Полная версия
Где нас обманывают?
Психологический механизм
Клик сам по себе вызывает тревогу: человек хочет быстро “откатить” действие. На этом фоне легко совершить вторую ошибку: ввести пароль, скачать “антивирус”, позвонить по номеру с той же страницы.
Нейробиологическая основа
Тревожное возбуждение усиливает проверку ближайших визуальных сигналов, но снижает критичность к происхождению страницы. Поэтому нужно не оценивать сайт на глаз, а прекратить взаимодействие с ним.
Где применяется
Применяется после перехода по ссылке из письма, SMS, мессенджера, QR-кода, рекламы, комментария, объявления или документа.
Почему работает
Основной ущерб часто возникает не от самого открытия, а от последующих действий: ввода логина, скачивания файла, разрешения push, установки приложения, оплаты, авторизации через QR.
Пошаговая схема
Закрыть вкладку или приложение.
Не вводить данные, если форма ещё открыта.
Не скачивать и не запускать файлы со страницы.
Проверить, не были ли вы автоматически авторизованы или перенаправлены.
Открыть нужный сервис вручную через приложение или сохранённую закладку.
Если данные уже введены — перейти к протоколу смены пароля и сессий.
Если файл скачан или запущен — перейти к протоколу устройства.
Признаки применения
- Страница просит повторный вход в знакомый сервис.
- Адрес похож на настоящий, но содержит лишние символы, поддомен или странную зону.
- Есть таймер, угроза блокировки, “проверка безопасности”.
- Сайт требует карту, код, документ или установку приложения.
- Появляются всплывающие уведомления о заражении или блокировке.
Красные флаги
- “Ваш аккаунт будет удалён через 10 минут”.
- “Для получения посылки оплатите 1 рубль/1 евро”.
- “Войдите через банк, чтобы подтвердить личность”.
- “Скачайте защищённый просмотрщик документа”.
- “Разрешите уведомления для завершения проверки”.
Защита
- Не оценивать сайт по логотипу и дизайну.
- Проверять сервис через официальный app/site, открытый вручную.
- Удалить подозрительные загрузки, если они не запускались.
- Если запуск был — не вводить больше пароли на этом устройстве до проверки.
- Сообщить о фишинге в доступный канал платформы/почты/организации.
Ограничения метода
Клик не всегда означает заражение или потерю данных. Но если после клика были ввод данных, загрузка, запуск файла, установка профиля или предоставление разрешений, риск становится существенно выше.
Практические примеры
Пример 1. Человек кликнул по SMS “доставка не оплачена”, но ничего не ввёл. Достаточно закрыть страницу, не платить и проверить заказ через приложение доставки.
Пример 2. Человек кликнул и ввёл пароль от почты. Это уже не просто клик: нужно менять пароль, выходить из сессий и проверять правила пересылки.
Кейсы
Кейс. Пользователь сканирует QR-код на “парковке” и вводит карту. Потом понимает, что адрес странный. Нужен не спор с сайтом, а связь с банком и блокировка/перевыпуск карты по ситуации.
Кейс. Сотрудник открыл ссылку на “счёт поставщика”, скачал архив, но не запускал. Файл нужно передать IT/безопасности, не открывать повторно и проверить письмо в отдельном канале.
Упражнения
Разберите три фишинговые ссылки: что в них имитирует официальный ресурс?
Составьте правило: что делать при QR-коде, который ведёт к оплате.
Контрольные вопросы
- Чем клик отличается от ввода данных?
- Почему нельзя звонить по номеру со страницы, куда привела подозрительная ссылка?
- Что делать, если файл скачан, но не открыт?
Вывод
После клика важно не драматизировать и не успокаиваться преждевременно. Нужно точно установить, было ли второе действие: ввод, оплата, установка, запуск или авторизация.
Глава 35. Компрометация пароля: восстановление контроля над аккаунтом
Определение
Компрометация пароля — ситуация, когда пароль введён на подозрительной странице, назван в переписке, сохранён на скомпрометированном устройстве или совпадает с паролем от другого уже раскрытого сервиса.
История возникновения
Фишинг паролей стал массовым с развитием веб-почты и онлайн-банкинга. Сейчас пароль редко является единственной целью: после входа злоумышленник меняет способы восстановления, добавляет свои устройства, создаёт правила пересылки и атакует контакты жертвы.
Психологический механизм
Люди часто меняют только пароль и считают проблему закрытой. Но если активные сессии, токены, резервные email, телефон и правила пересылки остались под контролем злоумышленника, новый пароль не гарантирует восстановление контроля.
