Где нас обманывают?

Глава 15. QR-фишинг: скрытая ссылка в физическом или цифровом коде

Определение

QR-фишинг — это использование QR-кода для перевода человека на скрытую ссылку, форму оплаты, страницу входа, приложение или инструкцию, где реальный адрес не виден до сканирования.

История возникновения

QR-коды стали привычными для меню, парковок, платежей, билетов, объявлений, доставок и авторизации. Это создало канал, где проверка ссылки затруднена: человек видит квадратный код, но не видит адрес.

Психологический механизм

QR-код переносит доверие с места размещения на содержимое ссылки. Если код наклеен на терминал, стол, объявление или документ, человек предполагает, что он относится к реальному объекту.

Нейробиологическая основа

Физический контекст создаёт ощущение легитимности. Сканирование кажется техническим действием, а не решением перейти на неизвестный ресурс.

Где применяется

Кафе, парковки, подъезды, объявления, документы, презентации, письма, платежи, билеты, Wi-Fi-доступ, анкеты и акции.

Почему работает

Потому что адрес скрыт до момента сканирования, а доверие часто переносится с окружающей среды на код.

Пошаговая схема

- Распознать канал контакта и отделить его от реального источника.

- Определить целевое действие: данные, деньги, код, файл, доступ, подпись или переход.

- Проверить, есть ли срочность, секретность, запрет проверки или эмоциональное давление.

- Сравнить запрос с обычным регламентом, прежней историей отношений и независимыми данными.

- При риске остановить действие и перейти к проверке через известный официальный канал.

Признаки применения

- QR наклеен поверх другого кода

- код ведёт на сокращённую или странную ссылку

- после сканирования просят карту, логин или код

- нет альтернативного официального способа

- код связан с оплатой или доступом

Красные флаги

Красные флаги: физическая наклейка без признаков организации, ссылка не похожа на официальный домен, запрос платежа или логина, срочная скидка или штраф, отсутствие проверки через приложение.

Защита

После сканирования смотреть домен до ввода данных. Для оплаты и входа использовать официальное приложение или ручной переход на сайт. Не вводить карты и коды на странице, открытой из неизвестного QR.

Ограничения метода

QR-коды сами по себе нейтральны. Риск возникает, когда они скрывают адрес и обходят привычную проверку ссылки.

Практические примеры

- На парковочном автомате наклеен QR, ведущий на фальшивую оплату.

- В письме “от IT” QR ведёт на страницу входа в корпоративный аккаунт.

Кейсы

- Посетитель кафе сканирует QR-меню и видит просьбу зарегистрироваться картой.

- Жилец сканирует объявление об оплате коммунальной услуги по QR.

Упражнения

- Возьмите пример сообщения и выпишите: источник, предлог, эмоцию, действие, канал проверки.

- Сформулируйте ответ, который не спорит, но переносит решение в независимую проверку.

Контрольные вопросы

- Какое действие хотят получить?

- Почему действие нужно выполнить именно сейчас?

- Каким независимым каналом можно проверить запрос?

Вывод

QR-фишинг опасен скрытием адреса. Защита — считать сканирование началом проверки, а не доказательством подлинности.

Глава 16. Business Email Compromise: деловая переписка и подмена финансового решения

Определение

Business Email Compromise, или BEC, — это сценарий деловой социальной инженерии, где через поддельную или скомпрометированную переписку инициируют перевод, изменение реквизитов, покупку, выдачу данных или обход финансового регламента.

История возникновения

BEC стал особенно опасным из-за цифровизации документооборота, удалённой работы, сложных цепочек поставщиков и привычки согласовывать платежи по email и мессенджерам.

Психологический механизм

Сценарий использует деловой контекст, авторитет должности, знакомые имена, реальный проект и давление сроком. Цель — заставить сотрудника выполнить действие как часть обычного процесса, но с изменёнными реквизитами или нарушенным контролем.

Нейробиологическая основа

Рабочая роль усиливает автоматическое следование процедуре и авторитету. Давление дедлайна и страх сорвать задачу уменьшают вероятность поднять вопрос о проверке.

