25.07.25

Хотите понять, как уберечь данные в телефоне от мошенников? Задайте вопрос эксперту

АМА с редактором Финбезопасности Т⁠—⁠Ж Алексеем Малаховым

В 2025 году телефон — это ключ от банков, переписок, госуслуг, работы и личных архивов: в нем хранится вся наша цифровая жизнь. А злоумышленники становятся все изобретательнее: дипфейки, подделка банковских интерфейсов, фишинговые ссылки — лишь часть их арсенала.

Мы пригласили в AMA Алексея Малахова — борца с мошенниками, ведущего подкаста «Схема» и автора курса Учебника Т⁠—⁠Ж «Безопасность в интернете». В течение недели он будет разбирать способы, с помощью которых мошенники проникают в телефоны, и расскажет, как защитить себя.

Хотите защитить телефон и данные в нем от кражи? Вам или родственникам приходили странные звонки от «службы безопасности» или «сотрудников ФСБ»? Вас просили установить приложение или передать код? Задайте вопрос в комментариях — постараемся ответить на все.

Правила игры:

Пишите вопросы в комментариях с 25 июля по 1 августа — до 15:00. Если пришлете вопрос позже, возможно, на него ответит кто-то из читателей.
Эксперт ответит только на вопросы с положительным рейтингом и на заданную тему. Если вам интересен вопрос, ставьте ему лайк. Если считаете, что вопрос не по теме или неуместен, ставьте дизлайк.
Эксперт начнет отвечать на вопросы в понедельник, 28 июля, и закончит в пятницу, 1 августа, в 19:00.
Формат AMA не предполагает, что эксперт будет задавать вам наводящие вопросы. Чтобы получить конкретный ответ, подробно опишите свою ситуацию.
Формат AMA не заменит заявление в полицию, поэтому, если речь идет о крупных суммах потерянных денег, в первую очередь обратитесь к правоохранителям.

мошенничество безопасность

Алексей Малахов 🦣Начинаем:

