«У вас произошла утечка персональных данных!». Анатомия мошеннического звонка
Горячая лента угроз | Все новости
Чтобы детально разобрать мошенническую схему и предостеречь других потенциальных жертв, сотрудница «Доктор Веб» «прошла» весь путь от первого звонка до финальной попытки выманить деньги. Это была сложносоставная комбинация с применением различных методов социальной инженерии.
Этап 1. Давление авторитетом
Мошенники атаковали коллектив компании «Доктор Веб» еще с декабря 2024 года. Они выходили на разных сотрудников с одним и тем же заходом: произошла утечка конфиденциальных данных, началось расследование, с вами свяжется куратор из ФСБ. Коммуникация всегда велась якобы от лица генерального директора или другого представителя руководящего звена компании. Поскольку данный подход не привел к желаемым результатам, преступники сменили тактику и сфокусировались на пожилых сотрудниках.
Пенсионеры — наиболее привлекательная для мошенников группа населения. Они более доверчивы, меньше разбираются в современных технологиях и имеют сформировавшееся уважение к представителям власти. Кроме того, пенсионеры уже не работают в компании (по крайней мере, именно так считают мошенники), поэтому хуже разбираются в том, кто текущий руководитель, как он разговаривает, что у него за характер.
Утром на телефон нашей сотрудницы, для краткости назовем ее N, поступил звонок через Телеграм. Звонящий представился генеральным директором «Доктор Веб», что подтверждалось его реальными фото и именем/фамилией. Но его аккаунт был создан менее суток назад, номер телефона скрыт, а голос и манера общения резко отличались от привычных. Злоумышленник ввел N в контекст произошедшей ситуации. Якобы произошла утечка персональных данных внутри компании. Для расследования инцидента создана специальная комиссия. Составлен список лиц, которые обязаны дать показания о случившемся. N также внесена в этот перечень, поэтому в течение дня ей позвонит сотрудник ФСБ. Планируемые каналы связи: мессенджер MAX или Телеграм. Если не получится связаться с N через них, поступит обычный звонок на мобильный номер. И поскольку скомпрометированы в том числе личные данные самой N, ей следует с полной серьезностью отнестись к разговору.
Примечателен факт, что мошенники всегда действуют под маской вышестоящего руководителя, пытаясь задавить авторитетом. Но зачастую это прикрытие и выдает их: они не знают внутренних взаимоотношений, корпоративной культуры, порядка принятия решений внутри компании, что раскрывает их ложь. Поэтому и стали атаковать пенсионеров!
Самым примечательным моментом данного этапа стало использование мессенджеров. Сотрудники правоохранительных органов всегда звонят напрямую на телефонный номер. Звонки через Телеграм или MAX — это коммуникация через интернет, что не предусмотрено для силовых ведомств.
Этап 2. Демонстрация легитимности
Далее в игру вступает «представитель ФСБ» — майор, старший следователь по особо важным делам. Он звонит N через Телеграм, но разговор не получается из-за отсутствия соединения. Лжемайор присылает сообщение, в котором представляется и прикрепляет фото своего удостоверения.
Подобные фотографии рассчитаны на доверчивых и невнимательных людей или тех, кто никогда не имел взаимоотношений с силовыми ведомствами:
- фотография удостоверения на столе ничего не доказывает — мы не видим лица автора съемки, оно может не совпадать с фото в документе,
- удостоверение предъявляют только при личном контакте, а не посылают через интернет,
- сотрудники «Доктор Веб» за несколько минут нашли в открытом доступе шаблоны подобных документов, куда с помощью ИИ можно вставить любое ФИО и фото. Получившиеся изображения неотличимы от подлинных фотографий.
