Цифровой рубль на марше, или Аналоговые промпт-инъекции в реальной жизни

Цифровой рубль на марше, или Аналоговые промпт-инъекции в реальной жизни

По данным ВЦИОМ, значительная часть россиян либо не слышала о цифровом рубле, либо затрудняется объяснить, что это такое. Похожие выводы делает и РБК, публикуя результаты опроса «Сравни.ру». При этом закон уже принят, пилот с реальными деньгами идёт, а массовое внедрение запланировано на 2026 год.

Получается парадокс: государство активно продвигает новую форму денег, а граждане не понимают, как она работает и где её искать. Это идеальная почва для мошенников — ​и они уже начали её осваивать.

Я решил проверить, насколько цифровой рубль реален для обычного клиента банка.

Эксперимент: найти цифровой кошелёк

Цель простая: найти в мобильном банке цифровой кошелёк или хотя бы понять, как его открыть. Взял четыре приложения — ​ВТБ, Сбер, Т-Банк и Альфа.

ВТБ. В поиске приложения вбил «цифровой рубль», «цифровой кошелёк», «ЦР». Ноль результатов. Написал в чат поддержки. Ответ через 12 минут: «На данный момент функционал цифрового рубля недоступен для клиентов. Следите за новостями».

Сбер. Поиск выдал раздел «Цифровые финансовые активы» — ​это платформа для покупки токенов на криптовалюты, какао и прочую экзотику. К цифровому рублю ЦБ это не имеет отношения. В чате уточнили: «Цифровой кошелёк пока недоступен».

Т-Банк. Ни в каталоге услуг, ни в поиске ничего похожего. Поддержка ответила шаблонно: «Когда появится — ​вы узнаете из приложения».

Альфа. Аналогично. Поиск пуст, в разделе «Счета» — ​только обычные рублёвые и валютные.

Итого: четыре крупнейших банка, ноль кнопок «Открыть цифровой кошелёк». При этом все четыре — ​участники пилота ЦБ.

Если мне, человеку с техническим и финансовым бэкграундом, приходится выдирать информацию по крупицам, что говорить о клиенте, который просто услышал в новостях, что «цифровой рубль вот-вот введут»?

Кошелёк Шрёдингера

В новостях цифровой рубль выглядит вполне живым. Есть Федеральный закон №340-ФЗ, есть Положение Банка России №820-П, есть пилот с реальными деньгами, в котором участвуют 13–15 банков и ограниченный круг их клиентов.

Но ключевые слова здесь — ​«ограниченный круг». В первых волнах туда попадали в основном сотрудники банков, позже — ​отобранные клиенты и компании. Это прямо следует из сообщений самого ЦБ о пилоте.

Для обычного же человека цифровой кошелёк сегодня — ​это:

• официальные обещания «вы сможете открыть его в мобильном приложении»;
• общие схемы в духе «будет удобно и безопасно»;
• полное отсутствие кнопки «Открыть кошелёк» в реальном приложении.

Возникает парадокс, который можно назвать «кошельком Шрёдингера»: цифровой рубль одновременно есть и его нет. На уровне законов и документов — ​есть. На уровне повседневного интерфейса — ​его видела лишь небольшая группа участников пилота.

И здесь мы подходим к самой интересной части — ​человеческому фактору.

Аналоговые промпт-инъекции

В мире ИИ под prompt injection понимается приём, при котором злоумышленник подсовывает модели текст, переписывающий её исходные инструкции. Модель всё ещё «умная», но теперь действует по чужим правилам.

С людьми в финансовой сфере происходит то же самое — ​только «инъекция» делается не в нейросеть, а в голову клиента.

У любого осторожного человека есть внутренний свод правил:

• банк не просит данные карты по телефону;
• реквизиты контрагента нужно перепроверять;
• нельзя переходить по ссылкам из SMS «от службы безопасности».

Но дальше появляется новая история:

«У нас теперь цифровой рубль, всё меняется, вам надо срочно активировать кошелёк / перевести средства / подписать согласие, иначе…»

И внутренний свод правил начинает давать сбой. Человек ещё плохо понимает, что такое цифровой рубль, зато отлично слышит слова «новый закон», «Центробанк» и «государство». Этого оказывается достаточно, чтобы перезаписать привычные ограничения.

Это и есть аналоговая промпт-инъекция: тщательно подобранный текст — ​звонок, SMS, «разъяснение» в мессенджере, — ​который переписывает человеческие правила безопасности так же, как вредоносный промпт переписывает системные инструкции ИИ.

Легенда есть — ​кошелька нет. Идеальная среда для мошенников

С точки зрения социальной инженерии цифровой рубль — ​подарок судьбы. Он:

1. Новый и непонятный. Большинство людей либо ничего о нём не знает, либо имеет смутное представление.
2. Официальный и «обязательный» на уровне риторики. Закон принят, ЦБ активно объясняет преимущества, в новостях звучат сроки массового внедрения и обязательность для банков.
3. Невидим в интерфейсе. Кошелёк обещают открыть через мобильное приложение, но обычный клиент его не видит и не понимает, как он будет выглядеть.

На этом противоречии — ​«вроде бы есть, но руками потрогать нельзя» — ​и строятся мошеннические легенды. Массовых случаев пока не зафиксировано, но логика этих схем уже встречалась в других формах — ​в мошенничестве с «безопасными счетами» и псевдокриптой. Ниже — ​сценарии, которые с высокой вероятностью появятся или уже появились в арсенале злоумышленников.

Сценарий первый: «Инвестиции в цифровой рубль»

Людям предлагают «инвестиции в цифровой рубль» с регулярными выплатами и гарантированной доходностью «под крылом государства».

