Виды финансового мошенничества: телефонный фрод vs фишинг
15,8 млрд рублей — совокупный объем операций, проведенных в 2023 году без согласия клиентов российских банков, по данным ЦБ РФ.
Надежда Стрельцова·Обновлено: 14 июля 2026 г.·8 мин

По отраслевым оценкам, более 90% кибератак начинаются с фишингового письма или сообщения, что делает входящую коммуникацию основным вектором проникновения в периметр пользователя. Телефонный фрод при этом лидирует по числу успешных компрометаций и средней сумме разового хищения. Сравнение этих двух каналов позволяет выявить, на каком этапе атаки технические контрмеры перестают работать и где начинается зона ответственности самого клиента.
Психология манипуляции: почему социальная инженерия остается эффективной
Социальная инженерия как класс атак направлена на обход технических средств защиты через психологическое воздействие на пользователя. При условии, что банковский антифрод способен отфильтровать подавляющую часть аномальных транзакций, единственным слабым звеном в цепочке «клиент — приложение — банк» остается сам клиент. Сценарий, при котором пользователь самостоятельно вводит учетные данные на поддельной странице или диктует код из SMS оператору колл-центра, не содержит аномалий для технических систем: устройство знакомое, геолокация привычная, поведенческий паттерн соответствует профилю. Вследствие этого срабатывание антифрод-правил не происходит, а инцидент квалифицируется как операция с согласия клиента.
Основными эмоциональными триггерами, которые эксплуатируются в обоих типах атак, являются страх (немедленная угроза блокировки счета, утечки персональных данных, возбуждения уголовного дела), жадность (обещание компенсации, налогового вычета или возврата средств) и любопытство (сообщение о неожиданном заказе, доставке или штрафе). Каждый из этих триггеров сокращает время принятия решения жертвой и переводит коммуникацию в фазу извлечения критичных данных: логинов, паролей, кодов подтверждения и паспортных реквизитов.
Тридцать секунд — среднее время, за которое оператор колл-центра мошенников устанавливает контакт, идентифицирует цель и переводит разговор в фазу извлечения данных.
Указанный временной интервал критичен: после его истечения жертва либо выходит из состояния тревоги и начинает критически оценивать ситуацию, либо уже совершила целевое действие — продиктовала код, перевела средства или установила приложение удаленного доступа. По этой причине инфраструктура телефонного фрода строится по принципу колл-центра с подготовленными скриптами и заранее сегментированными базами жертв, что минимизирует длительность каждого контакта и снижает вероятность «пробуждения» жертвы до завершения транзакции.
Механика телефонного фрода: от подмены номера до доверия за 30 секунд
Телефонный фрод, или вишинг, опирается на технологию подмены номера (caller ID spoofing). При совершении звонка жертве на экране устройства отображается номер, ассоциированный с официальной организацией: службой безопасности банка, отделением полиции или call-центром государственного ведомства. Техническая реализация подмены возможна вследствие архитектурных особенностей протокола SIP и доступности коммерческих сервисов IP-телефонии, что позволяет инициировать вызов с произвольным значением поля CallerID. Это обстоятельство лишает абонента возможности верифицировать источник звонка по номеру — атрибут доверия, на который пользователи привыкли опираться, оказывается скомпрометированным.
Пошаговый алгоритм реализации телефонного фрода выглядит следующим образом:
1. Подготовка. Оператор колл-центра получает из внутренней базы или утечек персональные данные жертвы: ФИО, последние четыре цифры карты, сведения о недавних операциях. Упоминание этих деталей в начале разговора формирует иллюзию легитимности контакта и исключает возможность прерывания связи на этапе верификации.
2. Инициация звонка. С использованием подмены номера оператор связывается с жертвой и представляется сотрудником банка, службы безопасности или сотрудником правоохранительных органов.
3. Создание триггера. Жертве сообщается о якобы совершенной подозрительной операции, блокировке счета или возбуждении уголовного дела. Цель — вызвать состояние тревоги и снизить критичность восприятия поступающей информации.
4. Извлечение данных. Под предлогом необходимости «отмены операции» или «идентификации личности» оператор запрашивает код из SMS, CVV-код карты, пароль от интернет-банка или сессионные токены. В ряде схем жертву убеждают установить приложение удаленного доступа, что снимает ограничение по времени.
