Привет.
Мы более-менее привыкли к тому, что мошенники создают поддельные приложения, пытаются разместить их в магазинах Apple/Google, продираясь сквозь модерацию, и периодически им это удается. В России ситуация осложняется тем, что компании, попавшие под санкции, распространяют свои приложения с помощью партизанского маркетинга и злоумышленники с легкостью повторяют их шаги, выкладывают приложения, которые крадут доступ к банковским счетам. Только в прошлом году в App Store от Apple появились поддельные приложения «Т-Банка», ВТБ, «Сбера», и происходило это неоднократно, годом ранее — ровно такая же ситуация. Во многом причина заключается в маниакальной упертости банков, которые создают свои приложения для iOS под любыми названиями, чтобы вернуться на эту платформу.
Например, в «Россельхозбанке» создали клон своего изначального приложения с именем «Учет надоя», обманули модерацию App Store, продвигали приложение среди своих пользователей. Но проблема заключается в том, что своими действиями все банки создают ожидание, что может появиться приложение с любым именем, его нужно как можно быстрее загрузить, пока модерация его не снесла. В России десятки, если не сотни случаев, когда доверчивые пользователи загружали приложения-обманки, а затем теряли свои деньги. В банках эта тема — табу, про нее не говорят, а в каждом случае стараются решать вопросы тихо, как правило, не возвращая деньги пострадавшим: сами виноваты, никто из сотрудников банка не давал вам ссылку на поддельное приложение. И понять банки можно, они действительно невиновны в доверчивости пользователей, вопрос в том, что они создали ожидания, что такие приложения могут появиться. Де-факто банки, попавшие под санкции, используют уязвимости магазинов приложений, которые не могут проверить все приложения, разобраться, какие реальны, а какие созданы мошенниками в поисках легкой наживы. Этакое мошенничество во благо, которое подсвечивает размах проблемы.
У нас почти нет свидетельств внутри компаний о том, как работает модерация приложений, но благодаря судам в США можно взглянуть на модерацию App Store из первых рук.
Напомню историю 2021 года, когда пользователь iPhone нашел в App Store приложение Trezor, имевшее логотип одноименного криптокошелька, все его признаки. Полностью скопированное оформление, возможность войти в свой кошелек, но спустя минуту пришло осознание, что это подделка, все деньги со счета испарились. На тот момент стоимость 17.1 биткоина составляла около миллиона долларов, по нынешнему курсу лучше даже и не пересчитывать. Пример привел для того, чтобы вы осознали, насколько большие суммы люди теряют моментально и без возможности их вернуть.
И тут возникает первый вопрос: чьей зоной ответственности является проверка таких приложений и сохранность ваших денег? Если следовать правоприменительной практике в разных странах, то ответственным всегда является владелец денег, если не доказан взлом информационных систем. Претензии к Apple может выдвинуть тот же кошелек Trezor, что некто использовал их логотип, а компания разместила поддельное приложение. Но сам пострадавший пользователь должен был проверить кошелек, то, кому он доверяет вход в него. И примерно такой позиции придерживаются компании по всему миру. Если посмотреть на практику в Китае, где магазинов приложений несколько десятков, там вся полнота ответственности всегда на конечном пользователе.
В публичное поле в России практически не попадают истории обмана, когда у пользователей выудили доступ к банковским приложениям и списали деньги. Обычно говорят про телефонных мошенников, которые обманули людей, и это стало привычным лейтмотивом. Зампредседателя правления «Сбера» Станислав Кузнецов часто делится цифрами, демонстрирующими размах мошеннических действий, например, в сентябре 2024 года он сказал, что «Сбер» предотвратил хищения средств своих пользователей на 200 млрд рублей, и это с начала 2024 года, то есть только за девять месяцев. Без уточнения, как именно пытались вывести средства, но в большинстве ситуаций это именно доступ к банковским приложениям, получение доступа к телефонам жертв. И тут не нужно диктовать никому SMS-сообщения, злоумышленники так или иначе контролируют доступ, пытаются списать все деньги со счетов. Проблема стоит настолько остро, что относительно небольшие банки блокируют все непонятные переводы на более-менее заметные суммы. Непонятным переводом может быть операция, когда вы впервые отправляете деньги на тот или иной номер телефона, вам потребуется позвонить в банк, чтобы операцию одобрили.
Но если деньги ушли, то пиши пропало, вы остаетесь один на один с проблемой, можете написать заявление в полицию (это нужно сделать в любом случае), но получить компенсацию не сможете. Нужно помнить, что вы всегда отвечаете за сохранность своих денег, паролей и доступа к банковским приложениям или различным кошелькам.
Но существуют и другие истории, когда мошенники идут дальше и пытаются шантажировать владельцев магазинов приложений или банки. Схема в данном случае выглядит до безобразия простой: создается поддельное приложение, про которое никто не знает, оно размещается в магазине, а затем там появляется доступ к тому или иному криптокошельку/счету в банке. Некий пользователь загружает приложение, а потом начинает бить во все колокола, что у него украли все деньги. Публичное давление на компанию, угроза суда и готовность договориться, если ему вернут деньги. При этом подтвердить наличие денег на счете до момента списания, как правило, такие пользователи неспособны, они не позаботились о такой мелочи.
Шантаж и выкручивание рук, как правило, не работают, мошенники уходят ни с чем. Но все чаще обращения идут именно от мошенников, которые создают подобные схемы и пытаются компенсировать свои «потери». Это объясняет, почему как банки, так и другие компании не идут на компенсацию потерь для пользователей, хотя в теории они могли бы это сделать. Невозможно отделить честных людей от мошенников, их действия и все происходящее выглядит абсолютно одинаково.
В сухом остатке у нас простое правило: ваши деньги — ваша ответственность. Проверяйте, какие приложения вы загружаете, откуда вы получили ссылку на них или информацию про них. Не жалейте времени, чтобы позвонить в банк и узнать, настоящее ли предлагаемое приложение, чтобы избежать проблем. Хотя, на мой взгляд, ставить приложения с непонятными именами — такое себе развлечение, вы изначально ослабляете свою позицию на случай возникновения неприятностей. Если кто-то пытается выудить у вас информацию, в том числе приложение, которое вы только поставили, поищите о нем отзывы, возможно, это мошенники. Или просто остановитесь и задумайтесь, насколько вам сейчас нужно это приложение, готовы ли вы рискнуть своими деньгами и нервами. Как показывает практика, любое сомнение нужно трактовать однозначно — ничего не делать. И если вас кто-то подталкивает, уверяет, что нужно спешить, бежать сломя голову, то тут вам точно доступен лишь один вариант действий — замереть. Не делайте ничего!
Соблюдение этих простых правил цифровой гигиены позволит избежать 99% всех опасностей, что есть в нашем мире. Но повторю, ваши деньги — это ваша головная боль, и никто не защитит вас от мошенников, кроме вас самих. Нельзя быть безалаберными и считать, что кто-то планирует защищать вас любой ценой, это точно не так.