Они добираются до аккаунта на Госуслугах очень легко: сначала по номеру телефона начинают делать перевод. При этом в "Сбере" высвечивается имя, отчество, первая буква фамилии получателя. Как в других банках не знаю, но, вероятно, похоже.
Далее тебе звонят, обращаются по имени-отчеству и лечат. Когда чувствуют, что клиент созрел - заходят на страницу логина Госуслуг, вбивают там номер телефона и жмут ссылку "забыл пароль". После этого жертве должно прийти СМС с кодом на одноразовый вход для восстановления пароля. Задача злоумышленника - заставить жертву назвать этот код. В случае, если жертва установила контрольный вопрос (как в моём случае), то после нажатия "Забыл пароль" сначала появляется требование ввести ответ. И только ПОСЛЕ ввода правильного ответа жертве будет отправлено СМС с кодом. Т.е., опять же, в моем случае до СМС дело так и не дошло, та матерная фраза, которую я сказал тётке, естественно, не являлась правильным ответом.
Так что техническая сторона "взлома" доступна школьнику со средним интеллектом и впадать в панику по этому поводу не следует. Пока им не сказали код или ответ на контрольный вопрос, они ни на шаг ближе к аккаунту не стали.