Социальная инженерия в кардинге: скрипты для получения CVV от жертвы

[Good Carder]

От кардера — кардерам. Технический взлом платёжных шлюзов становится всё сложнее: 3DS 3.0, AI-антифрод, биометрия. Но человеческий фактор остаётся самым слабым звеном. Зачем взламывать шифрование, если можно позвонить жертве и убедить её саму назвать CVV и OTP-код? Социальная инженерия — это не «искусство обмана», а индустрия с отлаженными скриптами, психологическими техниками и многомиллиардными оборотами.

В этой статье я разберу реальные диалоги мошенников с жертвами, техники давления и создания срочности, использование утекших баз для персонализации.

Часть 1. Вишинг: почему голос доверия работает лучше SMS​

Вишинг (голосовой фишинг) — разновидность телефонного мошенничества, направленная на получение конфиденциальной информации для доступа к деньгам жертвы. Мошенники представляются сотрудниками банков, службы безопасности, технической поддержки или даже правоохранительных органов.

Почему вишинг эффективнее фишинга? При разговоре по телефону у жертвы меньше времени на обдумывание. Мошенник давит голосом, интонацией, создаёт иллюзию авторитета. Человек, слышащий живой голос «сотрудника банка», поддаётся эмоциям быстрее, чем читая подозрительное письмо.

Процесс вишинга включает несколько этапов:

1. Подготовка. Мошенники собирают информацию о жертве из социальных сетей, публичных баз данных.
2. Контакт. Звонят, используя технологию подмены номера (спуфинг), чтобы на определителе отображался официальный номер банка.
3. Манипуляция. Вызывают чувство срочности или страха — утверждают, что счёт вот-вот заблокируют или уже происходит несанкционированное списание.
4. Получение данных. Запрашивают CVV, OTP-код, логины и пароли.
5. Кража средств.

Часть 2. Статистика 2026: рост атак и миллиардные потери​

Индустрия социальной инженерии растёт экспоненциально. В первом квартале 2026 года количество атак мошенников с использованием социальной инженерии выросло на 37,5% по сравнению с предыдущим периодом — до 19,2 тыс. инцидентов. Объём похищенных средств с банковских счетов за отчётный период составил 7,4 млрд рублей.

Количество заблокированных подозрительных звонков превысило 107 млн за первый квартал 2026 года — на 18% больше, чем за аналогичный период 2025 года. Эксперты объясняют рост атак тем, что мошенники перешли от «холодного» обзвона всех подряд к точечным, персонализированным атакам («вишинг»).

По данным зарубежных исследований, объёмы вишинга выросли более чем на 440% между 2024 и 2025 годами. IT-отделы и хелпдески являются первичной целью в 42% атак, а финансовые отделы — более чем в 30% успешных взломов.

Часть 3. Реальные скрипты и диалоги: как мошенники крадут CVV​

3.1. Классическая схема «Ваши деньги в опасности»​

Самый распространённый сценарий: жертве звонят якобы из службы безопасности банка и сообщают о подозрительной попытке списания.

Скрипт мошенника:

— Здравствуйте, это служба безопасности банка. Вас беспокоят по номеру карты ****. Зафиксирована подозрительная попытка списания 15 000 рублей на сайте неизвестного интернет-магазина. Это были вы?
— Нет.
— Тогда ваши данные скомпрометированы. Нам нужно срочно отменить операцию. Назовите CVV-код с обратной стороны карты и код из SMS, который сейчас придёт, для вашей идентификации.

После получения CVV и OTP мошенник тут же проводит транзакцию.

3.2. Техника эскалации через «переключение на начальника»​

Если жертва сомневается, звонит «старший сотрудник» с более авторитетным голосом.

Диалог:

— Вы сейчас разговариваете с начальником отдела безопасности. Ситуация критическая, мы уже фиксируем вторую попытку входа. Вы должны назвать код, иначе счёт будет заблокирован на 30 дней для проверки. Ваши деньги зависнут.

Создаётся иллюзия эскалации, жертва теряет возможность перепроверить информацию.

3.3. Многоканальные атаки (Teams + звонок + email)​

В 2026 году мошенники перешли к многоканальным атакам:

1. Установка. Финансовому сотруднику приходит сообщение в Teams якобы от генерального директора: «Нужно срочно провести платёж. Перезвоню через 5 минут, подготовься». Мошенник использует имя реального проекта, найденное на LinkedIn.
2. Звонок. Через 5 минут звонит подставной номер (спуфинг) с голосом, похожим на голос руководителя, и просит оплатить счёт поставщика.
3. Email. Приходит письмо с подтверждением реквизитов и PDF-счётом.

Вся цепочка занимает менее 15 минут. На каждом этапе атака выглядит всё убедительнее, потому что ссылается на предыдущий контакт.

3.4. Схема с фальшивым OTP-запросом через API-уязвимость​

Некоторые платёжные системы при неверном CVV не блокируют транзакцию, а переходят к OTP-верификации. Мошенники сначала проверяют уязвимость, отправляя запрос с заведомо неверным CVV, а затем, когда система инициирует OTP, звонят жертве и выманивают код.

3.5. Фишинг через мессенджеры и фальшивые лотереи​

Скрипт через Telegram или WhatsApp:

— «Поздравляем! Вы выиграли в лотерее iPhone 17 Pro. Для получения приза нужно подтвердить личность — введите данные вашей карты для верификации (номер, срок, CVV)».

Жертва вводит данные, думая, что получит бесплатный телефон.

Часть 4. OSINT и персонализация: почему жертва верит​

Мошенники собирают информацию о жертве задолго до звонка. Источники: соцсети (фото, геолокации, места работы), утекшие базы данных (паспортные данные, номера телефонов, адреса), комбо-листы (emailassword).

Как персонализация используется:

• «Мы видим, что 15 мая вы оплачивали покупку в [магазин из истории операций]. С этой карты сейчас пытаются списать крупную сумму». Жертва, услышав реальную транзакцию, теряет бдительность.
• «Иван Петрович, ваш паспорт серии 1234 был украден?» — спрашивают, называя часть реальных паспортных данных из утечки.
• «Ваш сын попал в ДТП на машине [марка из соцсетей]» — используют данные из открытых профилей.

Чем больше конкретных деталей, тем выше доверие. Без персонализации атака имеет низкий успех. С персонализацией — шансы мошенника достигают 30–40%.

Часть 5. Техники давления и манипуляции​

Авторитет. «Я — сотрудник службы безопасности банка», «Это отдел по борьбе с мошенничеством».
Срочность. «Ваш счёт будет заблокирован через 30 минут».
Страх. «Сейчас кто-то пытается украсть ваши накопления».
Взаимность. «Мы поможем вам спасти деньги, но вы должны действовать быстро».
Лесть. «Вы умный клиент, поэтому мы и позвонили лично».
Акцент на том, что «нельзя класть трубку до завершения разговора» — одна из самых эффективных техник изоляции жертвы от внешней проверки.

Резюме​

Социальная инженерия в кардинге — это не про взлом, а про манипуляцию. Сотрудник банка с авторитетным голосом, срочность, угроза блокировки счета — классические приёмы, которые ломают человеческую защиту.

В 2026 году количество атак с использованием социнженерии выросло на 37,5%, объём похищенных средств превысил 7,4 млрд рублей. Мошенники перешли от массовых обзвонов к точечным, персонализированным атакам с использованием данных из утечек. 440% рост вишинга за два года — не статистика, а отражение новой реальности.