бедная рыбка вымокла в прудуХочу защитить телефон и данные в нём от товарища майора.14
Roman IНу надо же эксперт какой! Аж ведущий аж целого подкаста! Эксперты, которыми мы пока́раны за греховную жизнь свою!6
user1213166Я слышала, что мошенники как то могут перехватывать смски от банка. Они входят в твое банковское приложение, переводят все деньги - а ты и знать не знаешь. Поможет ли сделать кнопочный телефон для смс от банков. Перехватывальщики смс наверное как то при скачивании какого то приложения появляются, а на кнопочном ничего не скачаешь?5
мировой, Меня тоже волнует этот вопрос.0
Ар мСтоит ли устанавливать все подряд обновы на тел и приложения. С учётом геополитики и т.д.3
Ар ммировой, а спрятать и защитить что конкретно хотел?4
Бельчиха ПушистаяАр, с обновлениями надо быть осторожным, так как иногда выкладывают кривую версию приложения. К тому же из-за обновлений размер приложения постоянно увеличивается. Поэтому настоятельно рекомендуется чистить кэш в смартфоне.2
Бельчиха Пушистаямировой, лучше перейдите на тариф для кнопочного телефона и купите себе кнопочный телефон. Он стоит от 1000 рублей. А для мессенджеров и банковских приложений есть как веб-версии приложений, так и программы для ПК(для Win10/11 есть все разрешённые в РФ мессенджеры).0
Картофельный оладушекНасколько безопасно скачивать на смартфон приложения из Rustore? А из Google Play? Все ли приложения там проходят проверку безопасности? Например, я хочу попробовать какую-то игру скачать, но не знаю, есть ни внутри нее что-то не то или нет. Вроде бы это не сторонние сервисы, но все равно иногда стремно что-то скачивать.4
Юлия ИвановаЧто настроить в смартфоне после покупки, чтобы более безопасно им пользоваться?3
ЗорроНасколько безопасны способы установки обновления приложений, которые сейчас предлагает "Т-банк" и "Альфа-банк"? То есть "выйдите из своего Apple ID - потом зайдите с нашего - потом снова зайдите в свой"? Иногда предлагают удаленно (Т-банк) - иногда сделать в офисе (Альфа-банк)?1
ВитаминRoman, а мне ведущий по душе! На Портоса в молодости похож. Каналья! (С)5
ЗорроЗорро, или вот такой теперь у Т-банка способ - "пройдите со ссылке"0
Boris Kölnuser1213166, есть 2 варианта: 1. вирус на смартфоне. Хотя более вероятно, что это не вирус, а зловред, который вы сами установили из неизвестного источника и дали разрешение на чтение СМС. Также вирус или зловред вряд ли смогут войти в ваше приложение для онлайн-банкинга - для этого надо либо рутовать устройство, либо вместо настоящего приложения скачать поддельное и самостоятельно указать в нем логин-пароль от банка. 2. перехват СМС из-за уязвимости протокола SS7. Мошенники со своего оборудования посылают сигнал, как будто это ваш телефон в роуминге, и временно полностью перехватывают входящие-исходящие звонки и СМС. Вы от этого никак защититься не можете, это должны делать сотовые операторы совместно.0
Boris KölnЗорро, не очень безопасно, потому что фактически могут установить, что угодно, включая зловред. Но ничего лучшего пока не придумали.1
Жора ТКакой телефон у эксперта? Что он дополнительно устанавливал для безопасности на телефон? Или достаточно просто быть аккуратным?5
Алексей Малахов 🦣Юлия, давайте разберём по шагам) Шаг 1: проверить обновления. даже после покупки нового смартфона лучше зайти в настройки и проверить, есть ли для него свежее обновление операционной системы. Очень может быть, что пока смартфон ехал с фабрики, уже успело что-то выйти. Не помешает и обновить уже установленные на смартфон приложения: для этого достаточно зайти в магазин. Обновления — это не прихоть разработчиков, чтобы засунуть вам новую ненужную функцию. Зачастую с их помощью исправляют ошибки и уязвимости (которые, правда, эти же разработчики и допустили). Вон, ребята из «Аэрофлота» годами не обновляли свое ПО — и закончилось всё печально. Шаг 2: установить блокировку экрана. Пароль, пин-код или графический ключ. Это должен быть другой пин-код или пароль — не тот же, что и для входа в мобильный банк. Не используйте в пин-кодах важные даты и последовательности цифр вроде 1234. Если ваш смартфон поддерживает биометрию, например сканер отпечатка пальца или Face ID, то смело пользуйтесь ими: это просто и безопасно. Совет может показаться очевидным, но многие пользователи до сих пор пренебрегают безопасностью ради удобства. Конечно, приятно просто взять смартфон в руки и сразу приступить к делу. Но если на нем нет блокировки, то так же просто и удобно будет вору, если он украдет ваш гаджет. Шаг 3: отключите уведомления на заблокированном экране. Даже если кто-то получит доступ к реквизитам вашей карты и к вашему смартфону, он не сможет подтвердить покупку кодом, который пришлет банк. На Айфонах для этого нужно отключить пункт «Центр уведомлений» в настройках Face ID, а на Андроиде в настройках уведомлений нужно отключить показ содержимого уведомлений на экране блокировки. Шаг 4: установите пин-код на сим-карту. Если вор украдет смартфон, он переставит сим-карту в свое устройство, прочитает смс от сервисов и получит доступ к вашим данным и деньгам. А с пин-кодом у него ничего не выйдет: симка не будет работать, пока на телефоне не введут правильные четыре цифры. После нескольких неудачных попыток карта заблокируется. Вот тут подробная инструкция: https://t-j.ru/advice-pin-sim/ Шаг 5: настройте резервное копирование данных. Чтобы не потерять ценные фотографии, контакты, переписки и другие данные на смартфоне, стоит настроить бэкапы. Самый простой вариант — это воспользоваться бесплатным местом в облачном хранилище, которое предоставляет Эпл или Гугл. Подробнее рассказал в пятом уроке курса по кибербезопасности: https://t-j.ru/pro/cybersecurity/5-data/4