Нейробиологическая основа
После угрозы человек стремится к одному простому действию, которое символически “закрывает” проблему. Протокол заставляет пройти несколько проверок, чтобы не оставить невидимый хвост доступа.
Где применяется
Применяется к почте, мессенджерам, соцсетям, банку, маркетплейсам, облакам, корпоративным системам, хостингу, рекламным кабинетам и аккаунтам с платежами.
Почему работает
Аккаунт — это не только пароль. Это сессии, устройства, recovery-каналы, токены приложений, OAuth-доступы, правила пересылки, API-ключи и привязанные платежи.
Пошаговая схема
Открыть сервис вручную через официальный адрес или приложение.
Если возможно, менять пароль с чистого устройства.
Установить уникальный длинный пароль, не использованный нигде ещё.
Выйти из всех активных сессий и устройств.
Проверить email/телефон восстановления.
Включить или пересобрать MFA; предпочитать phishing-resistant варианты там, где доступны.
Проверить правила пересылки, подключённые приложения, платежи и последние действия.
Предупредить контакты, если аккаунт мог рассылать сообщения от вашего имени.
Признаки применения
- В аккаунте появились неизвестные устройства.
- Приходят уведомления о входе, которых вы не совершали.
- Пароль внезапно перестал подходить.
- Появились правила пересылки почты или неизвестные recovery-контакты.
- Контакты получают от вас странные сообщения.
Красные флаги
- “Для отмены входа назовите код”.
- “Подтвердите push, чтобы заблокировать мошенника”.
- “Введите старый и новый пароль по ссылке”.
- “Отправьте резервный код поддержки”.
- “Служба безопасности сама настроит защиту через удалённый доступ”.
Защита
- Пароль менять только через официальный путь.
- Сначала защищать почту, потому что через неё восстанавливаются другие сервисы.
- Не использовать один пароль повторно.
- После смены пароля всегда отзывать сессии.
- Проверять recovery-каналы и пересылку, а не только сам пароль.
Ограничения метода
Если устройство заражено или удалённый доступ ещё активен, смена пароля с этого же устройства может передать новый пароль атакующему. В таком случае сначала изолируется устройство, затем аккаунты восстанавливаются с чистого канала.
Практические примеры
Пример 1. Пользователь ввёл пароль от почты на фейковой странице. После смены пароля он обязан проверить пересылку, фильтры, сессии и recovery-адреса.
Пример 2. Пароль от маркетплейса совпадал с паролем от почты. Менять нужно оба, начиная с почты.
Кейсы
Кейс. Аккаунт соцсети восстановлен, но мошенники снова входят через старую активную сессию. Решение — принудительный выход со всех устройств и пересборка MFA.
Кейс. После взлома почты “исчезают” письма банка. Обнаруживается правило автопересылки и удаления. Нужно удалить правило, сменить пароль и проверить связанные сервисы.
Упражнения
Составьте карту своих критических аккаунтов: почта, банк, телефон, облако, мессенджер.
Для каждого критического аккаунта запишите, где смотреть активные сессии и recovery-каналы.
Контрольные вопросы
- Почему смена пароля без выхода из сессий недостаточна?
- Почему почта важнее большинства других аккаунтов?
- Что такое recovery-канал и почему его нужно проверять?
Вывод
Восстановление аккаунта — это не “сменить пароль”, а вернуть полный контроль над всеми путями входа и восстановления.
Глава 36. Код, push, MFA и резервные ключи: что делать после передачи второго фактора
Определение
Передача второго фактора — это ситуация, когда человек назвал SMS/OTP-код, подтвердил push-вход, передал резервный код, QR для входа, ссылку восстановления или иным образом помог злоумышленнику обойти защиту.
История возникновения
По мере распространения MFA атакующие стали обходить не саму криптографию, а человека: просьбами “подтвердить отмену”, MFA fatigue, звонками от псевдо-IT и fake-helpdesk сценариями.
Психологический механизм
Код воспринимается как временная цифра, а не как ключ. Push воспринимается как “кнопка подтверждения”, хотя фактически может означать вход, перевод, смену пароля или привязку устройства.
Нейробиологическая основа
Под срочностью человек реагирует на формулировку источника, а не на смысл действия. Если ему говорят “подтвердите блокировку”, он может не заметить, что реально подтверждает вход.
