Бесконтактная оплата прочно вошла в привычку: приложил смартфон к терминалу, услышал писк — и кофе твой. Никаких карт, никаких лишних телодвижений. Удобство зашкаливает. Но именно это удобство, как выяснилось, делает миллионы владельцев iPhone и Android идеальными жертвами. И речь уже не о потерянном телефоне, а о дистанционном взломе, после которого ваша карта превращается в безымянный дубликат в руках мошенника.
Мери Валишвили, доцент кафедры государственных и муниципальных финансов РЭУ им. Г. В. Плеханова, в интервью нашему изданию детально разобрала механизм, который в 2026 году стал одним из самых популярных у киберпреступников. Схема настолько дерзкая, что поначалу в неё трудно поверить. Злоумышленникам даже не нужно красть телефон — они просят вас самостоятельно поднести его к собственной задней панели.
«Злоумышленники используют сложные сценарии, направленные на введение в заблуждение доверчивых граждан. Обычно мошенники начинают с звонка, в котором представляются сотрудниками банка и утверждают, что необходимо срочно установить новое банковское приложение», — поясняет Валишвили.
Легенда проработана до мелочей. Голос на том конце провода вежливый, уверенный, называет вас по имени и отчеству. Причина всегда уважительная: «ваше прежнее приложение деактивировано из-за санкций», «банк перешёл на новое программное обеспечение», «обнаружена утечка данных, мы всем клиентам перевыпускаем цифровые ключи». Вам диктуют ссылку или присылают её в мессенджере. Файл скачивается, устанавливается — иконка выглядит точь-в-точь как у вашего банка.
Но это не банк. Это вредоносное приложение. Его единственная задача — активировать мобильный банк на вашем же устройстве и добраться до NFC-модуля. И здесь начинается самое интересное.
Мошенник просит вас поднести телефон к задней панели. «Для синхронизации с нашим сервером», «для подтверждения личности», «для привязки нового сертификата» — предлоги меняются, суть одна. Вы прикладываете смартфон туда, где у большинства современных моделей находится антенна бесконтактной оплаты, а вредоносное ПО в этот момент считывает данные вашей пластиковой карты. Считывает не для того, чтобы украсть номер и срок действия, а чтобы создать её полную цифровую копию.
С этого момента у злоумышленника есть виртуальный двойник вашей карты. Он может подойти к любому банкомату, поддерживающему бесконтактное снятие, приложить свой телефон и получить наличные. Никаких подозрительных переводов, никаких отслеживаемых транзакций — просто гражданин снимает рубли со счета, который юридически принадлежит ему (ведь виртуальная карта оформлена на вас).
«В результате у злоумышленников появляется возможность снимать деньги в банкомате, используя созданный дубликат карты без особых препятствий», — констатирует эксперт.
Банковские системы безопасности, конечно, не дремлют. Крупные финансовые учреждения внедрили сложные алгоритмы, отслеживающие аномальное поведение: например, попытку снять деньги в регионе, где владелец карты никогда не был, или в нехарактерное время суток. Но, как признаёт Валишвили, это не панацея. Мошенники учатся быстрее, чем обновляются антифрод-системы. Они дробят суммы, используют банкоматы в соседних областях, применяют прокси-сервера для подмены геолокации. Абсолютной защиты нет.
Единственное, что работает всегда, — это самодисциплина. Ни один сотрудник банка никогда не попросит вас установить приложение по ссылке из СМС или мессенджера. Банки не распространяют программное обеспечение через сторонние сайты. Все легитимные приложения находятся только в официальных магазинах App Store, Google Play или RuStore. Даже если вам звонят с номера, который высветился как «горячая линия», — не верьте. Технологии подмены номеров давно доступны каждому школьнику.
«Единственный и действительно надежный способ защитить себя — избегать скачивания подозрительных программ или приложений, особенно если их требуют установить по инициативе незнакомого звонящего, представляющегося сотрудником банка или другой организации», — резюмирует Мери Валишвили.
Совет кажется банальным, но именно из-за его кажущейся простоты люди попадаются. В суете рабочего дня, когда звонок застает врасплох, психика ищет путь наименьшего сопротивления. Проще нажать «установить» и «разрешить», чем вникать в технические детали. Мошенники делают ставку именно на это: на усталость, на страх потерять деньги, на желание побыстрее закрыть неприятную тему.
По данным Центробанка, количество хищений с использованием методов социальной инженерии в паре с вредоносным ПО за последний год выросло на 40 процентов. И львиная доля этих преступлений приходится на владельцев смартфонов с активированной функцией бесконтактной оплаты. Технология, созданная для комфорта, превращается в чёрный ход для преступников, как только в игру вступает человеческий фактор.
Поэтому простое правило: не устанавливать ничего по звонку, не подносить телефон к задней панели по чьей-то просьбе, не доверять даже убедительным голосам. Ваша карта и так лежит в смартфоне. Третьим лицам там делать нечего.