Алексей Малахов 🦣Зорро, тут уже зависит от вашего доверия к банкам. Да, в теории, сотрудник банка может установить вам какой-то модифицированный файл и получит удаленный доступ к вашему смартфону. Но в реальности такое вряд ли случится: банки дорожат своей репутацией, а безопасники следят, чтобы у сотрудников не было лишних доступов. А вот всяким подвальным сервисным центрам «У Васяна» или даже сетевым а-ля «Педант», коих сотни у метро или в торговых центрах по всей России, я бы не доверял. У многих есть услуги «вернем на ваш айфон приложения банков». Вот там сотрудники меняются как перчатки, и контроля за ними никакого. Мой коллега, майор полиции в отставке, даже провёл небольшое расследование и рассказал, как мошенники вербуют сотрудников сервисных центров, дабы те устанавливали клиентам вирусы на смартфоны: https://t-j.ru/vzlom-smartfona/ Вывод такой: в офисе банка или у представител — норм. В сервисном центре — не норм.3
Алексей Малахов 🦣Картофельный, оба магазина позиционируют себя как безопасные, но риски всё же есть и там и там. Объясню, почему так. Все загружаемые в RuStrore приложения автоматически сканируются антивирусом «Лаборатории Касперского», а перед публикацией их вручную проверяют модераторы. Например, в 2024 году благодаря этому удалось заблокировать 12 поддельных версий популярных банковских приложений. Google Play полагается на AI-систему Play Protect, которая ежедневно проверяет миллиарды приложений, включая те, что установлены извне. Алгоритмы ищут подозрительные активности: запросы избыточных разрешений, скрытый майнинг или попытки похитить данные. В 2024 году система заблокировала 2,5 млн вредоносных APK-файлов (что как-то побольше, чем у RuStore, хех. Но и объемы загрузок тут в тысячи раз больше), но и здесь не обошлось без проколов. За тот же год независимые исследователи обнаружили 200+ опасных приложений с 8 млн загрузок — среди них были фейковые клиенты соцсетей и «лёгкие» аркады с троянами. Обратите внимание, акцент именно на том, что зараженные приложения — это всякие мутные фейки, а не какие-то серьёзные проекты, в которые хакеры встроили вирусы. Так что перед тем, как скачивать приложение, изучите карточку разработчика. Крупные студии имеют верифицированные аккаунты с тысячами отзывов. Если игра выпущена неизвестной компанией без сайта и контактов, а в отзывах — односложные комментарии от ботов в стиле «классная игра», — это повод насторожиться. Вот несколько советов, которые помогут распознать фальшивые отзывы: https://t-j.ru/fake-review/ Ещё важный момент: проверьте запрашиваемые разрешения. Казуальная головоломка не должна требовать доступ к SMS или микрофону. В Google Play раздел «Безопасность» покажет, какие данные собирает приложение. В RuStore аналогичная информация есть в описании. Главное — никогда не скачивайте приложения из непроверенных источников вроде телеграм-каналов. В сотнях из них обещают «взломанную» версию игры с бесконечными ресурсами и без рекламы. Вон там точно высока вероятность подхватить вирус. Но если руки прям чешутся, то проверьте APK через virustotal.com. Этот сервис проверяет файлы 70+ антивирусами одновременно и наверняка распознает, что в файл встроили какую-нибудь заразу.8
Алексей Малахов 🦣Жора, у меня два смартфона: iPhone 16 и Google Pixel 7. Во-первых потому, что мне нужно быть в курсе того, что происходит на обоих операционных системах. Во-вторых, каждый по своему подходит под мои нужды. Пиксели славятся тем, что на них можно легко установить альтернативные операционные системы. Поэтому я поставил туда GraphenOS — это модификация андроида с открытым исходным кодом, которая ориентирована на приватность. Например в ней, в отличии от обычного андроида, при установке приложения не имеют доступ к интернету и его нужно выдавать отдельно. Плюс можно легко сделать несколько изолированных друг от друга профилей. В итоге я могу скачать какой-то мутный файл в изолированное пространство, установить его, изучить поведение, посмотреть, кому и что от пытается отослать. Очень удобно для всяких антимошеннических расследований. Плюс GraphenOS очень легко настроить для максимальной конфиденциальности. Очень удобно, если работаешь с чувствительной информацией. А то у нас вон, даже Мизулина бомбанула с нового закона, что типа нельзя искать экстремистские материалы даже в научных целях. Типа как тогда исследовать всякий треш, чтобы защитить людей от него? А вот Айфон я использую для повседневных нужд: мессенджеры, музыка, навигация, вот это вот всё. Система сама по себе намного лучше защищена, чем андроид. Это и плюс, и минус: с одной стороны, не получится так просто скачать какой-нибудь говнофайл с вируснёй, как в этой схеме развода: https://t-j.ru/photos-apk/. С другой стороны, приложения банков так просто тоже не скачаешь) В целом вы правы: аккуратность и здравый смысл защищают от большей части разводов. Аккуратный и здравомыслящий человек не будет качать приложение «Пособия 2025», чтобы получить выплаты от Газпрома: https://t-j.ru/hustle/prilozhenija/ Но если человек работает со смартфона с важными данными или деньгами, то тут уже точно стоит ставить дополнительные программы. Я хоть и работаю в банке, но не могу так просто получить доступ со смартфона к своей рабочей почте: нужно установить специальный сертификат безопасности, чтобы безопасники банка убедились, что я не какой-то левый чел. Плюс у меня стоят приложения для двухфакторной аутентификации: «Яндекс-ключ» и Google Аuthenticator. Ну и приложения-о-которых-нельзя-говорить тоже))10
