После угона Telegram-аккаунтов скамеры рассылают фальшивые опросы от имени «Единой России» для кражи денег
Компания F6, разработчик технологий для борьбы с киберпреступностью, предупреждает о новой схеме мошенничества, которая нацелена на жителей России, находящихся в поиске работы. Под предлогом заполнения резюме злоумышленники угоняют аккаунты пользователей Telegram, а затем рассылают по списку контактов сообщения с предложением за деньги пройти опрос от имени партии «Единая Россия». Для этого предлагается скачать поддельное мобильное приложение с Android-трояном, после его установки преступники получают возможность вывести деньги со счетов жертвы. С 20 февраля по 15 марта 2025 г. от действий мошеннической группы, которая использует эту схему, пострадали 770 пользователей, у которых мошенники похитили без малого 6 млн руб. Об этом CNews сообщили представители F6.
Злодейское комбо
Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 в ходе исследования механизмов угона аккаунтов пользователей Telegram обнаружили новую комбо-схему: похищенный под предлогом фейкового трудоустройства аккаунт автоматически начинает распространять мошеннические ссылки на опрос от имени «Единой России». Такая схема зафиксирована впервые.
Организаторы преступной схемы похищают аккаунты пользователей Telegram, которые ищут работу. Цель злоумышленников на первом этапе – убедить потенциальную жертву оставить резюме.
Для этого мошенники размещают объявления о поиске сотрудников с высокой зарплатой и другими привлекательными условиями. Преступники могут указать любую должность: курьера, строителя, разнорабочего или топ-менеджера крупной компании. Для публикации поддельных вакансий злоумышленники используют все возможные площадки: популярные платформы бесплатных объявлений и сервисы поиска работы, профильные Telegram-чаты и группы в социальных сетях. Поддельные вакансии в крупных группах участники преступной схемы продвигают с помощью рекламы.
Открывая охоту на пользователей Telegram-чатов, мошенники стремятся создать образ рекрутера, вызывающий максимальное доверие: покупают для своего аккаунта Premium, используют для аватара изображения в деловом стиле, в описании указывают рабочие часы, настраивают автоответчик.
Если пользователь откликнется на поддельную вакансию на сайте бесплатных объявлений или сервисе поиска работы, мошенники спрашивают номер его телефона и сразу же предлагают перевести общение в W******p или Telegram. На этом этапе распознать обман сложно: подобная практика при общении с кандидатами применяется повсеместно. Затем в переписке соискателя просят заполнить резюме и присылают ссылку на фишинговый ресурс. На первой странице предлагается указать личную информацию, включая имя, фамилию, адрес проживания и e-mail, на второй странице – опыт работы и навыки. На третьей странице пользователь видит надпись: «Резюме готово! Для подтверждения отправки резюме вам нужно пройти авторизацию через Telegram». Если пользователь введет в открывшейся форме номер своего телефона, а в следующей – код подтверждения из SMS от Telegram, то злоумышленники моментально получают доступ к его аккаунту.
Сразу после угона аккаунта по всем контактам и чатам пользователя начинается автоматическая массовая рассылка сообщений с предложением пройти опрос за деньги.
Ставки растут
Особенность второй части новой мошеннической схемы – в том, что для обмана пользователей злоумышленники используют бренд партии «Единая Россия». Преступники повторяют сценарий, который впервые использовали год назад, незадолго до президентских выборов. В сообщении, которое автоматически рассылает взломанный Telegram-аккаунт, предлагается принять участие в опросе от имени партии и получить за это 5000 руб. В 2024 г/ в аналогичном мошенническом сценарии сумма обещанного вознаграждения была вдвое меньше – 2500 руб.
Под предлогом прохождения опроса потенциальным жертвам предлагается перейти по ссылке. При переходе по ссылке пользователь Android-устройства видит страницу поддельного магазина приложений Google Play, с которой предлагается скачать поддельное приложение. В приложении скрыт троян, поэтому сразу после установки оно запрашивает разрешение на доступ к контактам и SMS.
Затем пользователя перенаправляют на интернет-страницу, на которой предлагается заполнить форму с данными: ввести ФИО, номер банковской карты, телефон и СНИЛС. Когда злоумышленники получают эти сведения и контроль над устройством пользователя, они могут списать деньги с его банковского счета, перехватывая с помощью трояна SMS для подтверждения перевода. Если у пользователя устройство на iOS, то установить приложение он не сможет: ему предложат пройти опрос и заполнить фишинговую форму, включая номер банковской карты.
Аналитики F6 отмечают: новую преступную схему использует та же преступная группа, которая осенью 2024 г. запустила волну мошенничества против участников СВО. Тогда злоумышленники под видом медсестер из приграничных регионов и волонтеров через сайты знакомств и соцсети вступали в контакт с бойцами, в ходе переписки сообщали поддельную информацию о единовременных выплатах участникам СВО от партии «Единая Россия» и направляли ссылку на вредоносное приложение для Android. График работы чата поддержки мошенников не изменился и по-прежнему указан по киевскому времени, но выплаты за успешные хищения теперь установлена не в гривнах, а в рублях.
Троян для кандидата
Злоумышленники используют новую схему около месяца. За это время от действий мошеннической группы, которая ее использует, пострадали 770 человек, у которых похитили 5921500 руб., а средняя сумма ущерба составила 7690 руб.
Специалисты компании F6 направили на блокировку данные веб-ресурсов, которые мошенники используют для противоправных действий, и предупредили представителей партии об угрозе.
«Киберпреступники постоянно совершенствуют свои схемы. Уже не первый год мы фиксируем комбинацию различных киберпреступных инструментов, которые позволяют злоумышленникам увеличивать свою прибыль. Этот тренд сохраняется», – отметил Евгений Егоров, ведущий аналитик департамента защиты от цифровых рисков Digital Risk Protection компании F6.
В последние месяцы злоумышленники все чаще используют тему трудоустройства в новых сценариях обмана. Так, минувшей зимой аналитики F6 обнаружили схему мошенничества под видом трудоустройства в пункты выдачи заказов популярных маркетплейсов. Преступники, используя подставные аккаунты, под видом владельцев ПВЗ размещают на популярных платформах объявления о наборе сотрудников. Задача мошенников – убедить пользователей Android-устройств установить на смартфон поддельное приложение, которое содержит троян удаленного доступа (RAT) и дает злоумышленникам возможность списать деньги со счетов жертвы.
Рекомендации специалистов F6 для защиты от подобных преступлений
При поиске вакансий помнить: зарплата выше рынка, если такие условия предлагает не известная крупная компания – один из отличительных признаков объявлений от мошенников. Как правило, высокий доход предполагает столь же высокие требования к кандидату. Если в объявлении обещают высокую зарплату при низких требованиях или их отсутствии – это сигнал вероятного обмана.
Не переходить по ссылкам от незнакомцев. Если знакомый контакт прислал ссылку, которую не просили, открывать ее также не стоит.
Устанавливать мобильные приложения только из официальных магазинов (обязательно проверяя правильность их доменных имен), от проверенных разработчиков и только в том случае, если точно знаете, для чего эти приложения вам нужны.
Проверять разрешения, которые запрашивают мобильные приложения после установки. Если приложение требует дать ему разрешения, которые напрямую не связаны с заявленным функционалом (например, для чтения SMS и контактов), игнорировать такие запросы, а еще лучше – удалить такое приложение, чтобы исключить риск передачи конфиденциальной информации неизвестным без ведома пользователя, и проверить устройство антивирусом.
В свою очередь, «Единая Россия» предупреждает: партия не проводит платные опросы и не запрашивает у пользователей данные банковских карт.