Разбор мошеннической схемы с «утечкой персональных данных»

Этап 1. Давление авторитетом

Мошенники неоднократно атаковали сотрудников «Доктор Веб», используя одну и ту же схему: звонили и сообщали об утечке конфиденциальных данных и предупреждали, что началось расследование и с жертвой свяжется “куратор” из ФСБ. Изначально звонки поступали якобы от лица генерального директора или другого руководителя компании. Расчет был на давление авторитетом и стрессовую ситуацию, которая могла бы сбить с толку сотрудника. Когда эта тактика не сработала, злоумышленники заузили круг кандидатов и переключились только на пожилых сотрудников.

Почему люди в возрасте – приоритетная цель для мошенников:

• повышенная доверчивость;
• в большинстве случаев слабая осведомленность о современных технологиях;
• традиционное уважение к сообщениям от представителей власти;

Пример атаки

Сотруднице компании «Доктор Веб» летом 2025 года поступил звонок через Telegram. Звонивший представился генеральным директором «Доктор Веб», его профиль в Телеграм содержал реальные фото и имя действующего генерального директора компании. Однако были признаки, на которые сотрудница сразу  обратила внимание:

• аккаунт создан менее суток назад;
• номер телефона скрыт;
• голос и манера общения не соответствовали привычному поведению.

Злоумышленник сообщил, что произошла утечка данных внутри компании, создана специальная комиссия, а сотрудница  внесена в список лиц, обязанных дать показания. В течение дня ей должен позвонить сотрудник ФСБ – связаться планируют через мессенджер Telegram или MAX, а если не получится, то по мобильному телефону.

Ключевые признаки обмана:

• мошенники маскировались под руководителя, но не знали внутренних процессов коммуникаций в компании – обычно в компании руководители используют электронную почту или рабочий чат для связи с сотрудником;
• правоохранительные органы не используют мессенджеры для официальных звонков – только звонки по телефону.

Этап 2. Демонстрация легитимности

На этом этапе в игру вступил якобы представитель ФСБ – старший следователь по особо важным делам. Он позвонил сотруднице через Telegram, но из‑за проблем с соединением разговор не сложился Тогда лжеследователь прислал фото своего удостоверения.

По каким признакам  сотрудница поняла, что это обман?

• фото удостоверения на столе не подходило для подтверждения личности: лицо автора съёмки не было видно, оно могло не совпадать с фото в документе;
• она знала что удостоверения предъявляют только при личном контакте, а не отправляют через интернет;
• ей было известно, что в в интернете существуют шаблоны подобных документов, а  с помощью нехитрых программ в них легко подставить любое имя и фото.

Далее мошенник предложил перейти в мессенджер MAX, и сказал что не может там найти сотрудницу. Поэтому предложил ей отправить приглашение для запуска чата. Она отправила приглашение. Но даже после этого звонок не состоялся: у сотрудницы компании «Доктор Веб» были включены ограничения – принимать звонки только от контактов. Тогда лжеследователь предложил ей самой позвонить в чате. Передача ей инициативы  должна была создать иллюзию достоверности.

Важные моменты:

• введенные недавно ограничения связи не защищают: мошенники используют психологические уловки, чтобы заставить жертву звонить им самостоятельно;
• количество мошеннических звонков снизилось, но их качество выросло – преступники перешли от массовых обзвонов к точечным атакам.

Лжеследователь попытался убедить сотрудницу компании «Доктор Веб» в  правдоподобности происходящего: он предложил зайти на сайт ФСБ, найти контактный номер подразделения и убедиться, что он совпадает с номером в Telegram. Внимательная сотрудница Доктор веб и тут сразу же обнаружила очередной маневр обмана – цифры этого номера существовали в профиле, но номер был указан в строке «Имя», сам телефон как мы писали выше, был скрыт.