Где применяется
Применяется к банкам, почте, мессенджерам, гос- и корпоративным системам, облакам, криптокошелькам, рекламным кабинетам и сервисам, где есть второй фактор.
Почему работает
Второй фактор часто является последней границей перед захватом аккаунта, сменой recovery-данных или финансовым действием.
Пошаговая схема
Считать передачу кода или push-подтверждение высоким риском.
Войти в сервис через официальный канал.
Проверить последние входы, устройства, операции и изменения настроек.
Выйти из всех сессий.
Сменить пароль и пересобрать MFA.
Отозвать резервные коды и создать новые, если сервис это позволяет.
Проверить recovery-email, телефон, подключённые приложения и доверенные устройства.
Связаться с поддержкой или банком, если были операции или блокировка доступа.
Признаки применения
- Приходит код, который вы не запрашивали.
- Push просит подтвердить действие без вашей инициативы.
- Звонящий объясняет код как “код отмены”.
- После подтверждения меняются настройки аккаунта.
- Появляется новый телефон, email или устройство восстановления.
Красные флаги
- “Назовите код, чтобы отменить списание”.
- “Нажмите Да, чтобы заблокировать мошенника”.
- “Это не код входа, а код проверки личности”.
- “Отправьте резервные коды для синхронизации”.
- “Сфотографируйте QR-код входа”.
Защита
- Относиться к коду, push и резервному коду как к ключу доступа.
- Никогда не передавать коды входа, восстановления и подтверждения операции.
- Использовать phishing-resistant MFA там, где доступно: аппаратные ключи, passkeys/FIDO/WebAuthn.
- Отключать старые доверенные устройства после инцидента.
- Не подтверждать push, если вход или операция не инициированы вами.
Ограничения метода
Не все MFA одинаковы. SMS и push легче обойти через социальную инженерию, чем phishing-resistant методы. Но даже сильная MFA не защищает от добровольной передачи восстановительных кодов или удалённого доступа к устройству.
Практические примеры
Пример 1. Человек назвал код “банку”, затем увидел новый вход в почту. Нужно проверять не только банк, но и почту, потому что код мог относиться к восстановлению почты.
Пример 2. Сотрудник подтвердил push ночью, думая, что это ошибка. Утром нужно считать аккаунт потенциально скомпрометированным и обращаться в IT/безопасность.
Кейсы
Кейс. Злоумышленник звонит как “служба безопасности” и просит подтвердить push “для блокировки операции”. На самом деле это вход. Постинцидентный порядок: выход из сессий, смена пароля, пересборка MFA, проверка операций.
Кейс. Пользователь отправил резервные коды “поддержке”. Даже если пароль сменён, старые резервные коды нужно отозвать.
Упражнения
Запишите пять формулировок, которыми мошенник может переименовать код входа в “код отмены”.
Проверьте, какие сервисы у вас поддерживают passkeys или аппаратные ключи.
Контрольные вопросы
- Почему код нельзя объяснять словами звонящего?
- Что делать после случайного push-подтверждения?
- Почему резервные коды нужно хранить как пароль?
Вывод
Второй фактор — это не формальность и не “цифры из SMS”. Это действие доступа. Если оно передано, нужно восстанавливать контроль так, будто пароль уже известен злоумышленнику.
Глава 37. Финансовое действие уже совершено: банк, платёж, карта, криптовалюта, gift card
Определение
Финансовый постинцидентный протокол — это порядок немедленного ограничения ущерба после перевода денег, раскрытия карты, оплаты по ссылке, покупки gift card, криптоперевода или изменения реквизитов.
История возникновения
Финансовые мошеннические сценарии развивались от простых переводов к сложным схемам: BEC, fake invoice, investment scam, romance scam, recovery-scam, криптовалютные депозиты, gift-card payments и “безопасные счета”.
Психологический механизм
После перевода человек часто испытывает стыд и избегает обращения за помощью. Это теряет время. В платежных инцидентах время является одним из ключевых ресурсов: чем раньше банк или платёжный провайдер получил сигнал, тем выше шанс остановки или трассировки.
Нейробиологическая основа
Стресс после финансовой потери усиливает туннельное мышление и стремление вернуть всё немедленно. Именно на этом строятся повторные “юристы”, “агенты возврата” и “службы разблокировки”.
Где применяется
Применяется после банковского перевода, карточной оплаты, перевода по реквизитам, СБП/быстрого платежа, криптовалюты, подарочных карт, предоплат, комиссий, fake invoice и BEC.