ЗорроBoris, поэтому я от таких предложений и отказываюсь, потому что раз в пару лет банк все же делает новое мобильное приложение и его можно скачать обычным путем через AppStore.0
Boris KölnАлексей, как GraphenOS защитит вас при поиске "экстремистских материалов"? Вычислят же по IP / СОРМ / DPI и пр. А если с VPN, так и штатный Android ничем не хуже.1
московская фрикаделькамировой, блин, такая же фигня)0
московская фрикаделькаАр, я думаю это уже слишком0
московская фрикаделькаЮлия, я думала это в шутку вопрос...0
Roman IВитамин, тогда он больше смахивает на эксперта по киношному фехтованию.0
Анна ПынзарьЧто может случиться с телефоном, если нажать на ссылку от мошенников? В новостях часто пугают, что «кликнул на ссылку в мессенджере и все пропало».3
Анна ПынзарьЧитала в новостях, что некоторые сотовые операторы предлагают услугу оповещения, если близкие разговаривают с мошенником. Как считаете, это полезная услуга или очередной маркетинговый ход? Операторы же обычно маркируют спам-звонки. Да и почему они тогда сразу не предупреждают, что звонок от мошенников? Как работает этот механизм?2
Ар мАлексей, GraphenOS рутованый? И как вы относитесь к рутованым ОС? В настройках разрешений можно блокировать доступ к интернету и т.д. насколько это работает?0
НикитаРаспространена схема, когда мошенник создает фейковый аккаунт в мессенджере и общается с контактами якобы от твоего имени. Как можно предотвратить такую схему?1
Владимир ЖулевА вы не мошенник?)0
Д.К.Я человек простой и живу по принципу "Включай двойную (а иногда и тройную) аутентификацию везде где только можно". Как вы думаете - даёт ли это какие-то серьёзные плюсы с точки зрения угона аккаунтов и прочих вопросов безопасности устройства?1
Наталья КуляшоваИстория подруги: позвонили мошенники, она их сразу раскусила, но решила потянуть время. Звонок был по видео через вотсап. В процессе заметила, что как будто на жкарне телефона происходит что-то, чего она не делает. С ее слов: они там уже шарятся. Это в принципе возможно? Если да, то чего нельзя делать, чтобы не дать случайно доступ к своему телефону.9
Алексей Малахов 🦣Жасур, это специально, чтобы отсеивать людей, которые судят по другим лишь по фоткам в интернете)6
Алексей Малахов 🦣Владимир, а вы?)3
Алексей Малахов 🦣Д.К., абсолютно точно даёт! Всё правильно делаете. Двойная аутентификация — это базовое правило безопасности. Она хорошо защищает от угона аккаунта. Допустим, у сервиса случилась утечка данных: хакеры получили доступ к логинам и паролям. Если второго фактора нет, то они смогут просто войти в аккаунт. А если второй фактор есть, то вам придёт код и вы сразу насторожитесь: ведь это не вы пытались войти в аккаунт. Меня второй фактор много лет назад спасал от угона аккаунта в Стиме или от взлома гуглопочты. Единственное, что если вы — серьёзный журналист, бизнесмен или общественный деятель, то лучше не использовать смс в качестве второго фактора. Потому что смс летают от базовой станции оператора до вашего смартфона без особого шифрования. При целевой атаке их могут перехватить: такое уже случалось.5
Алексей Малахов 🦣Никита, увы, никак. Мы живём в такую эпоху, когда любой школьник по фото из интернета и 5 секундам голоса может сделать дипфейк. Стоит потихоньку привыкать, что нельзя доверять любому видео, фото и аудио в интернете, увы. Да и сообщениям в мессенджерах с необычными просьбами тоже) Так что если у вас есть родственники, друзья и коллеги, которые не очень шарят в современных технологиях, то стоит им рассказать про то, на что способны современные нейросети. Рекомендую посмотреть моё выступление на прошлогодней конференции Т—Ж или почитать расшифровку. Как раз рассказываю про дипфейки и способы их распознать: https://t-j.ru/dengi-2024-schemas/1
Д.К.Алексей,8
Александра НикитинаЗдравствуйте. Впн бывает безопасный для андроид? Ютуб бросить жаль.. Или только вирусы?0
Владимир ЖулевЮджин, уууу. Как ты не прав0
Владимир Жулевмосковская, это обеспечивает отсутствие телефона1
Алексей Малахов 🦣Алексей, у меня складывается впечатление, что люди разучилась искать информацию. Истина была в паре кликов от вас.1
Полиция Т—ЖСамуил, будьте повежливей. Напоминаем о шестом пункте: https://t-j.ru/comments-rules/0
Our.вот такие комменты я буду читать - это полезно0
Our.мировой, это уже сложновато будет0
Our.Roman, ну так то сильно пишет0
Roman IOur., с кем сравниваете?0
Виталий Смировой, Как-будто кто-то не хочет...0
Алексей Малахов 🦣Анна, оооо, это моя любимая тема. Это практически городская легенда, срашилка как гроб на колёсиках) Да, конечно, мошенники рассылают вирусы и ссылки на фишинговые сайты. Но даже если просто кликнуть по ссылке, то ничего не произойдёт. Вирус ещё нужно скачать и установить, на фишинговом сайте — ввести данные. В общем, как по мне, подобные новости делают ради хайпа, чтобы люди испугались, кликнули на заголовок, а потом ещё и переслали всему контакт-листу в мессенджерах.3