Логика простая:

1. ЦБ запустил цифровую валюту — ​значит, это «новый инструмент».
2. Новый инструмент — ​значит, на нём можно заработать больше, чем на старых.
3. «Мы работаем официально, вот ссылка на личный кабинет — ​остаётся только перевести деньги…»

Психологически это продолжение старых схем с псевдокриптой. Отличие в том, что теперь легенда подкреплена реальным законом и пресс-релизами ЦБ.

Фактически цифровой рубль нельзя купить как инвестиционный актив: это не токен и не ЦФА, а просто ещё одна форма того же рубля, который уже лежит на счёте. ЦБпрямо подчёркивает это в своих разъяснениях.

Но когда кошелёк существует только в описаниях, граница между «цифровым рублём ЦБ» и любым маркетинговым «цифровым чем-то-там» для клиента стирается.

Сценарий второй: «Активация цифрового кошелька»

Звонки «из банка» или «из Социального фонда»:

«С 1 августа вступили в силу нормы закона о цифровом рубле, мы переводим ваши накопления в безопасный цифровой формат. Для активации кошелька подтвердите данные карты / продиктуйте код / установите приложение…»

Сюжет знакомый: классический социальный инжиниринг под видом защиты денег.

Разница в том, что ссылка на цифровой рубль звучит убедительнее абстрактного «нового законодательства»: закон действительно есть, пилот идёт, ЦБ об этом говорит.

Мошеннику даже не нужно объяснять, где именно в приложении находится кошелёк. Достаточно сказать: «сейчас всё будет по-новому, вот ссылка — ​войдите и подтвердите».

Сценарий третий: зарплаты в цифровом рубле

В новостях уже мелькали сообщения о первых зарплатах в цифровых рублях — ​в числе получателей фигурировали чиновники и участники пилота.

Дальше дело техники:

• фишинговое письмо от «службы персонала» или «банка»;
• ссылка на страницу-двойник с предложением «подтвердить согласие на получение зарплаты в цифровом рубле»;
• форма, собирающая логины, пароли, СМС-коды.

Для человека, который слышал, что «кто-то в Госдуме получал зарплату в цифровом рубле», такая легенда звучит правдоподобно.

И здесь снова работает аналоговая промпт-инъекция: старое правило «зарплатные реквизиты меняются только через кадровика» временно отключается, потому что «это же новый формат, тут всё по-другому».

Сценарий четвёртый: B2B-фишинг

Для корпоративного сегмента цифровой рубль тоже подаётся как будущее платёжной инфраструктуры: поэтапная обязательность для банков, сценарии для госконтрактов. Об этом писали и в релизах ЦБ о планах на 2026 год.

На этом фоне письмо от «контрагента» выглядит правдоподобно:

«В связи с требованиями Банка России наша компания с 01.10 переходит на расчёты в цифровой форме. Просим осуществлять платежи на следующие реквизиты…»

Это старая схема смены реквизитов, но с более солидным камуфляжем.

Если у компании нет жёсткого процесса верификации, бухгалтерия может среагировать по принципу: «всё равно всем придётся переходить». А дальше уже не важно, что цифровой рубль ещё в пилоте.

Что делают ЦБ и банки?

Нельзя сказать, что регулятор и банки бездействуют. Есть официальный раздел ЦБ «Цифровой рубль», есть разъяснения и FAQ, есть публикации о том, что кошельки автоматически открываться не будут.

Но проблема в другом: объяснено, что такое цифровой рубль, но не показано, как он выглядит в жизни.

Нет массовых скриншотов, нет воспроизводимого пользовательского пути: где в приложении будет кнопка, как выглядит чек, чем «перевод в цифровых» отличается от обычного перевода.

Пока этого нет, любой мошенник может нарисовать свой интерфейс цифрового рубля — ​и никто не скажет, что «так не бывает», потому что практически никто ещё не видел, как «бывает на самом деле».

Что можно сделать, пока кошелёк ещё «на подходе»

С точки зрения ИБ и человеческого фактора у нас есть временной люфт — ​пилот расширяется, массовое внедрение растянуто на несколько лет. Этот люфт стоит использовать.

1. Чётко очертить границы нормального. Сказать простым языком:

• Банк никогда не будет звонить, чтобы «активировать цифровой кошелёк» или «перевести всё на безопасный цифровой счёт».
• ЦБ никогда не будет предлагать «инвестировать в цифровой рубль» с супердоходностью.
• Переход на цифровой рубль никогда не требует передачи кодов, паролей и реквизитов по телефону или в мессенджере.

2. Показать интерфейсы до того, как их покажут мошенники. Хотя бы в виде макетов и видеодемо: как выглядит цифровой кошелёк, где он в приложении, какие операции доступны. Тогда любая «альтернативная» версия в фишинговом письме будет выглядеть подозрительно.

3. Встроить легенду цифрового рубля в обучение. Симуляции фишинга для сотрудников банков и корпоративных клиентов должны включать сценарии «цифровой зарплаты», «перехода контрагентов на цифровой рубль», «активации кошельков».

Если мы этого не сделаем, эти сценарии за нас прогонят мошенники — ​только уже на реальных деньгах.

Вместо послесловия

Цифровой рубль — ​красивый технологический проект. Централизованная платформа, строгая регуляторика, высокая степень контроля за операциями — ​всё это уменьшает риски на уровне инфраструктуры, о чём подробно пишет Банк России в описании платформы.

Но в ближайшие годы главным объектом атак будут не платформы, а люди.

Пока цифровой кошелёк живёт в документах и презентациях, любая ссылка «на цифровой рубль» превращается в удобный инструмент для аналоговой промпт-­
инъекции.

Вопрос в том, кто первым этим инструментом воспользуется: мы — ​чтобы внедрить в сознание людей простые правила безопасности, или мошенники — ​чтобы переписать эти правила под себя.