Почему работает
Финансовое действие часто становится необратимым или труднообратимым. Но задержка делает ситуацию хуже: нужно немедленно подключать официальный платёжный контур.
Пошаговая схема
Прекратить контакт с инициатором платежа.
Связаться с банком/платёжным сервисом по официальному номеру или через приложение.
Сообщить: сумма, время, получатель, реквизиты, карта, ссылка, назначение, канал контакта.
Попросить блокировку карты/счёта/операции или процедуру оспаривания, если применимо.
Если это BEC или перевод на реквизиты — запросить, чтобы ваш банк связался с банком-получателем.
Сохранить доказательства: чеки, переписку, номера, ссылки, реквизиты, скриншоты, файлы.
Подать официальный отчёт/заявление в релевантный канал.
Отклонять любые “возвраты за комиссию”.
Признаки применения
- Вам предлагают перевести деньги на “безопасный счёт”.
- Просят оплатить налог/комиссию/депозит для вывода средств.
- Просят купить gift card и назвать код.
- Просят криптовалюту, потому что “так быстрее”.
- Реквизиты поставщика изменились по email без независимого подтверждения.
Красные флаги
- “Банк сам всё вернёт, если оплатите страховой сбор”.
- “Для отмены перевода нужен обратный платёж”.
- “Деньги уже почти разблокированы, не останавливайтесь”.
- “Полиция/юрист/регулятор вернёт крипту за аванс”.
- “Не звоните в банк, операция сорвётся”.
Защита
- Звонить в банк немедленно, даже если стыдно.
- Не платить новые деньги для возврата старых.
- Не использовать контакты из подозрительной переписки.
- Фиксировать реквизиты и доказательства до блокировки/удаления чатов.
- При BEC и реквизитах подключать банк быстро и официально.
Ограничения метода
Не все платежи можно вернуть. Криптовалюта, подарочные карты и переводы частным лицам часто имеют низкую обратимость. Но официальная фиксация всё равно важна для блокировок, расследования, страховых/банковских процедур и предотвращения повторной эксплуатации.
Практические примеры
Пример 1. После оплаты “доставки” картой появились новые списания. Действия: банк, блокировка/перевыпуск карты, оспаривание, проверка подписок.
Пример 2. Компания оплатила счёт с изменёнными реквизитами. Действия: немедленно банк, банк-получатель, внутренний инцидент, фиксация цепочки писем.
Кейсы
Кейс. Человек перевёл деньги на “инвестиционную платформу”, затем ему предложили оплатить налог для вывода. Это типичный повторный этап. Новых платежей не делать, фиксировать доказательства, обращаться официально.
Кейс. Бухгалтер получил письмо от “директора” о срочном переводе. Деньги ушли. Важны первые минуты: банк, банк-получатель, IC3/официальный канал, внутренний аудит почты.
Упражнения
Составьте шаблон обращения в банк после мошеннического перевода.
Составьте список финансовых действий, которые вы никогда не выполняете по входящему сообщению.
Контрольные вопросы
- Почему время критично после перевода?
- Почему “комиссия за возврат” является красным флагом?
- Что нужно сообщить банку в первую очередь?
Вывод
После финансового действия не нужно ждать, спорить или искать “быстрых возвратчиков”. Нужно прекращать контакт, звонить в официальный платёжный контур и фиксировать доказательства.
Глава 38. Удалённый доступ, установленное приложение и подозрение на заражение устройства
Определение
Инцидент устройства — это ситуация, когда человек установил приложение, предоставил удалённый доступ, запустил файл, открыл подозрительный архив, установил профиль/сертификат или дал разрешения, которые могут изменить контроль над устройством.
История возникновения
Сценарии “технической поддержки” стали массовыми потому, что удалённый доступ превращает психологическое влияние в технический контроль: злоумышленник видит экран, управляет устройством, может читать коды, открывать банк, копировать файлы и устанавливать инструменты.
Психологический механизм
Человек воспринимает “специалиста” как помощника, особенно если тот говорит техническим языком и показывает “ошибки”. После установки удалённого доступа жертва часто продолжает слушать инструкции, потому что считает, что процесс уже начался.
Нейробиологическая основа
Авторитет и визуальные сигналы на экране усиливают доверие. Когда человек видит курсор, окно проверки или “сканирование”, мозг получает ощущение реальной технической процедуры, даже если это постановка.
Где применяется
Применяется после установки AnyDesk/TeamViewer/других remote tools, подозрительных APK/EXE/MSI, расширений браузера, профилей управления, сертификатов, VPN, “защитных приложений”, “проверочных утилит”.