5. Завершение. Полученные данные немедленно используются для вывода средств через подставные счета, переводы на карты дропов или покупку цифровых активов.
Скорость реализации схемы — от первого гудка до завершения транзакции — часто не превышает пяти минут, что влечет за собой невозможность оперативного реагирования со стороны службы безопасности банка: заявка на чарджбэк оформляется постфактум, а средства к этому моменту уже выведены через цепочку подставных счетов и обменников.
Эволюция фишинга: от массовых рассылок к точечным AitM-атакам
Классический фишинг — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей через поддельные веб-сайты или электронные письма. На протяжении последнего десятилетия этот вектор прошел несколько стадий эволюции. Первой стадией стали массовые рассылки с минимальной персонализацией: письма от «банка» или «курьерской службы» с типовой грамматикой и шаблонным обращением. Эффективность таких рассылок снижалась по мере развития почтовых фильтров и обучения пользователей.
Второй стадией стал таргетированный фишинг (spear phishing), при котором сценарий атаки адаптируется под конкретное лицо: упоминается реальный банк жертвы, последние операции, имя оператора. Источником данных служат утечки персональных данных, что делает такие письма трудноотличимыми от легитимных.
Третья, актуальная стадия — фишинг в реальном времени, или AitM-атака (Adversary-in-the-Middle). При такой схеме мошенник не собирает данные на статичной поддельной странице, а проксирует соединение жертвы через свой сервер в реальном времени:
1. Жертва получает ссылку на фишинговый ресурс, визуально неотличимый от оригинального сайта банка или государственного сервиса.
2. При вводе логина и пароля данные мгновенно передаются на прокси-сервер злоумышленника.
3. Прокси-сервер инициирует легитимную сессию с банком, передает введенные жертвой данные и запрашивает у банка одноразовый код 2FA.
4. Жертве отображается подлинная страница банка с запросом кода; код, введенный жертвой, пересылается на легитимный сервер.
5. Банк авторизует сессию; мошенник получает активную сессию в личном кабинете жертвы и инициирует переводы.
Вследствие того, что запрос 2FA генерируется легитимной инфраструктурой банка, технические средства защиты не фиксируют аномалии, а одноразовый код, введенный пользователем, расходуется штатно. AitM-атака таким образом компрометирует даже тех пользователей, которые включили двухфакторную аутентификацию и не разглашают коды третьим лицам, что существенно сужает коридор защитных мер, доступных банку.
Масштабы угрозы: анализ финансовых потерь и статистика ЦБ РФ
Совокупный объем хищений в 15,8 млрд рублей за 2023 год включает в себя операции, проведенные как через телефонный фрод, так и через фишинг. Точное распределение долей между этими двумя векторами в публичной отчетности не раскрывается, поскольку банки и регулятор агрегируют данные с временной задержкой и в закрытой части статистики. Вместе с тем отраслевые оценки указывают на доминирование телефонного фрода по числу инцидентов и средней сумме разовой кражи: голосовой контакт позволяет оператору в реальном времени корректировать сценарий и удерживать жертву в состоянии тревоги до момента завершения транзакции.
Сравнительная характеристика двух векторов:
| Параметр | Телефонный фрод (вишинг) | Фишинг (включая AitM) |
|---|---|---|
| Канал контакта | Голосовой звонок с подменой CallerID | Электронное письмо, мессенджер, SMS |
| Вектор воздействия | Психологическое давление в реальном времени | Поддельный интерфейс или проксирование сессии |
| Используемые эмоции | Страх, авторитет («сотрудник банка», «следователь») | Любопытство, срочность, имитация бренда |
| Скорость реализации | 3–5 минут от первого звонка до перевода | 2–10 минут в зависимости от сложности AitM |
| Чувствительность к 2FA | Высокая — код из SMS считывается голосом | Низкая — AitM-атака перехватывает код в момент ввода |
| Следы для антифрода | Минимальные — операция санкционирована клиентом | Минимальные — сессия авторизована легитимно |
| Типичная сумма хищения | От 50 тыс. до нескольких млн рублей | От 20 тыс. до нескольких млн рублей |
| Сложность возврата через чарджбэк | Высокая — клиент санкционировал операцию | Высокая — сессия авторизована штатно |
Географически инциденты распределены неравномерно: наибольшая концентрация приходится на мегаполисы с высоким уровнем цифровой активности населения — Москву, Санкт-Петербург, Екатеринбург, Новосибирск, Казань. Временной паттерн также выражен: пик звонков приходится на утренние часы (8:00–11:00), когда пользователи менее критичны к входящей коммуникации и находятся в начале рабочего дня. Фишинговые рассылки, напротив, распределены более равномерно и привязаны к рабочим часам офисных сотрудников — периоду, в течение которого возрастает вероятность перехода по ссылке в корпоративной почте.
