Почему вы сами отдаете ключи от своего кошелька
Представьте: вы открываете проверенный кулинарный блог или городской новостной портал. Всё как обычно, только при входе всплывает окошко с галочкой — «Подтвердите, что вы не робот». Знакомая картинка, правда? Вы жмете, ничего не происходит, вы закрываете вкладку и забываете. А через несколько часов с вашего телефона уходят деньги, банк атакует звонками, а на почту сыплются запросы на сброс паролей от чужих сервисов.
Как это происходит? Мошенники взламывают давно работающие сайты с хорошей репутацией — там, где публикуют рецепты, афиши, советы для дачников. Доверие пользователя к такому домену настолько высоко, что он не ждет подвоха. После взлома на ресурсе появляется поддельная капча, визуально неотличимая от Cloudflare или Google reCAPTCHA: знакомый логотип, серый фон, галочка.
Вы кликаете «подтвердить». В этот момент в буфер обмена вашего устройства тихо копируется вредоносная команда. Вы её не видите. Затем сайт вежливо просит: «Чтобы завершить проверку, откройте окно выполнения Windows (Win+R) и вставьте текст». Вы делаете это на автопилоте, нажимаете Enter — и запускаете скрипт, который передает атакующим всё, что хранится на устройстве.
Психологический крючок: почему мы ведемся на рефлексах
Современный человек проходит проверку «я не робот» по 10–15 раз в день. Это стало условным рефлексом, как чихнуть на свету. Мошенники не уговаривают вас перевести деньги «безопасному брокеру» и не выпытывают код из СМС. Они просто встраиваются в привычное действие.
Золотое правило безопасности: настоящая капча никогда не требует выходить за пределы браузера. Если сайт просит открыть системное окно, вставить команду или запустить стороннюю программу — закрывайте вкладку немедленно. Это стопроцентный признак атаки.
Вредоносная программа, попав в систему, начинает охоту за самым ценным. Вот её цели по порядку:
1. Сохраненные пароли в браузере. Chrome, Яндекс.Браузер, Opera — все они хранят логины локально. Скрипт читает эту базу и отправляет хозяину.
2. Куки сессий (cookies). С их помощью мошенник может зайти в ваш аккаунт на любом сайте, даже не зная пароля. Двухфакторная аутентификация тут не помощник — сессия уже готова к использованию.
3. Данные банковских карт. Если вы когда-то разрешили браузеру запомнить номер карты для быстрой оплаты, считайте, что злоумышленники получили прямой доступ к счету.
4. Токены мессенджеров. Это позволяет рассылать вредоносные ссылки от вашего имени по всем контактам.
Важное уточнение для владельцев смартфонов: на Android запустить системную команду через браузер сложнее. Поэтому мошенники там действуют иначе — взломанный сайт предложит скачать «обновление браузера» или «приложение для проверки безопасности». Это .apk-файл, который после установки получит полный контроль над телефоном.
Три сигнала, что сайт взломан прямо сейчас
Внешне ресурс выглядит нормально: статьи на месте, дизайн не пострадал. Но есть нюансы:
- Капча появляется сразу при входе, а не после конкретных действий (отправка формы, слишком быстрые переходы). Это нетипичное поведение для честной проверки.
- После нажатия галочки появляется просьба выйти из браузера — вставить что-то в командную строку или скачать файл.
- Элементы капчи выглядят «чужими» — необычный шрифт, фон на весь экран, слегка сдвинутые логотипы. Сравните с тем, что вы видели раньше на других сайтах.
При малейшем сомнении не нажимайте ничего. Закройте вкладку и вернитесь через пару дней — администрация, скорее всего, уже почистит заразу. Пока одни охотятся на компьютерных пользователей, другие берут телефонную линию. Эксперты Angara Security зафиксировали новую волну обзвона: мошенники представляются сотрудниками центрального аппарата ФНС. Они называют ваше имя, отчество и даже ИНН (данные утекли из старых баз), пугают «проверкой счетов» и требуют срочно перевести деньги на защищенный резервный счет. Иначе — блокировка всех операций.
Запомните раз и навсегда: налоговая служба никогда не звонит гражданам с требованиями денег по телефону. Никогда. Положите трубку и, если волнуетесь, перезвоните в ФНС сами по номеру с официального сайта nalog.ru.
Инструкция по выживанию: 5 шагов для защиты прямо сейчас
Не читайте и забывайте. Вот что можно сделать за 15 минут, даже если вы далеки от техники.
Шаг 1. Отключите сохранение паролей в браузере. Зайдите в настройки Chrome, Яндекс.Браузера или Edge и снимите галочку «Предлагать сохранение паролей». Используйте отдельный менеджер — хотя бы бесплатный KeePass.
Шаг 2. Никогда не сохраняйте данные карт в вебе. Да, каждый раз вводить 16 цифр лень. Но лень в данном случае стоит денег.
Шаг 3. Включите двухфакторную аутентификацию везде. Госуслуги, почта, банки, соцсети. Даже если пароль украдут, без кода из приложения-аутентификатора (не СМС!) войти не получится.
Шаг 4. Обновите систему и браузер. 90% вредоносных скриптов используют старые дыры, которые разработчики уже залатали. Кнопка «напомнить позже» — ваш главный враг.
Шаг 5. Поставьте uBlock Origin. Это бесплатный блокировщик рекламы. Он прерывает многие вредоносные скрипты на корню, даже если сайт взломан. Лучшая страховка за 0 рублей.
Вы уже нажали? Порядок действий при заражении
Если вы подозреваете, что выполнили ту самую команду — не паникуйте, но действуйте быстро.
1. Отключите компьютер от интернета. Выдерните кабель или отключите Wi-Fi. Это прервет передачу данных мошенникам.
2. Смените пароли с другого устройства (смартфона, планшета, рабочего ноутбука). Начните с почты — через нее восстанавливают доступ ко всему остальному. Затем банки, Госуслуги, Telegram.
3. Позвоните в банк. Скажите: «Мой компьютер мог быть скомпрометирован, неизвестно, украдены ли данные карт». Попросите временно заблокировать онлайн-операции или перевыпустить карты.
4. Проверьте компьютер антивирусом. Если его нет — скачайте бесплатный Dr.Web CureIt с официального сайта. Запустите полную проверку.
Главная мысль, которую вы должны вынести
Мошенники эволюционировали. Грубые «переведи деньги на безопасный счет» больше не работают — люди научились сопротивляться. Теперь атака маскируется под рутину. Вы просто подтверждаете, что не робот. Вы просто вставляете текст. Вы просто нажимаете Enter.
Защита начинается с одной вредной привычки: останавливаться на секунду и задавать себе вопрос: «Почему сайт, который я открыл, вдруг просит меня сделать что-то в операционной системе? Разве это входит в его обязанности?» Нет, не входит. И если вы видите такое — перед вами мошенники.
Расскажите об этом своим родителям, соседям, старшим коллегам. Тех, кто слабо разбирается в гаджетах, обманывают в первую очередь. Просто покажите им этот текст. Это может спасти их сбережения.