Поскольку дозвониться через Телеграм не получилось, лжемайор предлагает продолжить общение в национальном мессенджере МАХ, который позиционируется как безопасный. Вот только он не может найти N в мессенджере и предлагает ей самой прислать приглашение для запуска чата. Но даже после этого у мошенника не получается дозвониться, так как у N стоит ограничение — звонки только от абонентов из списка контактов. Поэтому он предлагает N самостоятельно позвонить в чате. Эти манипуляции необходимы для создания иллюзии достоверности и укрепления атмосферы доверия, ведь слишком быстрый и простой контакт может навести на подозрения. В итоге связь была установлена и разговор продолжился в течение часа.
Этот небольшой, но важный эпизод показывает, что введенные не так давно ограничения средств связи не работают так, как было задумано. Злоумышленники используют социальную инженерию, чтобы заставить жертв звонить им самостоятельно — без разницы где. Не стоит вопрос безопасности и защищенности MAX или Телеграм, поскольку тот или другой мессенджер выступают просто в роли инструмента связи. Статистика утверждает, что количество мошеннических звонков снизилось — но взамен выросло их качество. Преступники перестали практиковать массовые обзвоны и сосредоточились на точечных операциях.
Мы не будем подробно пересказывать все перипетии беседы, остановимся на нескольких моментах, важных для понимания техники обмана. Прежде всего лжемайор пытался убедить N в подлинности своей личности. Он предложил зайти на официальный сайт Федеральной службы безопасности, перейти в раздел «Справочная информация», затем выбрать конкретный округ Москвы, посмотреть контактный номер подразделения и своими глазами убедиться, что контакт в Телеграме совпадает. Цифры действительно были те же, вот только в профиле контакта этот телефонный номер указан в строке «Имя». А в самом мессенджере MAX контакт мошенника зарегистрирован со скрытым номером.
Этап 3. Эскалация и прессинг
Лжемайор настаивал и даже требовал соблюдения строгой конфиденциальности во время беседы и после нее. Он несколько раз заострил внимание, что собеседница должна находиться в комнате одна и никто не имеет права помешать разговору — даже члены семьи. Для большего эффекта были названы имена домочадцев N. Далее по ходу разговора притворяющийся майором несколько раз переспрашивал, одна ли N в комнате, и подчеркивал необходимость соблюдения строжайшей секретности.
По мере развития беседы раскручивалась мошенническая легенда, параллельно с усилением напряжения. Злоумышленник подтвердил слова первого звонившего о том, что произошла утечка персональных данных и силовое ведомство подозревает кого-то из руководителей компании или HR-специалистов. Росфинмониторингом была пресечена попытка крупного денежного перевода от лица N на нужды ВСУ. Приведем небольшой отрывок, чтобы продемонстрировать отработку возражений:
N: Простите, но тут какая-то ошибка. Я не держу такие большие суммы на счетах, поэтому их просто физически невозможно перевести куда-либо.
Лжемайор: Попытка перевода могла быть совершена и с кредитного счета, не обязательно депозит.
N: Возможно, но я специально для таких случаев оформила самозапрет на оформление кредитов.
Лжемайор: К сожалению, самозапрет на дает 100% гарантии. Некоторые нечистоплотные сотрудники коммерческих банков могут игнорировать предписания ради собственной выгоды. Учтите, если мы зафиксируем очередную попытку перевода, вы будете главной подозреваемой. Придется возбуждать дело и разбираться.
Наша сотрудница была готова к подобному повороту событий, но, как правило, такого рода обвинения производят ошеломляющий эффект. Речь идет не о рядовой краже — об измене Родине. Для людей пожилого возраста это чудовищное преступление. После таких слов сложно сохранить присутствие духа, рассуждать логично, сосредоточиться на несостыковках. Ситуацию усугубляет осознание того, что жертве предъявляют обвинения, которые практически невозможно опровергнуть: кто-то где-то на стороне воспользовался персональными данными, но главный подозреваемый — вы!