Этап 3. Эскалация и прессинг

В итоге связь была установлена и разговор продолжился в течение часа. Лжеследователь потребовал строгой конфиденциальности: сотрудница должна была находиться в комнате одна, и никто не имел права мешать разговору – даже члены ее семьи. Он несколько раз он переспрашивал, одна ли она, и подчеркивал необходимость секретности. Для усиления эффекта мошенник называл имена домочадцев “жертвы”. По мере разговора легенда усложнилась: мошенник сообщил, что силовое ведомство подозревает в краже данных кого‑то из руководителей компании или HR‑специалистов и что Росфинмониторингом пресечена попытка крупного денежного перевода от лица сотрудницы на нужды ВСУ.

Состоялся такой диалог

Сотрудница: “Простите, но тут какая‑то ошибка. Я не держу такие большие суммы на счетах, поэтому их просто физически невозможно перевести куда‑либо.”
Лжеследователь: “Попытка перевода могла быть совершена и с кредитного счёта, не обязательно депозит.”
Сотрудница: “Возможно, но я специально для таких случаев оформила самозапрет на оформление кредитов.”
Лжеследователь: “К сожалению, самозапрет не даёт 100 % гарантии. Некоторые нечистоплотные сотрудники коммерческих банков могут игнорировать предписания ради собственной выгоды. Учтите, если мы зафиксируем очередную попытку перевода, вы будете главной подозреваемой. Придётся возбуждать дело и разбираться.”

Для усиления давления лжеследователь присылает фальшивые документы: письмо из Росфинмониторинга в ФСБ с просьбой инициировать расследование и повестку о вызове в качестве подозреваемого.

Признаки фальшивости:

• повестки не направляют через мессенджеры;
• текст повестки краток, без разъясняющих и угрожающих формулировок;
• согласно ст. 188 УПК РФ, повесткой вызывают только свидетеля или потерпевшего. Подозреваемого задерживают (ст. 92 УПК РФ). «Повестки о вызове подозреваемого» не существует.

Этап 4. Кульминация комбинации

Далее Лжеследователь назвал банки, где находятся счета сотрудницы N: Сбер, Альфа, Озон и ОТП‑банк. Последний банк был назван  венгерской кредитной организацией, через которую якобы совершаются переводы в Украину . Он предложил предотвратить преступление: передать заявку в ЦБ, откуда с сотрудницей N свяжутся и помогут «всё правильно сделать». Вероятно, перевести деньги на «безопасный» счёт. На самом деле счет мошенников.

Сотрудница решила прервать разговор. Злоумышленник стал давить дальше: ссылаться на ст. 205.6 УК РФ «Несообщение о преступлении» и угрожать блокировкой счетов и арестом имущества, включая имущество родственников.

Этап 5. Провоцирование повторного контакта

Не добившись цели, мошенники пытались заставить потенциальную жертву самой с ними связаться. Через несколько минут после разговора с мошенником сотруднице поступил звонок из Сбера с просьбой подтвердить заявку на блокировку карты (после отрицательного ответа карта не блокируется). Также пришла СМС от Альфа‑банка о блокировке карт (чтобы отменить, сотруднице компании «Доктор Веб» пришлосьпозвонить на горячую линию). Как оказалось, одна из соучастниц уже позвонила в банк от имени жертвы и попросила заблокировать карты. Назвав ФИО и дату рождения, она получила желаемую блокировку карт от сотрудника банка.

Выводы

Сотрудница компании «Доктор Веб» смогла действовать осознанно и достаточно хладнокровно, следуя внутренним корпоративным инструкциям, чтобы полностью узнать схему. Это позволило не поддаться эмоциям, собрать ценную информацию о схеме и превратить потенциальную угрозу в детальный разбор мошенничества.

Как компаниям противостоять подобным мошенническим схемам?

• внедрить четкие корпоративные правила с алгоритмом действий при подозрительных звонках;
• сделать каждого работника активным участником системы безопасности – регулярно обучать сотрудников и повышать их осведомленность.

Комплексный подход, а не только технические блокировки, создает надежный щит против мошенников. Руководителям организаций стоит уделить особое внимание подготовке коллектива – от этого зависит готовность сотрудников противостоять атакам и манипуляциям.

Источник