Со мной случилась ситуация, в которой особенно неприятно признаваться. Хоть я и технарь с опытом работы в ИТ, включая информационную безопасность, но какое-то время я был действительно уверен, что разговариваю с сотрудником Социального фонда России (СФР).
Уверен настолько, что после окончания разговора я уже начал делать черновик гневной статьи для Хабра: что бизнес‑процессы СФР (т.е. фактически самого государства) обучают людей быть удобными жертвами мошенников.
Потому что всё выглядит как обычная бюрократическая рутина, а значит мошенникам остаётся только изменить один единственный кусок пазла… Однако вся ирония в том, что пока я писал черновик разгромной статьи, до меня дошло: а ведь это реально были мошенники!
После этого я уже писал заявление в полицию, а потом пришлось переписывать и саму статью, но уже не про «как плохо устроен бизнес‑процесс в СФР», а про ещё один рабочий сценарий социальной инженерии, который звучит слишком правдоподобно даже для неплохо подкованного ИТ специалиста.
Почему звонок мошенников лёг “как родной”
За пару дней до этого был реальный, легитимный звонок из больницы по реальному вопросу: обычное напоминание и уточнение времени записи.
И ещё важнее: мне действительно нужно сходить в социальный фонд и написать заявление. И из социального фонда мне до этого уже несколько раз звонили, и поэтому сама мысль “вам звонят из социального фонда” не выглядела как фантазия - она выглядела как продолжение реальной административной жизни.
В итоге получился идеальный фон: официальные звонки бывают и в фонд мне действительно нужно, заодно и этот вопрос порешаю. Дальше остаётся только правильно подобрать слова.
Бюрократия, которую невозможно игнорировать
Звонок. По голосу - женщина средних лет. Спокойная речь, уверенный темп, никакой паники. Представляется сотрудницей отделения социального фонда, уточняет мои реальные данные и приглашает их посетить (то ли изменить, то ли добавить) данные по стажу. Они якобы нашли полтора года службы в армии, которые то ли не вошли в стаж, то ли что-то еще, и нужно подойти заполнить заявление.
Звучит немного странно (я служил два года, а не полтора), но так как мне все равно нужно сходить в СФР, то за один раз заодно и эту бюрократию уточню.
Дальше детали, которые звучат не как “легенда”, а как типовая процедура, где много уточняющих вопросов: Когда вам удобнее подойти? Завтра - хорошо. В какое время вам завтра будет удобно, до или после обеда? Свободные время приема 8-30, 10-45, 11-00… Возьмите, чем записать, чтобы не забыть с собой принести паспорт, ИНН и СНИЛС. Требуется еще выписка из трудовой книжки. Нет на руках? Тогда мы попробуем сделать запрос работодателю, но лучше попросите на работе сделать выписку и занесите её, как сможете. Запишите мое имя и номер кабинета, куда нужно подойти. Когда завтра придете, в приёмной стоит автомат электронной очереди, возьмите там талончик (и на входе действительно стоит автомат для электронной очереди, а где сейчас его нет?).
И вот тут я внутренне “принял” звонок. Потому что это не набор случайных слов. Это узнаваемый процесс: запись на прием, терминал, талоны, кабинеты. У многих учреждений так и устроено. В этот момент я воспринимаю разговор не как угрозу, а как инструкцию “что сделать, чтобы всё было правильно”. И я взял ручку и всё это честно записывал, чтобы ничего случайно не забыть.
Развязка наступила мягко, без драматургии. Чтобы попасть на приём, нужно записаться. Чтобы автомат выдал талон, нужно ввести “код заявления”. Самое страшное в том, что при приеме в социальном фонде действительно может потребоваться вводить код записи. Когда записываешься на прием через сайт, то на веб‑форме выводится номер талона и пин-код, который и нужно по приходу вводить в терминал.
Я помню эту процедуру, так как уже ходил в Социальный фонд год или два назад и собственноручно вводил этот код записи в автомат электронной очереди. Меня, конечно, немного смутило, что код заявления сейчас придёт в SMS и завтра его нужно будет “ввести в терминал электронной очереди”, но сейчас его нужно продиктовать, чтобы “зарегистрировать заявление в системе”.
