Что такое смишинг и как распознать смс от мошенников

Раньше мошенники рассылали спам через электронную почту. Но как только появились мобильные телефоны — стали использовать и смс.

По данным EarthWeb, в 2021 году среднестатистический американец получал 17 нежелательных смс в месяц, а в 2022 — уже 41. Исследователи выяснили, что лишь 35% респондентов успешно распознают смс от мошенников. Схожие результаты получили их российские коллеги.

Специалисты по безопасности придумали для мошеннических смс новый термин — «смишинг». Smishing — это смесь английских слов sms и phishing, то есть «фишинг по смс». Фишинг, в свою очередь, — это разновидность мошенничества, когда злоумышленник старается обманом получить доступ к информации, которая поможет ему украсть деньги. Подробнее мы рассказывали об этом в предыдущем выпуске проводника по финбезопасности.

Смишеры не планируют ничего продавать или оказывать услуги — это отличает смишинг от спама. Спам в широком смысле — это нежелательное сообщение, чаще всего рекламное. Конечно, спам могут рассылать и мошенники: например, предложат купить чудо-таблетки или пообещают списать все долги. Но для них смс будет лишь одним из способов привлечь «клиента». А смишинг — это мошенничество именно через смс.

В этой статье я подробно расскажу, что такое смишинг, какие сообщения чаще всего рассылают мошенники и как их вовремя распознать.

Зачастую мошенники рассылают смс всем подряд. Они не знают, кому именно пишут, поэтому сообщение выглядит максимально обезличенно. Любой, кто его получает, думает: «Ой, кажется, это про меня».

Речь, как правило, идет о том, что важно всем. Чаще всего это деньги.

Но из-за утечек баз данных мошенники узнали об обычных людях гораздо больше. Они вполне могут обратиться к получателю смс по имени и фамилии, написать якобы из его банка и даже указать последние четыре цифры номера банковской карты. Чтобы снизить риск подобных атак, персональную информацию в интернете приходится защищать.

Персонализированные сообщения легко принять за что-то официальное. Однако есть несколько красных флагов, которые все же выдают мошенников:

• Вас торопят. Например, уговаривают срочно спасать деньги: действовать нужно прямо сейчас, иначе вы потеряете все свои сбережения.
• Делают внезапные подарки. Мошенники готовы подарить вам квартиру, машину, звезду с неба — но есть одна проблема: сначала нужно заплатить налог, комиссию или церковную десятину. Вычесть все это из суммы выигрыша они почему-то не могут.
• Давят авторитетом. Например, просят срочно связаться со следователем по особо важным делам или требуют перейти по ссылке, чтобы получить письмо из госорганов.
• Пишут в неудобное время. Мошенники выбирают для сообщения время, когда среднестатистический человек хуже соображает: или в районе девяти утра, когда он еще не совсем проснулся и собирается на работу, или около пяти вечера, когда накопилась усталость от рабочих задач.

Мошенники постоянно адаптируют и актуализируют свои схемы. Они следят за инфоповодами и активно ими спекулируют. Например, в 2020 году они рассылали смс с требованиями заплатить штраф за нарушение режима самоизоляции, а в 2022 году уговаривали срочно спасти деньги с карт Visa и Mastercard, потому что их скоро заблокируют и деньги якобы сгорят. Поэтому, если вам вдруг пришло тревожное сообщение на тему из недавних новостей, лучше не спешить и перепроверить, как все обстоит на самом деле.

Есть у мошенников и схемы из «золотой коллекции» — те, что они регулярно применяют вне зависимости от новостного фона. Расскажу про самые популярные и про необычные.

«Совершена оплата по вашей карте. Если вы не совершали данный платеж, позвоните по этому номеру». Бессмертная классика смишинга. Мошенники сообщают, что вашей картой оплатили какую-то покупку, — хотя вы, естественно, ничего об этой покупке не знаете. В том же сообщении они указывают номер якобы службы безопасности банка. Если перезвонить, мошенник начнет выманивать данные карты.

«Ваша карта заблокирована. Срочно свяжитесь с банком по этому номеру». Разновидность предыдущей схемы. Все работает так же: если позвонить по номеру из смс, трубку возьмет «специалист службы безопасности» — и попросит назвать данные карты и код из смс, а потом украдет все деньги со счета.

Иногда вместо карты угрожают заблокировать номер телефона и предлагают позвонить оператору — на звонок ответит мошенник из такого же кол-центра.

