Главная ловушка — технология NFC (бесконтактная оплата). Мы привыкли считать телефон продолжением личности, но для банковского терминала это лишь передатчик сигнала. И если вы сами настроили этот сигнал на чужую волну, банкомат не задаст лишних вопросов.
Цифровая слепота (зачем удалять банк)
Атака начинается классически: звонок, паника, "взлом Госуслуг". Но дальше следует странное требование: "Удалите мобильное приложение вашего банка".
Зачем это нужно? Это психологическая и техническая изоляция.
- Слепота: вы перестаете видеть реальное движение средств. Вы не увидите, что "безопасный счет" — это фикция.
- Отключение защиты: банковские алгоритмы часто анализируют поведение пользователя в приложении. Нет приложения — нет тревожных пушей от настоящей службы безопасности.
Троянский конь в Mir Pay
Здесь кроется главная логическая дыра, которую мошенники закрывают ложью. Жертве говорят: "Чтобы спасти деньги, нужно привязать к телефону специальную защищенную цифровую карту ЦБ".
По факту происходит следующее:
- Жертва открывает Mir Pay, Samsung Pay или другой Pay-сервис.
- Мошенник диктует номер своей (или дропперской) карты.
- Жертва вводит эти цифры в свой телефон.
- Банк присылает код подтверждения... кому? Мошеннику! Но мошенник диктует этот код жертве, называя его "кодом активации защиты".
В этот момент телефон жертвы превращается в кошелек преступника. Внутри устройства создается токен — цифровой дубликат чужой карты.
Важно: токенизация — это процесс замены реального номера карты на зашифрованный цифровой код. Для телефона и банкомата этот код выглядит как легальное средство платежа.
Банкомат как соучастник
Финал драмы разыгрывается у банкомата. Жертва, предварительно сняв все свои наличные (или взяв кредит наличными в отделении), подходит к терминалу.
Человек прикладывает свой телефон к NFC-считывателю. Банкомат распознает токенизированную карту. Жертва вносит пачки купюр.
Парадокс: физически деньги вносит владелец телефона. Юридически — деньги зачисляются на счет, привязанный к токену. То есть на счет мошенника. Операция проходит мгновенно, и оспорить её крайне сложно: ведь использовался оригинальный токен и штатная процедура.
Проверка на «жучка»: тест за 30 секунд
Не надейтесь на авось. Прямо сейчас откройте приложение бесконтактной оплаты (Mir Pay или аналог). Пролистайте список карт. Сравните последние 4 цифры на экране с реальным пластиком в вашем кошельке.
Видите карту с незнакомым «хвостом», которую вы не выпускали в онлайн-банке? Это — активный шлюз для хищения. Удалите её немедленно. Мошенники часто называют такие карты «техническими» или «резервными», но это ложь. В вашем телефоне должны жить только ваши карты.
Закон 48 часов: кого спасет лимит в 50 тысяч?
В январе 2026 года Комитет Госдумы по финансовому рынку рекомендовал принять закон о "периоде охлаждения". Суть проста: если карта токенизирована (добавлена в телефон), внести на нее через банкомат можно не более 50 000 рублей.
Если вы попытаетесь внести больше — банк заморозит операцию на 48 часов.
Это критически важное время. За двое суток человек может:
- Выйти из состояния аффекта.
- Поговорить с родственниками.
- Осознать, что "сотрудник ЦБ" не может диктовать номер карты по WhatsApp.
Руководитель проекта «Мошеловка» Евгения Лазарева подтверждает необходимость жестких мер:
«Установление лимитов... поможет избежать ситуаций, когда человек... берет кредит наличными, а затем зачисляет деньги на так называемый безопасный счет».
Откройте свой список карт в телефоне прямо сейчас: вы уверены в том, что последняя добавленная карта — ваша, или в вашем Mir Pay уже затаился «чужак», который перехватит все деньги при следующем походе к банкомату?