Для усиления психологического давления, лжемайор присылал изображения разных документов: письмо из Росфинмониторинга в ФСБ с просьбой об инициировании расследования и повестка о вызове в качестве подозреваемого. Наши юристы внимательно изучили их и выделили детали, указывающие на фальшивое происхождение. Мы приводим только некоторые из них, так как детальный публичный разбор ошибок в фальшивых документах потенциально вооружает преступников:
- повестки не направляются через мессенджеры, об этом неоднократно заявляли представители правоохранительных органов;
- текст повестки краток и не содержит разъясняющих и угрожающих формулировок;
- согласно ст. 188 УПК РФ «Порядок вызова на допрос» повесткой на допрос может быть вызван только свидетель или потерпевший. Подозреваемого задерживают, согласно ст. 92 УПК РФ «Порядок задержания подозреваемого». Такой документ, как «Повестка о вызове подозреваемого на допрос» не может существовать согласно юридическим нормам.
Люди не в состоянии обращать внимание на подобные нюансы, оказавшись под давлением.
Этап 4. Кульминация комбинации
Переходим к главному пункту мошенничества, ради которого затевалась комбинация. Лжемайор перечислил N банки, где находятся ее счета: Сбер, Альфа, Озон и ОТП-банк. Последний — некая венгерская кредитная организация, через которую будто бы совершаются переводы на Украину. Заботливый лжемайор высказал пожелание предотвратить возможное преступление и защитить N от карающей длани Фемиды. Для этого он передаст заявку в ЦБ, откуда с потенциальной жертвой свяжется сотрудник и поможет «все правильно сделать» (предположительно, перевести деньги на безопасный счет).
К этому моменту N уже определила основные черты схемы и решила прервать общение. Но злоумышленник не хотел отпускать добычу. Прикрываясь статьей 205.6 УК РФ «Несообщение о преступлении», он заявил, что ему бы очень не хотелось, чтобы N потом пыталась связаться с ним, обрывая его телефон с просьбой помочь. Но поскольку N отказалась от сотрудничества, лжемайор уведомил, что вынужден обратиться к регулятору для блокировки счетов и наложения ареста на имущество, в том числе ближайших родственников, а далее прислать повестку. На этом общение с лжемайором завершилось.
Этап 5. Провоцирование повторного контакта
Поскольку мошенники не добились своей главной цели, они попытались спровоцировать N саму связаться с ними. Буквально через несколько минут героине позвонили из Сбера и попросили подтвердить подачу заявки на блокировку карты. После отрицательного ответа карта заблокирована не была.
В свою очередь, Альфа-банк прислал несколько СМС о блокировке каждой из карт. Для решения проблемы N пришлось позвонить на горячую линию и сделать запрос об отмене. Как оказалось, одна из соучастниц мошенничества ранее также позвонила на горячую линию и представилась N. Назвав полностью ФИО, а также дату рождения, преступница попросила заблокировать карты. Для сотрудника банка этих данных оказалось достаточно.
Выводы
Инцидент не стал удачным для мошенников благодаря принятым предупредительным мерам в «Доктор Веб». Атаки активно происходили в течение всего 2025 года, поэтому все сотрудники компании были неоднократно проинструктированы и имели четкие внутренние регламенты, как действовать в подобных случаях.
Сотрудница N, будучи опытным и высококвалифицированным специалистом, провела диалог с мошенниками не спонтанно, а осознанно и хладнокровно, следуя внутренним инструкциям. Именно они не позволили эмоциям взять верх над логикой и вниманием к деталям. Контакт помог собрать ценную информацию без какого-либо риска или ущерба, превратив потенциальную угрозу в детальный разбор мошеннической схемы.
Таким образом, устойчивость к мошенничеству строится на:
- четких корпоративных правилах, дающих сотрудникам однозначный алгоритм действий,
- постоянном обучении и регулярном повышении осведомленности, превращающих каждого сотрудника в осознанного участника системы безопасности.
Именно подобный комплексный и системный подход, в отличие от технических блокировок, создает настоящий щит, способный противостоять социальной инженерии, и вселяет в сотрудников уверенность в своей правоте. Мы хотим обратить особое внимание руководителей организаций, что именно от их активной роли зависит, насколько весь коллектив будет готов к подобным атакам и манипуляциям.