Я слышу, в трубке что-то тренькнуло. Это СМС в телефон пришло, и ровно в этот момент мне “помогают” - по методичке для смартфонов “потяните пальчиком сверху экрана, чтобы сообщить код для регистрации заявления …”
Почему меня не вынесли на “автопилоте”
У меня странная (и, как выяснилось, очень полезная с точки зрения безопасности) организация устройств для связи из двух телефонов:
голос и СМС - на старом кнопочном телефоне
интернет‑приложения - на другом устройстве, где нет ни голоса, ни СМС
И внезапно оказалось, что это не “олдскул”, а буквально предохранитель, который меня буквально спас.
СМС пришло на кнопочный телефон, по которому я разговаривал. А кнопочный телефон устроен так, что на нем физически нельзя одновременно говорить и читать SMS (точнее, может быть и можно, но я не умею). И когда мне попытались подсказать: “потяните пальчиком сверху экрана”, это прозвучало очень естественно - потому что так действительно делают на смартфонах: остаёшься на линии, видишь код, диктуешь, разговор не прерывается, темп держится, сомнения не успевают сформироваться.
А на кнопочном всё иначе: чтобы посмотреть сообщение, нужно физически оборвать звонок. Сбросить. Сделать паузу. Оказаться в тишине. И вот эта вынужденная тишина оказалась самым важным компонентом. Пара секунд без голоса в ухе - и голова перестаёт идти по инструкции мошенников. Появляется возможность почувствовать, что тебе сейчас предлагают не “запись на приём”, а передачу одноразового кода подтверждения.
И эта вынужденная пауза - буквально несколько секунд - дала мне возможность успокоиться и начать думать. Без неё всё могло закончиться банально: увидел код -> продиктовал -> “спасибо, я вас записала, завтра приходите, ждем” с различными печальными последствиями.
Это не “плохой процесс" в СФР, это реальная атака
После повторного звонка с просьбой сообщить код из СМС я уже начал приходить в себя. И хотя пока еще не соображал, что разговариваю с мошенниками, но до меня дошло, что лучше мне вообще не идти в СФР, чем диктовать кому-то какой-то СМС код.
На тот момент у меня в голове крутилась мысль, что процессы Социального фонда России очень странные и я в самом деле начал писать злой текст про то, что подобные бизнес‑процессы - это просто подарок для мошенников. Ведь они фактически тренируют пенсионеров для облегчения их последующего развода по телефону.
Тем более, что недавно у меня уже был эпизод с курьером из магазина ДНС, который просил ввести код подтверждения для оплаты банковской картой на своём мобильном телефоне, который использовал в качестве банковского терминала. В тот раз я ему не поверил и даже написал про это статью (Скам в службе доставки магазина DNS (но это не точно)), но, как оказалось, я в тот раз ошибся и подобные способы оплаты у курьеров действительно практикуются. Может быть, в социальном фонде всё так и должно быть?
И только спустя какое-то время до меня дошло: Здесь не СФР “обучает”, здесь мошенники встраивает нужный им шаг в знакомую процедуру. Они берут реальную декорацию (СФР, запись, электронная очередь) и вставляют в неё единственный нужный им элемент (СМС‑код, который на самом деле является одноразовым ключом подтверждения).
Это не регламент Социального фонда России странный, это реальная социальная инженерия и аккуратная подмена смысла.
Горькое послевкусие
После осознания факта реальной попытки мошенничества я написал заявление в полицию. А теперь пишу на Хабр, но уже не как “разоблачение плохого процесса" в Социальном фонде России, а как описание ещё одного живого способа социальной инженерии, который страшен тем, что не выглядит как мошенничество. Он выглядит как обычная государственная рутина, и именно это делает его очень опасным.
Самое неприятное во всей истории - в ней очень мало “фейка”. Уточнение стажа, отсутствие трудовой на руках, запись на определенное время, терминал электронной очереди, код талончика, номер кабинета и фамилия сотрудника - всё это настолько похоже на реальность, что мозг сам делает шаг навстречу.
И если убрать из этой сцены кнопочный телефон с его грубой механикой, остаётся очень простая траектория: разговор не прерывается, СМС видно сразу, код уходит “куда надо”, а ты даже не успеваешь осознать, что именно только что подтвердил.
Меня спасло то, что в критической точке у меня не было возможности не прерывая звонок, "потянуть сверху экран и продиктовать код”. Спасла здоровая недоверчивость (да, та самая “паранойя”) и железо, которое заставляет сначала сделать паузу - и только потом что-то диктовать или вводить.
Вот он, мой спаситель, обычный кнопочный телефон:
