LIVE

Вопросы сотрудника банка: тест на социальную инженерию

В 2023 году объем операций без согласия клиентов в России составил 15,8 млрд рублей, по данным Банка России.

Юрий Золотарёв·Обновлено: 10 июля 2026 г.·12 мин

Вопросы сотрудника банка: тест на социальную инженерию

Социальная инженерия держится не на технологическом превосходстве мошенников. Ее базовый актив — управляемый диалог. Вопросы телефонных мошенников построены так, чтобы клиент перестал мыслить как владелец счета и начал действовать как исполнитель чужой инструкции. Поэтому практический тест на социальную инженерию начинается не с определения номера телефона и не с интонации собеседника. Он начинается с содержания вопросов.

Почему звонок из «службы безопасности» работает как финансовый продукт

У мошеннического звонка есть своя юнит-экономика. Дешевая телефония, подмена номера, массовые базы контактов, скрипты под новостную повестку и операторы, которые быстро фильтруют аудиторию. Если из тысячи звонков несколько завершаются переводом, модель остается рентабельной. Издержки низкие, потенциальный чек высокий, операционный риск для исполнителя часто размыт цепочкой посредников.

Банк в этой модели используется как бренд доверия. Не нужно убеждать клиента в ценности услуги. Достаточно занять позицию «службы безопасности», «финансового мониторинга», «Центробанка» или «правоохранительных органов». Дальше диалог переводится в режим срочности: операция якобы уже происходит, счет под угрозой, сотрудник банка «фиксирует попытку хищения», а клиент должен «помочь остановить списание».

Ключевой элемент — не утверждение, а вопрос. Мошенник редко начинает с прямой просьбы назвать код. Сначала он строит воронку:

1. Подтверждает базовые данные: имя, банк, иногда последние цифры телефона или карты. Это создает видимость доступа к банковской системе.

2. Задает вопрос о недавней операции: «Вы сейчас переводили деньги?», «Оформляли кредит?», «Меняли номер телефона?».

3. Получает эмоциональную реакцию клиента. Отрицание работает не хуже согласия: если человек говорит «нет», его переводят в сценарий угрозы.

4. Навязывает регламент: «Тогда нужно срочно отменить операцию», «Сейчас будем блокировать доступ», «Не кладите трубку».

5. Запрашивает действие, которое приносит деньги: код, перевод, установку приложения, снятие наличных, оформление кредита.

Реальный банк тоже задает вопросы. Но экономический смысл легитимного звонка другой. Банк снижает риск операции, уточняет факт действия, может заблокировать карту или предложить клиенту самостоятельно перезвонить по официальному номеру. Банк не монетизирует перевод клиента на неизвестный счет и не нуждается в одноразовом пароле, чтобы «защитить» деньги.

Если вопрос ведет к раскрытию кода, пароля или переводу денег, это уже не проверка клиента. Это попытка провести операцию за счет клиента.

Запретные темы: что сотрудник банка не спрашивает

У легитимного банковского сотрудника есть границы. Они заданы не маркетингом, а безопасностью банковских карт, внутренними регламентами и базовой логикой доступа. Сотрудник может идентифицировать клиента, но не должен получать инструменты полного контроля над счетом.

Есть несколько категорий вопросов, которые в нормальном банковском диалоге не имеют экономического оправдания.

Вопрос в разговореПочему это красный флагЧто может спрашивать банк вместо этого
«Назовите код из СМС для отмены операции»Одноразовый пароль подтверждает действие, а не отменяет риск. Передача кода выводит контроль из рук клиентаБанк может сообщить о блокировке операции или попросить подтвердить/отклонить ее в приложении
«Продиктуйте CVV/CVC с обратной стороны карты»Этот код нужен для платежей в интернете. Для проверки личности банка он не требуетсяМогут уточняться последние 4 цифры карты, но не полный набор реквизитов
«Назовите логин и пароль от приложения»Логин и пароль дают доступ к дистанционному банковскому обслуживаниюБанк никогда не должен запрашивать пароль; авторизация проходит на стороне клиента
«Переведите деньги на безопасный счет»У банка нет отдельного клиентского сценария, где защита средств проводится переводом на чужие реквизитыБанк может заблокировать карту, счет или дистанционные каналы
«Снимите наличные и передайте курьеру/инкассатору»Это вывод денег из банковского контура без правовой защиты клиентаБанк не использует курьеров для спасения средств от мошенников
«Установите приложение для диагностики телефона»Удаленный доступ превращает смартфон в инструмент захвата банка-клиентаБанк направляет только в официальное приложение или офис, без удаленного управления устройством

Вероятность того, что реальный сотрудник банка попросит перевести деньги на «безопасный счет», фактически равна нулю. Такая операция не нужна банку ни технически, ни юридически, ни с точки зрения риск-менеджмента. Если банк видит подозрительную активность, он может остановить операцию, ограничить дистанционный доступ, перевыпустить карту, запросить подтверждение в приложении. Перевод на новый счет не снижает риск, а создает его.

Отдельно стоит вопрос с «службой безопасности Центрального банка». Это сильная упаковка для мошеннического скрипта. Банк России не обслуживает счета физических лиц как розничный банк и не звонит клиенту, чтобы управлять его переводами. Включение регулятора в диалог нужно не для точности, а для повышения давления. Чем выше мнимый статус собеседника, тем ниже у клиента склонность спорить.

Как распознать звонок мошенника по структуре вопросов

Проверка на социальную инженерию не требует специальной подготовки. Достаточно смотреть не на легенду, а на направление диалога. У мошенника почти всегда есть дефицит времени. Он должен быстро вывести клиента из нормального режима принятия решений. Поэтому вопросы строятся не для проверки, а для управления.

На практике опасны не отдельные фразы, а связка из нескольких признаков.

1. Вопрос требует ответа «да/нет» на пугающее событие

«Вы подавали заявку на кредит?»

«Вы подтверждаете перевод на 184 тысячи рублей?»

«Вы меняли доверенный номер?»

Такие вопросы дают мошеннику развилку. Ответ «да» можно использовать для продолжения сценария подтверждения. Ответ «нет» — для сценария атаки: «Значит, ваши данные скомпрометированы». В обоих случаях клиент попадает в заранее подготовленную ветку.

У банка нет потребности драматизировать вопрос. Если операция действительно подозрительная, банк может отклонить ее или запросить подтверждение через защищенный канал. Телефонный оператор не должен превращать диалог в срочное расследование с участием клиента.

2. После первого ответа появляется запрет на паузу

Фразы вроде «не кладите трубку», «перезванивать нельзя», «иначе операция пройдет», «сейчас идет регламентированная процедура» — это не банковская безопасность, а контроль канала. Мошеннику критично удержать клиента внутри разговора. Любая пауза разрушает маржинальность атаки: человек может открыть приложение, позвонить в банк, написать родственнику, увидеть уведомления.

Реальный банк не теряет контроль над системой, если клиент положил трубку. Блокировки, лимиты, стоп-листы и антифрод работают не через непрерывный голосовой контакт.

3. Вопрос переводит ответственность на клиента

«Вы понимаете, что в случае отказа банк не несет ответственности?»

«Вы готовы зафиксировать отказ от защиты средств?»

«Вы берете на себя последствия?»

Это юридический шум. Его задача — создать ощущение документа, протокола, записи. На деле клиент не подписывает банковское распоряжение голосом в таком формате. Банк не снимает с себя обязанности по безопасности угрозами в телефонном разговоре.

4. Вопрос просит совершить встречную операцию

Самый дорогой для клиента этап — когда его не просто просят сообщить данные, а заставляют провести операцию собственными руками. Перевод между своими счетами, перевод на карту «резервного счета», снятие наличных, оформление кредита «для обнуления заявки», покупка валюты или криптоактива — вариации меняются, логика одна.

Если клиент сам инициировал перевод и подтвердил его кодом, позиция банка при разборе становится сложнее. Антифрод может видеть нетипичную операцию, но формально действия совершает владелец счета. Это и есть слабое место социальной инженерии: банк защищает периметр, а мошенник атакует оператора периметра — самого клиента.

«Безопасный счет» как тариф с отрицательной доходностью

Сценарий «безопасного счета» живуч, потому что похож на банковскую процедуру. В нем есть слово «счет», обещание защиты, псевдорегламент и часто несколько участников: сотрудник банка, представитель полиции, специалист Центрального банка. В глазах клиента это создает многоступенчатый контроль. В реальности это конвейер давления.

С финансовой точки зрения «безопасный счет» — продукт с гарантированно отрицательной доходностью для клиента. Нет договора, нет реквизитов банка как стороны услуги, нет подтверждения в официальном приложении, нет экономического смысла. Есть только перевод на счет, которым клиент не управляет.

Скрипт обычно идет по одной из траекторий:

  • «На вас оформляют кредит». Клиента убеждают взять реальный кредит первым, чтобы «перехватить заявку мошенников», а затем перевести деньги на защищенный счет. Итог — долговая нагрузка остается у клиента, деньги уходят третьим лицам.
  • «Идет попытка списания». Клиенту предлагают временно вывести остаток со счета. Но банк не просит клиента самостоятельно эвакуировать ликвидность; он блокирует риск внутри своего контура.
  • «Скомпрометированы сотрудники отделения». Эта версия объясняет, почему нельзя идти в офис и перезванивать. Она защищает мошеннический канал от проверки.
  • «Работает следственная группа». Клиента просят соблюдать тайну, не сообщать родственникам и сотрудникам банка. Это не защита следствия, а изоляция клиента от внешнего рационального контроля.
  • «Нужно синхронизировать счета». Технический жаргон используется вместо банковской процедуры. Деньги не «синхронизируются» переводом на неизвестные реквизиты.
У «безопасного счета» нет места в банковской операционной модели. Есть только место в мошенническом скрипте.

Отдельный признак — длительность разговора. Обычный банковский контакт стремится к операционной эффективности: идентификация, предмет вопроса, решение, завершение. Мошеннический контакт, наоборот, может длиться часами. Чем дольше клиент находится в управляемом диалоге, тем выше вероятность, что он выполнит действие с крупным чеком. Для злоумышленника это инвестиция времени с потенциально высоким LTV одной жертвы.

Где заканчивается антифрод банка

Банки инвестируют в антифрод не из альтруизма. Это часть экономики продукта. Чем выше потери клиентов, тем выше давление регулятора, расходы на расследования, отток доверия и стоимость привлечения. Антифрод-система анализирует множество сигналов: устройство, геолокацию, привычный размер переводов, время операции, получателя, скорость действий в приложении, историю клиента.

Такая система хорошо работает против нетипичных паттернов. Например, клиент обычно платит картой в одном городе и переводит небольшие суммы, а затем внезапно пытается отправить крупный перевод новому получателю с непривычного устройства. Система может затормозить операцию, запросить подтверждение, отправить ее на дополнительную проверку или заблокировать.

Но у социальной инженерии другая механика. Мошенник старается сделать так, чтобы операция выглядела легитимной с точки зрения формальных признаков:

  • клиент использует собственный телефон;
  • входит в официальное банковское приложение;
  • подтверждает операцию одноразовым кодом;
  • отвечает на контрольные вопросы;
  • иногда заранее объясняет банку, что перевод делает добровольно.

Для антифрода это тяжелый случай. Система видит риск, но не всегда может отличить вынужденное поведение от самостоятельного решения. Если банк будет блокировать слишком много операций, вырастут издержки добросовестных клиентов и снизится удобство продукта. Если блокировать слишком мало — растут потери. Это классический баланс между безопасностью, конверсией платежей и клиентским опытом.

Поэтому ожидание стопроцентной защиты от антифрода экономически неверно. Банк может снизить вероятность потерь, но не может полностью компенсировать ситуацию, где клиент сам передает ключи доступа. Одноразовый пароль, CVV/CVC, пароль от приложения и подтверждение перевода — это не справочная информация. Это платежная инфраструктура в руках пользователя.

Легитимные вопросы банка: узкий коридор допустимого

Чтобы не превращать любую коммуникацию с банком в подозрение, полезно разделять допустимую идентификацию и опасный запрос. Банк действительно может звонить по операциям, особенно если видит риск. Он может уточнить, совершал ли клиент платеж, находится ли карта у него, была ли попытка входа. Но легитимный диалог имеет несколько ограничителей.

Во-первых, банк не требует секретов, которые позволяют провести операцию. Последние цифры карты и кодовое слово — один уровень риска. Полный номер карты, срок действия, CVV/CVC, одноразовый пароль и пароль от приложения — другой уровень. Второй уровень не нужен сотруднику для консультации.

Во-вторых, банк не принуждает к немедленному переводу. Любая защита средств должна происходить внутри банковского контура: блокировка, перевыпуск карты, ограничение операций, смена пароля, обращение через приложение или официальный номер.

В-третьих, банк допускает независимую проверку. Если клиент завершает разговор и сам звонит по номеру с карты или из приложения, нормальный процесс от этого не рушится. Для мошенника такая пауза критична, для банка — нет.

Сравнение выглядит сухо, но именно оно отделяет безопасный контакт от атаки.

ПараметрЛегитимный контакт банкаСоциальная инженерия
Цель разговораПодтвердить или ограничить рискЗаставить клиента раскрыть доступ или провести перевод
Отношение к паузеКлиент может перезвонить самСобеседник удерживает на линии
ДанныеНе запрашиваются СМС-коды, CVV/CVC, паролиЗапрашиваются коды, реквизиты, доступ к приложению
ОперацииБлокировка, перевыпуск, подтверждение через защищенный каналПеревод на «безопасный счет», снятие наличных, кредит
ДавлениеМинимальное, процедурноеСрочность, угрозы, «ответственность клиента»
Канал проверкиОфициальное приложение, номер на карте, офисТолько текущий звонок, часто с запретом обсуждения

Главное в этой таблице — не запомнить все формулировки. Скрипты меняются. Сегодня это «безопасный счет», завтра — «единый казначейский счет», «защищенная ячейка», «резервная линия», «обнуление кредита». Слова будут адаптироваться. Экономический смысл останется тем же: клиента выводят из контролируемого банковского процесса в операцию, выгодную злоумышленнику.