Где применяется

Бухгалтерия, закупки, продажи, недвижимость, юридические сделки, подрядчики, фриланс, HR, зарплатные данные, счета и реквизиты поставщиков.

Почему работает

Потому что запрос выглядит не как “мошенничество”, а как рабочая задача от начальника, партнёра или поставщика.

Пошаговая схема

- Распознать канал контакта и отделить его от реального источника.

- Определить целевое действие: данные, деньги, код, файл, доступ, подпись или переход.

- Проверить, есть ли срочность, секретность, запрет проверки или эмоциональное давление.

- Сравнить запрос с обычным регламентом, прежней историей отношений и независимыми данными.

- При риске остановить действие и перейти к проверке через известный официальный канал.

Признаки применения

- появились новые реквизиты

- платёж стал срочным

- просят сохранить конфиденциальность

- руководитель якобы недоступен

- коммуникация идёт с похожего адреса или через новый канал

Красные флаги

Красные флаги: изменение реквизитов по email, срочный перевод без стандартного согласования, секретность, обход второго подтверждения, давление должностью, невозможность проверить старым каналом.

Защита

Любые изменения реквизитов подтверждать через старый известный канал, а крупные платежи — через двухконтурное согласование. Не использовать телефоны и ссылки из подозрительного сообщения.

Ограничения метода

BEC может использовать реальные взломанные ящики; поэтому даже настоящий адрес не отменяет регламент финансовой проверки.

Практические примеры

- “Поставщик” присылает письмо о смене банковских реквизитов.

- “Директор” просит срочно оплатить счёт и никому не говорить до вечера.

Кейсы

- Бухгалтер получил письмо из существующей цепочки с новым счётом.

- Менеджер по закупкам получил срочную просьбу изменить платёжные данные подрядчика.

Упражнения

- Возьмите пример сообщения и выпишите: источник, предлог, эмоцию, действие, канал проверки.

- Сформулируйте ответ, который не спорит, но переносит решение в независимую проверку.

Контрольные вопросы

- Какое действие хотят получить?

- Почему действие нужно выполнить именно сейчас?

- Каким независимым каналом можно проверить запрос?

Вывод

BEC ломает не внимание, а процесс. Поэтому защита должна быть не индивидуальной догадкой, а обязательным финансовым регламентом проверки.

Блок кейсов раздела 2

- Кейс 1. Пользователь получил письмо “ваш аккаунт заблокирован” и перешёл по ссылке. Разбор: источник имитирует сервис, эмоция — тревога, действие — вход, защита — открыть сервис вручную.

- Кейс 2. Бухгалтер получил счёт от знакомого поставщика, но реквизиты изменились. Разбор: риск BEC, защита — подтверждение по старому известному телефону и второй подписью.

- Кейс 3. SMS о задержке посылки просит оплатить 79 рублей. Разбор: малый платёж снижает критичность, защита — проверка в приложении доставки.

- Кейс 4. Звонящий из “банка” требует не класть трубку. Разбор: контроль канала, защита — завершить звонок и перезвонить по номеру с карты.

- Кейс 5. “Друг” в мессенджере просит срочно занять деньги и не может говорить. Разбор: проверка личности через голосовой звонок или другой канал.

- Кейс 6. Покупатель на площадке отправляет ссылку “получить оплату”. Разбор: уход с платформы, защита — не вводить карту для получения денег.

- Кейс 7. QR-код на парковке ведёт на сайт с похожим доменом. Разбор: физический контекст не доказывает подлинность, защита — официальное приложение парковки.

- Кейс 8. HR-претендент получает форму с просьбой загрузить паспорт до интервью. Разбор: персонализированный контекст, защита — проверить домен и канал работодателя.

- Кейс 9. В рабочую переписку приходит “обновлённый договор” с макросами. Разбор: вложение без проверки, защита — спросить отправителя старым каналом.