Пределы технической защиты: почему 2FA и антифрод не дают гарантий
Двухфакторная аутентификация остается одним из наиболее эффективных технических контрмер против массового фишинга: код, отправляемый на доверенное устройство, не может быть подобран перебором в обозримый срок. Однако при условии, что жертва самостоятельно вводит код на поддельной странице или диктует его оператору по телефону, 2FA деградирует до фактора, не снижающего риск. AitM-атака доводит эту деградацию до предела: код вводится на легитимной странице банка, но в рамках сессии, инициированной злоумышленником, что делает двухфакторную защиту формально соблюденной.
Антифрод-системы банков работают в двух режимах: сигнатурном (блокировка операций по заранее известным признакам компрометации) и поведенческом (анализ отклонений в паттерне операций клиента). В обоих случаях операция, инициированная жертвой в состоянии тревоги, не содержит сигнатурных маркеров и соответствует поведенческому профилю клиента. Вследствие этого антифрод срабатывает только на финальной стадии — при попытке вывода средств на подставной счет, — и то не во всех случаях. Точные показатели предотвращенных атак в режиме реального времени банками не раскрываются и относятся к закрытой части статистики, что делает невозможной независимую оценку эффективности антифрод-контрмер.
Биометрическая идентификация, рассматриваемая в качестве следующего рубежа защиты, также имеет ограничения. При условии развития технологий синтеза голоса и видео (дипфейков) биометрия перестает быть абсолютным фактором аутентификации и требует дополнительных каналов подтверждения операций. Это влечет за собой возвращение к многофакторным сценариям, где хотя бы один фактор остается под контролем пользователя как лица, принимающего решение.
Технические средства защиты останавливают массовые атаки, но против целевой AitM-атаки на конкретного клиента антифрод работает в режиме деградации.
Практическим следствием этих ограничений становится то, что возврат средств через механизм чарджбэка в обоих сценариях сопряжен с высокими рисками отказа: операция формально санкционирована клиентом, что снимает с банка обязательства по возмещению и перекладывает бремя доказывания факта мошенничества на пострадавшего. Доля успешных чарджбэков по социальной инженерии остается низкой именно по этой причине — что и формирует устойчивый экономический стимул для злоумышленников продолжать эксплуатацию обоих векторов.
Телефонный фрод и фишинг представляют собой два разных механизма одной и той же угрозы: компрометации доверия пользователя как обязательного условия проведения операции. Вишинг эксплуатирует живой голосовой контакт и способность оператора удерживать жертву в состоянии тревоги; фишинг в форме AitM эксплуатирует доверие к цифровому интерфейсу и обходит технические контрмеры через проксирование сессии. Что влечет за собой единый практический вывод: ни один изолированный технический контроль — 2FA, антифрод, биометрия — не обеспечивает защиты при условии, что пользователь санкционирует операцию осознанно, находясь под психологическим воздействием. Снижение риска достигается только комбинацией технических и процедурных мер: введением отдельного канала подтверждения для крупных переводов, обязательной задержкой исполнения операций, инициированных в нехарактерное время, ограничением лимитов на операции без подтверждения в отделении и выделением «периода охлаждения» для переводов в пользу незнакомых получателей. В конечном счете граница защиты проходит не на уровне банковской инфраструктуры, а на уровне процедуры подтверждения, которую пользователь готов прервать при первом признаке внешнего давления.