Почему мошенники спрашивают «остаток на счете»

Вопрос о сумме на счете выглядит менее опасным, чем запрос СМС-кода. Но в мошеннической модели это квалификация лида. Оператор оценивает потенциальную выручку атаки. Если остаток небольшой, клиента могут быстро перевести на сценарий кредита или завершить разговор. Если сумма крупная, подключаются более опытные участники, растет давление, появляются «правоохранители» и многоэтапная легенда.

Для банка информация об остатке не нужна в таком виде. Сотрудник банка, если он действительно работает в системе, видит необходимые параметры в рамках своих полномочий. Ему не требуется, чтобы клиент вслух называл сумму накоплений, лимит кредитной карты или размер вклада. Когда такой вопрос звучит в разговоре, его функция почти всегда коммерческая для мошенника: оценить чек.

Похожая логика у вопросов про другие банки. «В каких банках у вас есть счета?», «Есть ли брокерский счет?», «Какие карты активны?» — это расширение периметра атаки. Мошенник ищет дополнительные источники ликвидности. В нормальном банковском контакте сотрудник одного банка не должен управлять счетами клиента в других кредитных организациях и тем более просить перевести оттуда деньги.

Минимальная модель рационального поведения

Финансовая безопасность не должна строиться на героической выдержке клиента. В момент давления у человека падает качество решений. Поэтому полезна простая модель, в которой нет переговоров с неизвестным оператором.

Рациональный алгоритм выглядит так:

1. Любой запрос СМС-кода, CVV/CVC, пароля или перевода денег классифицируется как мошеннический. Не как «подозрительный», а как достаточный признак атаки.

2. Любое требование не прерывать разговор снижает доверие к собеседнику. Банковская система не зависит от того, держит ли клиент трубку.

3. Любая ссылка на «безопасный счет» означает отсутствие банковской процедуры. Деньги не спасают переводом неизвестному получателю.

4. Любой разговор о кредитах, которые нужно оформить «для защиты», имеет отрицательную рентабельность для клиента. Обязательство перед банком возникнет реально, легенда мошенника исчезнет.

5. Проверка проводится только через независимый канал: официальное приложение, номер на карте, офис банка. Не через номер, который продиктовал звонящий.

Это не набор бытовых советов, а разграничение прав доступа. Клиент не должен передавать третьей стороне инструменты распоряжения счетом. Как только разговор переходит от информирования к управлению деньгами, риск становится неприемлемым.

Масштаб проблемы и практический вывод

15,8 млрд рублей хищений за 2023 год показывают, что социальная инженерия остается для банковского рынка системным риском. Не потому, что клиенты массово не понимают цифровые продукты. Причина тоньше: мошеннический скрипт паразитирует на реальных банковских процедурах — антифроде, идентификации, блокировках, кредитных заявках, регуляторной лексике. Он выглядит убедительно ровно потому, что использует язык финансовой инфраструктуры.

Но у мошеннического диалога есть слабое место. Он должен задать вопросы, которые настоящий банк задавать не будет. Код из СМС. CVV/CVC. Пароль. Полные реквизиты. Остатки на счетах. Перевод на «безопасный счет». Установка удаленного доступа. Снятие наличных. Оформление кредита для защиты.

Для рационального клиента критерий короткий: банк может ограничить операцию, но не просит клиента спасать деньги переводом. Банк может проверить факт платежа, но не просит одноразовый пароль. Банк может рекомендовать сменить пароль, но не спрашивает старый.

Социальная инженерия начинается там, где собеседник превращает клиента из владельца денег в оператора чужого сценария. В этот момент вопрос уже содержит ответ о природе звонка.

Частые вопросы

Почему мошенники просят перевести деньги на безопасный счет?
Это способ вывести средства из банковского контура под предлогом их защиты. В реальности у банков нет процедуры спасения денег путем перевода на сторонние реквизиты.
Может ли сотрудник банка спросить код из СМС для отмены операции?
Нет, это запрещенный прием. Одноразовый пароль подтверждает действие, а не отменяет риск, поэтому его передача дает мошенникам полный контроль над счетом.
Что делать, если звонят из службы безопасности Центрального банка?
Следует прекратить разговор. Банк России не обслуживает счета физических лиц и не звонит клиентам для управления их переводами.
Зачем мошенники спрашивают остаток на счете?
Этот вопрос помогает им оценить потенциальную выгоду от атаки и определить, стоит ли подключать более опытных участников для усиления давления.
Как отличить реальный звонок банка от мошеннического?
Реальный банк не требует секретных данных, не принуждает к немедленным переводам и не запрещает клиенту перезвонить по официальному номеру для проверки информации.