Уж сколько раз твердили миру — не называйте коды из СМС. Но мошенники бывают столь убедительны, а люди доверчивы, что нет-нет, да кто-то скажет незнакомому человеку пароль. Вопреки расхожему мнению, на удочку злоумышленников попадают не только пенсионеры, но и опытные финансисты. У мошенников есть главный ключ к нашим персональным данным и деньгам - дар убеждения. Когда приходит осознание того, что пароль попал к мошенникам, начинается паника - «что же я наделал и как мог». Что предпринять, если случайно сообщили код из СМС чужому человеку?
За примером далеко ходить не нужно. У «Выберу.ру» есть банковское приложение, с помощью которого можно подбирать выгодные займы и кредиты. Поскольку в приложении могут находиться личные данные, приложение защишено паролем. Пользователи нашего сервиса часто жалуются, что сообщили код, который пришёл в СМС незнакомому человеку, и просят совета, что делать.
В данной ситуации важно помнить:
1. Код — одна из ступеней двухфакторной аутентификации (безопасного входа). Так мы заходим на «Госуслуги»: чтобы попасть в личный кабинет, нужно ввести логин, пароль и одноразовый код, который приходит в СМС.
2. Код — одноразовый пароль для доступа на сайт или в сервис. Код нужен, чтобы сэкономить время и упросить доступ к сервису. По такому же принципу работают и другие сервисы — например, доставка еды.
Одноразовые коды для входа применяются для Сбер ID. С ним можно войти в любой сервис Сбербанка: Самокат, Окко, Звук, Сбермаркет.
Казалось бы, такой простой способ входа для огромной системы, где хранится много информации. Однако в Сбербанк Онлайн по разовому коду всё равно не получится войти, то есть основная финансовая информация защищена. К тому же, когда кто-то входит в сервис Сбера под вашим ID с нового IP-адреса, вам приходит оповещение на телефон.
3. Код — подтверждение операции. В этом случае код — электронная цифровая подпись, аналог личной подписи на договоре или ином документе. Если ввести этот код в требуемом месте, вы совершите операцию, которую сложно будет оспорить.
4. Код — подтверждение регистрации в приложении. Приложения, которые хранят личные данные, защищены постоянным паролем, который вы придумываете сами. Но для регистрации в приложении вам требуется дополнительный код, который приходит в СМС. Это и проверка номера телефона сервисом, и согласие с обработкой личных данных. Так, приложение «Выберу.ру» тоже высылает код авторизации для тех, кто устанавливает приложение и привязывает к нему номер телефона.
Есть и много других функций у кодов. Например, восстановление пароля на сайте или в приложении, подтверждение участия в какой-либо программе и т. д.
С какой бы целью вам ни пришёл код, вы должны понимать несколько вещей:
1.Если вы не запрашивали код, то он не должен был прийти.
2. Есть крайне редкие случаи, когда код действительно нужно где-то назвать. Это может быть пароль, по котрому вам выдают заказ в доставке, или подтверждение участия в программе лояльности магазина (его называют, чтобы продавец выдал бонусную карту). Код требуется, когда у вас в магазине списывают бонусы с карты лояльности. Внимание. Сбербанк присылает код, когда вы приходите в офис. Это подтверждение того, что обслуживание началось. Называть код не нужно. Вы его должны своей рукой ввести на планшет специалиста, к которому обратились. Банки, перед тем, как помочь решить ту или иную проблему по телефону, также просят кодовое слово. Это — пароль, который вы придумали при оформлении договора, но никак не код из СМС.
3. Сотрудники банков, техподдержка, полиция, Центробанк никогда не будут просить у вас код из СМС.
Выше мы рассказали, зачем различные организации и сервисы высылают коды в СМС. Если обобщить, то они нужны ради безопасности, чтобы усложить доступ к важной информации.
Но мошенники с помощью социальной инженерии (звонки с целью убедить жертву назвать данные или совершить какое-то действие) выманивают коды, которые приходят в сообщении. Например, одна из таких популярных у мошенников легенд: «Я представитель банка. Мы видим, что кто-то пытается взять от вашего имени кредит. Это вы? Если нет, назовите код из СМС и мы заблокируем оформление кредита».
Далее человеку действительно приходит код. Если его назвать, то, вероятнее всего, от вашего имени совершат какое-то действие. В лучшем случае — закажут пиццу, оплатив привязанной картой. В худшем — оформят кредит или выведут деньги со счетов. Всё зависит от того, куда мошенники пытаются попасть от вашего имени и какое действие совершить. Вариантов множество.
Какими способами можно оформить кредит и какие из них самые рискованные:
1. Лично в кредитной организации. Поскольку для этого нужен паспорт, личное присутствие, живая подпись на договоре, фотография для базы кредитной организации, то мошенники редко идут на риск, даже заполучив паспорт или данные жертвы.