- Кейс 10. Руководитель якобы просит купить подарочные карты “для клиентов”. Разбор: давление авторитетом и секретностью, защита — финансовый регламент.

- Кейс 11. SMS о штрафе содержит короткую ссылку. Разбор: штраф проверяется только через официальный сервис или приложение.

- Кейс 12. Голосовой бот сообщает о “подозрительной операции” и переводит на оператора. Разбор: автоматизация доверия, защита — не продолжать сценарий.

- Кейс 13. Письмо с QR-кодом для “обновления пароля” обходит видимую ссылку. Разбор: скрытие адреса, защита — портал открыть вручную.

- Кейс 14. В соцсети появляется копия профиля родственника. Разбор: похожий аватар не равен личности, защита — проверка по старому контакту.

- Кейс 15. Поставщик просит срочно оплатить новый счёт до закрытия банка. Разбор: дедлайн и изменение реквизитов, защита — пауза и подтверждение.

- Кейс 16. Мошенник в чате аренды присылает ссылку на “безопасную бронь”. Разбор: поддельная платёжная страница, защита — платить только внутри платформы.

- Кейс 17. Поддержка сервиса просит код из SMS “для отмены операции”. Разбор: код является доступом, защита — никому не сообщать.

- Кейс 18. В письме есть имя реального клиента и ссылка на “файл проекта”. Разбор: spear phishing, защита — проверять действие, а не только детали.

- Кейс 19. QR на объявлении в подъезде обещает перерасчёт платежей. Разбор: скрытая ссылка и финансовый мотив, защита — официальный сайт управляющей организации.

- Кейс 20. Сотрудник получает письмо от “IT” с просьбой срочно подтвердить MFA. Разбор: имитация внутренней службы, защита — тикет или контакт через корпоративный портал.

Блок упражнений раздела 2

- Разберите любое входящее письмо по схеме: канал, источник, предлог, эмоция, действие, независимая проверка.

- Составьте личный список сервисов, в которые вы никогда не входите по ссылкам из сообщений.

- Напишите три фразы для завершения подозрительного звонка без объяснений и спора.

- Потренируйтесь проверять домен: найдите отличия между похожими адресами и официальным доменом.

- Создайте правило для денежных просьб в мессенджерах: как именно вы проверяете личность.

- Опишите регламент проверки изменения реквизитов для бизнеса или личных платежей.

- Сделайте таблицу: какие данные нельзя сообщать по телефону, в SMS, в чате и на неизвестной странице.

- Разберите QR-код без ввода данных: что нужно проверить до любого платежа или авторизации.

- Сравните два сообщения: массовый фишинг и персонализированный spear phishing. Найдите общие элементы.

- Сформулируйте “стоп-правило”: при каких признаках вы прекращаете контакт сразу.

Блок самопроверки раздела 2

- Почему канал сообщения не доказывает подлинность источника?

- Чем phishing отличается от spear phishing?

- Почему SMS-ссылка особенно опасна при ожидании доставки?

- Какая главная защита при подозрительном звонке?

- Почему нельзя использовать номер телефона из подозрительного письма для проверки?

- Почему настоящий или взломанный email не отменяет финансовый регламент?

- Какие признаки указывают на BEC-сценарий?

- Что проверять перед вводом данных на странице входа?

- Почему HTTPS не является достаточным доказательством подлинности?

- Какая особенность QR-кода усложняет проверку?

- Как проверить просьбу о деньгах от знакомого в мессенджере?

- Почему срочность повышает риск ошибки?

- Что значит “проверять действие, а не только детали”?

- Какие данные нельзя сообщать по входящему звонку?

- Почему уход с торговой платформы в отдельный чат рискован?

- Что делать при просьбе изменить реквизиты поставщика?

- Какой независимый канал подходит для проверки банка?

- Что является целевым действием в фишинговом письме?

- Почему поддельные сайты часто выглядят убедительно?

- Как сформулировать безопасную паузу при любом подозрительном канале?

Чек-лист защиты по каналам

- Я не перехожу по ссылкам из входящих сообщений для входа в важные аккаунты.