«С вашей карты будет совершен перевод. Если не отмените, через 600 секунд перевод произойдет автоматически». Мошенники отправляют смс якобы от имени банка: предупреждают о подозрительном переводе денег, который владелец карты не совершал. Добавляют запугивающую фразу: если ничего срочно не предпринять, то перевод пройдет автоматически. Тут же приходит сообщение якобы от сотрудника банка, который просит назвать код из смс, чтобы остановить перевод денег.

«Привет, я рекрутер крупной компании. Ищем работника на огромную зарплату». Мошенники рассылают сообщения от имени «Озона», «Алиэкспресса», Т⁠-⁠Банк, «Магнита» и других известных компаний. Работа элементарная: например, заполнять базу данных или выкупать товары, а затем мгновенно перепродавать их с наценкой.

Работникам обещают десятки тысяч рублей в день, но для начала нужно внести залог. Как вариант — вместо залога нужно заплатить комиссию рекрутеру или налог на доход. Никакой зарплаты, разумеется, не будет.

«Согласно приказу президента вам начислена компенсация за облучение вышками 5G. Заплатите госпошлину». Мошенники представляются сотрудниками Минфина или других госорганов и ссылаются на новый вымышленный приказ о вычетах или возврате денег пострадавшим. Они предлагают вернуть деньги за что угодно: покупку БАДов, лечение у экстрасенсов, переплату за ЖКУ, потерю советских вкладов. Мошенники просят заплатить госпошлину якобы на расчетный счет этой организации — и обещают, что после этого компенсация сразу же придет на карту.

«Ваш номер телефона — победитель розыгрыша „Счастливый номер — 2023“! Получите свой приз». Популярная разновидность предыдущего развода. Мошенники готовы подарить вам хоть триллион долларов, но заплатить вместо вас тысячу рублей «налога на выигрыш» они почему-то не могут.

Подробнее о том, как отличить настоящий розыгрыш от заманухи аферистов, мы рассказали во втором уроке бесплатного курса «Как защититься от мошенников».

«Вот логин и пароль от вашей учетной записи на сайте. Кстати, на счете куча денег». Еще один развод с бесплатными деньгами, только более коварный и оригинальный.

Мошенники делают вид, что кто-то случайно указал ваш номер телефона при регистрации на сайте. У бедолаги на счете миллионы долларов, а у вас — его пароль. Расчет на то, что вы захотите перевести себе чужие деньги. Я проверил на себе, чем все заканчивается, и рассказал об этом в отдельной статье.

Вот три главных совета, которые помогут защититься от большинства схем смишинга.

Берите паузу. Деньги и спешка несовместимы. Когда вы получаете смс, что с вашей карты вот-вот пропадут все деньги, первая реакция — все бросить и позвонить по номеру из сообщения. На это и рассчитывают аферисты: когда вы в стрессе, вами легче манипулировать.

Чтобы не совершить ошибку, стоит унять эмоции и снять нервное напряжение. В этом помогает прием «Взять паузу» — рассказали про него в первом уроке нашего бесплатного курса «Как защититься от мошенников».

Позвоните по номеру с официального сайта. Не звоните по номеру из смс: скорее всего, вам ответят мошенники. Лучше найдите номер на сайте банка, ФСБ, налоговой — той организации, от чьего имени вам пришло сообщение. Это поможет вам убедиться, что все в порядке: никто не списывает деньги с вашего счета, не берет на ваше имя кредит и не подает за что-то там в суд.

Слушайте и читайте истории пострадавших. Так вы поймете, на что вообще способны мошенники и какие фразы они используют, чтобы втереться в доверие. Возможно, получив странное сообщение, вы вспомните аналогичную историю и не попадетесь.

Послушать реальные рассказы пострадавших от мошенников можно в подкасте Т⁠—⁠Ж «Схема», а почитать истории — в потоке «Читатели против мошенников».

Вот еще несколько статей, которые помогут противостоять аферистам:

1. Как наказать телефонных мошенников.
2. 6 способов, как обойтись со спамом: опыт читателей.
3. Что такое вишинг и как защититься от мошеннических звонков.

1. Смишинг — это фишинг по смс. Фишинг, в свою очередь, — это разновидность мошенничества, когда злоумышленник старается обманом получить доступ к информации, которая поможет ему украсть деньги.
2. Смишинг и спам — разные вещи. Спам — это нежелательное сообщение, чаще всего рекламное. А смишинг — это смс-мошенничество.
3. У мошенников могут быть ваши личные данные. Не стоит доверять сообщению только потому, что к вам обратились по имени и указали номер банковской карты.
4. Излюбленный прием мошенников — срочность. Если от вас требуют срочно спасти деньги, перезвонить в ФСБ или получить выигрыш в лотерею, иначе все пропало, — скорее всего, вам написали мошенники. Возьмите паузу и позвоните по номеру с официального сайта организации.