2. Онлайн на сайте банка. Если вы не являетесь клиентом банка, то доступа к личному кабинету у вас не будет. Максимум, что вам доступно, — подать заявку, заполнив все личные данные: паспорт, второй документ, место работы, телефоны и т. д. Их можно «подтянуть» с «Госуслуг». Однако если вам одобрят заявку, то большинство банков требуют личного присутствия для подписания договора.
3. Онлайн на сайте МФО. Система, как в банке. Новый клиент, не имея личного кабинета, должен ввести данные. Но заём выдаётся без личного присутствия. Договор подписывается кодом из СМС. Может потребоваться фото паспорта, личное фото или авторизация через «Госуслуги».
4. Онлайн в приложении банка или МФО. Если вы уже являетесь клиентом кредитной организации, то все сведенья о вас уже есть, поэтому никуда ходить не нужно — деньги вам выдадут онлайн. Договор подписывается кодом из СМС.
5. Приложения специальных сервисов по подбору займов и кредитов. Например, к таким приложениям относится «Выберу.ру». Фактически приложение не выдаёт кредиты, поскольку не относится ни к банкам, ни к МФО. Функция приложения — информировать пользователей о выгодных финансовых продуктах с учётом их требований. Кредиты всё-таки выдают банки и МФО. То есть вы заполняете анкету, приложение подбирает варианты, которые подходят по заданным вами параметрам. Вы выбираете банк, и остальное оформление проходит уже на сайте банка. Если есть только одно приложение, взять кредит невозможно. Нужны другие данные.
Наиболее рисковые ситуации:
Теоретически и то, и другое возможно. Например, через функцию восстановления пароля. Посмотрим на примере «Госуслуг».
Логином к «Госуслугам» может быть номер телефона, электронная почта или СНИЛС. Номер телефона и e-mail найти несложно — мы их оставляем как контактные данные. Со СНИЛС сложнее. Обычно мы его нигде не выкладываем. То есть логин в виде СНИЛС самый безопасный.
Но, допустим, мошенник раздобыл его. Дальше понадобится постоянный пароль, который должны помнить только вы.
Пароль можно восстановить. Для этого нужен документ: СНИЛС, ИНН, паспорт. Как помним, СНИЛС у мошенника уже имеется, то есть проблем с восстановлением пароля не возникнет.
Чтобы завершить восстановление пароля, нужно указать, куда выслать код подтверждения: на почту или на телефон.
Выбираете способ, получаете, код, придумываете новый. Всё.
То есть мошенникам нужно не так уж и много:
Если даже вы потеряли СНИЛС, но ни в какую не называете код из СМС, то «Госуслуги» не взломают.
Если мошенники получили доступ к «Госуслугам», то у них есть:
То есть всё, что может потребоваться для оформления кредита. Теоретически с доступом к «Госуслугам» мошенник может взять на ваше имя кредит.
Повторимся, что «Выберу.ру» не даёт кредиты, а лишь оказывает услуги по информированию и подбору выгодных кредитных продуктов. Заявка формируется на сайте банка, банк же её рассматривает.
Да, взять кредит по одному только коду можно, если у мошенника уже есть доступ к вашему личному кабинету в банке, где заполнены все личные данные.
Вспомним функции кодов при оформлении кредита:
Чтобы сформировать заявку, мошеннику нужны ваши личные данные. Минимум — серия и номер паспорта, кем и когда он выдан.
Если эти сведения уже есть, то достаточно одного кода. Например, злоумышленник взломал ваш личный кабинет в банке. Там уже есть все нужные данные. Достаточно подписать договор кодом и всё.
Так же и со взломанными «Госуслугами». Если все сведенья в заявку подтянутся оттуда, то нужен только код для подписания договора.
Первым делом выясните, какой код вы сообщили: для входа в приложение, для восстановления пароля или уже подписываете договор. Также выясните, с каким сервисом или банком вы имеете дело.
Обычно в сообщении есть вся нужная информация. Имя отправителя совпадает с названием сервиса или повторяет телефон горячей линии этой компании.
В тексте СМС пишут, для чего высылают код — восстановление доступа, согласие с чем-либо и т. д. Если вам пишут просто «код», то, вероятнее всего, это разовый пароль для входа на сайт.
Как только вы выяснили, куда мошенники пытаются попасть от вашего имени, действуйте на опережение.
Если на вас уже оформили кредит, то нужно писать заявление в полицию.
Закон о самозапрете на кредиты будет действовать с 1 марта 2025 года. С этого момента через «Госуслуги» можно будет оформить запрет на выдачу кредитов на своё имя.
Данные об этом будут отображаться в БКИ. Каждый банк, видя, что у человека есть самозапрет, откажет в кредите автоматически. Это обезопасит человека от всех попыток взять на своё имя кредит.
Сейчас самозапрет не действует. Можно лишь установить в каждом банке запрет на проведение онлайн-операций. Это долго и хлопотно — все банки страны не обойдёшь. Если опасаетесь, то установите запрет на кредитование в крупных банках: Сбербанк, ВТБ, Альфа-банк.