13/11/25
По наблюдениям специалистов F6, атаки в ноябре 2025 года начинались с сообщений в мессенджерах от неизвестных, представившихся диспетчерами ресурсоснабжающей организации. Пользователю писали: «В связи с началом отопительного сезона наш мастер будет проверять систему отопления. Когда удобно встретить мастера?» На уточняющие вопросы злоумышленник присылал ссылку на сайт «с полной информацией по проверке» и просил прислать скриншот страницы «для отчётности».
Если проверить домен такого сайта через сервисы whois, можно увидеть, что он создан незадолго до атаки — обычно за две-три недели. На единственной странице отображается логотип госсервиса и текст «Проверка авторизации», который спустя несколько секунд меняется на «Авторизация успешна». После этого с жертвой связывается другой участник схемы, представляющийся сотрудником госсервиса или центра «Мои документы».
Он утверждает, что переход по ссылке позволил третьим лицам получить доступ к личному кабинету пользователя, от его имени якобы были поданы заявки на кредиты и выгружены документы. Далее мошенник интересуется, переходил ли человек по неизвестным ссылкам, и постепенно развивает разговор, убеждая, что ситуация серьёзная.
Во время беседы злоумышленники используют те же приёмы, что и в старой схеме: задают наводящие вопросы, упоминают персональные данные жертвы — паспорт, адрес, номер телефона — и советуют «для безопасности» поменять пароль от портала или не сохранять коды на телефоне.
Если собеседник начинает сомневаться, давление усиливается. Мошенники утверждают, что пользователь «перешёл по фишинговой ссылке» и теперь несёт ответственность за незаконные действия — например, «переводы на Украину». В ход идут угрозы уголовного преследования, ареста квартиры или автомобиля, лишения права распоряжаться имуществом.
Конечная цель схемы — заставить человека перевести деньги под предлогом «освобождения от ответственности». В известных случаях мошенники требовали отправить средства на «безопасный счёт», «досрочно погасить» кредит, который якобы оформили злоумышленники, или «задекларировать» свои сбережения, передав их курьеру.
По данным F6, для таких атак используются аккаунты мессенджеров, зарегистрированные на российские мобильные номера незадолго до инцидентов. В компании отмечают, что главная задача злоумышленников — выключить у жертвы критическое мышление. Для этого они сочетают давление авторитетом государственных структур, демонстрацию осведомлённости о личных данных, ложную заботу и запугивание.
