Кибермошенники активно модернизируют свои схемы социальной инженерии, переходя от традиционных СМС-рассылок к использованию телефонных звонков для получения одноразовых кодов доступа.
Как рассказали эксперты сервиса Smart Business Alert агентству «Прайм», классический метод, при котором жертву убеждают продиктовать код из текстового сообщения, становится менее эффективным из-за распространения предупреждений в самих СМС, передает ИА DEITA.RU.
Теперь злоумышленники всё чаще используют опцию автоматического звонка с голосовым сообщением, доступную во многих системах авторизации и восстановления паролей. Особенность новой схемы заключается в том, что мошенник, пытаясь войти в аккаунт жертвы, выбирает способ подтверждения через звонок.
После этого он связывается с потенциальной жертвой по телефону, представляясь сотрудником банка или технической поддержки, и сообщает, что в ближайшие секунды на номер поступит автоматический звонок от «робота», который продиктует проверочный код.
Жертву убеждают, что продиктовать цифры оператору по телефону — более безопасный способ, чем передача кода из СМС. При этом звонки часто осуществляются через IP-телефонию, что позволяет скрыть истинный номер и повысить доверие к легенде.
Расширяя тактику, преступники не только получают доступ к учётным записям, но и записывают голос жертвы. В дальнейшем эти записи могут использоваться в других схемах мошенничества, например, при имитации звонков от имени правоохранительных органов.
Фейковые «силовики» предъявляют жертве запись в качестве «доказательства» несанкционированных действий, угрожают фоноскопической экспертизой и уголовным преследованием. Поскольку многие люди не запоминают детали таких разговоров, мошенники получают возможность манипулировать жертвой даже спустя время.
Жуликам часто неважно, от какого именно сервиса поступил код подтверждения — будь то банковское приложение, почтовый сервис или платформа доставки. Главное — убедить человека продиктовать цифры, после чего в ход идёт психологическое давление с подключением «сотрудников» силовых ведомств, которые обвиняют жертву в переводе средств, передаче геолокации и других фиктивных нарушениях.
Эксперты напоминают ключевое правило безопасности: одноразовые коды, независимо от способа их получения — через СМС, звонок или приложение, — ни при каких обстоятельствах нельзя сообщать третьим лицам, даже если собеседник утверждает, что это необходимо для безопасности.