, более изощренное, — использование дипфейков. Злоумышленники с помощью нейросетей подделывают голос или видео руководителя компании и отправляют подчиненным, например, аудиосообщения с указанием срочно перевести деньги на «критически важный» счет. Это очень опасный вектор, который набирает обороты.
Кроме того, компании могут столкнуться с мошенничеством под видом деловых партнеров. В конце года бизнес проводит множество финансовых операций — продлевает договоры, совершает закупки и закрывает продажи. Этим активно пользуются киберпреступники, которые атакуют, притворяясь контрагентами. Они внедряются в переписку, рассылают фиктивные документы на подписание и счета на оплату.
— На что стоит обращать внимание в первую очередь, чтобы не попасть в ловушку?
Можно выделить три ключевых правила.
Первое — всегда проверять источник. Не переходить по ссылкам из писем или мессенджеров, даже если предложение выглядит очень заманчиво. Открывать сайт магазина или банка вручную, через браузер. Внимательно всматриваться в адресную строку: мошенники используют похожие домены с лишними буквами или поддоменами. Для благотворительных переводов всегда необходимо использовать реквизиты с официального сайта фонда.
Второе — никогда не действовать в спешке под давлением. Легитимные акции редко длятся всего несколько часов, а службы доставки не просят коды из смс для подтверждения получения подарка. Если звонят из «банка», «полиции» или «службы безопасности» и требуют срочных действий — нужно положить трубку и перезвонить в организацию по официальному номеру с ее сайта. Создание цейтнота — главное оружие мошенников.
Третье — использовать технические средства защиты. Для всех онлайн-платежей, особенно на незнакомых сайтах, стоит завести виртуальную карту с ограниченным лимитом или пользоваться проверенными платежными сервисами. Важна двухфакторная аутентификация (2FA) для почты, мессенджеров и банковских приложений. Ни при каких условиях и никому нельзя сообщать коды, которые приходят в смс или push-уведомлениях.
Как показывает практика, лучшая защита от мошенничества — это осведомленность и холодный расчет. В праздничной суете особенно важно помнить: если предложение кажется слишком выгодным, а ситуация — чрезмерно срочной, это повод не для действий, а для максимальной проверки.