- Я не сообщаю коды, пароли, seed-фразы, данные карты и удалённый доступ по телефону или в чате.

- Я проверяю денежные просьбы от знакомых вторым каналом.

- Я проверяю изменение реквизитов только через старый известный канал.

- Я не оплачиваю и не авторизуюсь на страницах, открытых из неизвестного QR-кода.

- Я не использую контактные данные из подозрительного сообщения для проверки этого же сообщения.

- Я прекращаю звонок, если мне запрещают положить трубку или проверить информацию.

- Я рассматриваю срочность как повод остановиться, а не ускориться.

- Я сохраняю финансовые решения в письменном регламенте и не меняю его под давлением.

- Я считаю красивый дизайн, логотип и знакомый стиль недостаточными доказательствами подлинности.

Защитные формулы раздела 2

- “Я не открываю ссылки из входящих сообщений. Проверю через приложение или официальный сайт”.

- “Я завершаю звонок и сам перезвоню по номеру из официального источника”.

- “Коды и пароли я никому не сообщаю, включая сотрудников банка и поддержки”.

- “Изменение реквизитов подтверждается только через прежний известный канал”.

- “Я не перехожу в сторонний чат и не оформляю оплату вне платформы”.

- “QR-код не является доказательством подлинности. Сначала проверю адрес”.

- “Если запрос срочный, он тем более требует проверки”.

- “Направьте запрос по официальному регламенту, после этого он будет рассмотрен”.

Дополнение к мини-глоссарию

Phishing: Фишинговое сообщение, имитирующее доверенный источник и ведущее к ссылке, вложению, форме или раскрытию данных.

Spear phishing: Персонализированный фишинг под конкретного человека, роль, проект или организацию.

Smishing: Социальная инженерия через SMS или короткие сообщения.

Vishing: Голосовая социальная инженерия через телефонный звонок, голосовое сообщение или звонок в мессенджере.

Поддельная форма входа: Страница, похожая на настоящий сервис, но собирающая учётные данные или коды.

QR-фишинг: Использование QR-кода для скрытого перехода на опасную ссылку или форму.

BEC: Business Email Compromise: деловой сценарий подмены платежа, реквизитов, поручения или доступа через переписку.

Независимый маршрут входа: Переход в сервис через приложение, закладку, официальный сайт или заранее известный адрес, а не через входящее сообщение.

Источники и опорные материалы

- CISA. Avoiding Social Engineering and Phishing Attacks: phishing is a form of social engineering; smishing uses SMS/text messages; attacks exploit trust, urgency and communication channels.

- CISA. Recognize and Report Phishing: recommends recognizing suspicious messages and reporting phishing rather than following unexpected links or requests.

- FTC Consumer Advice. How To Recognize and Avoid Phishing Scams: phishing messages may look like they come from known companies and ask users to click links, open attachments or provide personal information.

- FTC Consumer Advice. How to avoid a scam: scammers often pretend to be trusted organizations, create a problem or prize, pressure immediate action and demand a specific payment/action method.

- FBI. Business Email Compromise: verify payment and purchase requests in person if possible or by calling known contacts; verify changes in account information; be suspicious of secrecy and pressure to act quickly.

- NIST Phish Scale User Guide: a method to rate human phishing detection difficulty and analyze phishing cues in email-based social engineering.

- OCC. Phishing Attack Prevention: never provide personal information in response to unsolicited requests and do not trust appearance alone because fake pages can look legitimate.

Переход к разделу 3 Части I

Дальнейшая логика Части I переходит от каналов контакта к типовым мошенническим сценариям по жизненным ситуациям: банк, доставка, маркетплейс, аренда, работа, инвестиции, романтическая переписка, техподдержка, госуслуги и благотворительность. Важно показывать не только признаки, но и полный сценарный путь: вход, легенда, эмоция, целевое действие, точка разрыва и безопасная проверка.

Раздел 3. Типовые мошеннические сценарии по жизненным ситуациям