Почему работает
Если устройство под контролем, любые дальнейшие действия на нём могут быть видны или перехвачены. Поэтому восстановление аккаунтов должно выполняться с чистого устройства или после проверки.
Пошаговая схема
Остановить удалённую сессию и отключить интернет, если доступ активен.
Не вводить пароли и коды на этом устройстве до оценки риска.
С другого устройства связаться с банком/IT/поддержкой критичных сервисов.
Проверить и удалить подозрительные приложения/расширения/профили.
Запустить проверку защитным ПО или передать устройство специалисту/IT.
С чистого устройства сменить пароли критичных аккаунтов.
Проверить финансовые операции, активные сессии, recovery-каналы.
При корпоративном устройстве немедленно сообщить IT/безопасности.
Признаки применения
- На устройстве появилось приложение удалённого доступа.
- Кто-то просил включить демонстрацию экрана или управление.
- Появились неизвестные расширения или профили.
- Браузер открывает странные страницы, меняется поиск, появляются уведомления.
- После установки начали приходить коды входа или списания.
Красные флаги
- “Сейчас я сам всё настрою, не трогайте мышку”.
- “Откройте банк, чтобы я проверил безопасность”.
- “Не закрывайте программу, иначе устройство заблокируется”.
- “Антивирус мешает проверке, временно отключите”.
- “Введите код, который сейчас придёт, я его не вижу”.
Защита
- Никогда не открывать банк/почту/криптокошелёк при активном удалённом доступе от неизвестного источника.
- Считать установленный remote tool высоким риском.
- Менять пароли с другого устройства.
- При корпоративном контуре не расследовать самостоятельно, а сообщать в IT.
- После инцидента проверять не только приложение, но и аккаунты, куда мог войти атакующий.
Ограничения метода
Удаление приложения не всегда означает устранение всех последствий: могли быть украдены пароли, cookie, файлы, токены или сделаны операции. Нужна проверка аккаунтов и финансовых действий.
Практические примеры
Пример 1. Пользователь установил remote app “для проверки банка”. Даже если приложение удалено, нужно проверять карту, операции, почту и активные сессии.
Пример 2. Сотрудник открыл вредоносное вложение. Самостоятельная чистка может уничтожить следы; в организации нужен IT/IR-процесс.
Кейсы
Кейс. Мошенник через удалённый доступ видит SMS-код на экране. После этого важно не только удалить программу, но и пересобрать MFA и проверить аккаунты.
Кейс. На телефоне установлен APK “служба доставки”. Приложение просит accessibility permissions. Нужно отключить права, удалить приложение, сменить пароли и проверить платежи.
Упражнения
Составьте список приложений удалённого доступа и правило: когда их можно устанавливать.
Опишите порядок действий для родственника, который уже установил “помощника банка”.
Контрольные вопросы
- Почему нельзя менять пароль на устройстве, которое мог контролировать злоумышленник?
- Что опаснее: сама установка remote app или действия после неё?
- Почему корпоративный инцидент нельзя скрывать?
Вывод
Удалённый доступ делает манипуляцию технической. Защита начинается с разрыва соединения и переноса восстановления в чистый, независимый контур.
Глава 39. Переданы документы, персональные данные или фото: защита цифровой идентичности
Определение
Инцидент идентичности — это передача документов, селфи с документом, ИНН/SSN, адреса, даты рождения, реквизитов, номера паспорта, страхового номера, фото карты, налоговых форм или другой информации, пригодной для регистрации, кредита, SIM-swap или социальной инженерии.
История возникновения
С ростом удалённой регистрации и KYC документы стали инструментом не только подтверждения личности, но и мошенничества: оформление аккаунтов, кредитов, сим-карт, поддельных заявок, обман поддержки и повторная социальная инженерия.
Психологический механизм
Человек часто недооценивает документ: деньги не списались, пароль не назван — значит “ничего не произошло”. Но документы создают отложенный риск, который может проявиться позже.
Нейробиологическая основа
Отложенная угроза воспринимается слабее немедленной потери. Поэтому человек склонен не действовать после передачи документов, хотя именно ранняя фиксация и мониторинг снижают долгосрочный ущерб.
Где применяется
Применяется после отправки паспорта, водительского удостоверения, селфи, банковских реквизитов, налоговых форм, договора, адреса, номера телефона, персональных анкет, фото карты или документов компании.
