Мошенники часто маскируются под популярные легитимные интернет-ресурсы – это одна из самых популярных уловок для скама. Но иногда злоумышленники пытаются обмануть пользователей, специально выдавая себя за нарушителей закона.
Именно такую схему аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 обнаружили в сфере развлечений. Под видом пиратских онлайн-кинотеатров злоумышленники создают фиктивные сайты, которые обещают зрителям бесплатный доступ к лицензионным фильмам и сериалам.
При запуске плеера пользователю предлагают пройти «регистрацию» и оплатить копеечную «подписку», после оформления которой со счёта начинают исчезать более крупные суммы. С начала 2025 года специалисты F6 обнаружили более 1200 доменов сайтов, которые выдают себя за онлайн-кинотеатры. В этом блоге мы делимся результатами исследования этой мошеннической схемы.
Закрытый показ
Cценарий нацелен на пользователей, которые интересуются просмотром фильмов и сериалов. Одна из причин, по которой многие пользователи смотрят кино на пиратских сайтах – желание сэкономить. Мошенники нашли способ заставить зрителей платить за просмотр пиратского контента в несколько раз больше, чем подписка на легальные онлайн-кинотеатры.
Для этого злоумышленники создают сайты, которые маскируются под пиратские ресурсы, но при этом формально стараются выглядеть, как добропорядочный сервис: у них есть пользовательское соглашение, в котором указаны условия подписки. Однако фактически действия таких сайтов вводят посетителей в заблуждение.
Фиктивные пиратские сайты обещают пользователям бесплатный доступ к контенту, который защищён авторскими правами. Ссылки на такие сайты распространяются в поисковой выдаче либо на видеохостингах. Найти такие ссылки через популярные поисковики может любой пользователь – например, по запросу «<название фильма> смотреть онлайн».
Для привлечения пользователей через видеохостинги мошенники размещают видеозапись, которая внешне имитирует пиратскую копию фильма. На самой видеозаписи – замедленные кадры фильма или сериала либо сообщение о том, что платформа или социальная сеть активно борется с авторскими правами. Ссылку на якобы пиратский сайт злоумышленники оставляют в описании к ролику или в комментариях под ним.
Прежде чем завести пользователя в ловушку, мошенники проводят его через несколько промежуточных «дверей».
Золотой ключик
Если пользователь перейдёт на сайт фейкового онлайн-кинотеатра по ссылке из поисковой выдачи, то увидит первоначальную страницу мошеннического сайта, по оформлению напоминающую пиратский сайт. В более поздних шаблонах, используемых в этой схеме, злоумышленникам удалось даже плеер сделать визуально похожим на плеер одного из известных пиратских видеобалансеров.
При использовании видеохостинга для привлечения пользователей первая ссылка под роликом может привести на разные площадки. В одном случае это будет легальная блог-платформа (например, Telegraph), на которой будет размещена ссылка на фейковый сайт. В другом случае – мошеннический домен, который при открытии будет последовательно переадресовывать пользователя на несколько других сайтов и в конечном счёте приведёт на ресурс мошенников.
Через несколько секунд после запуска плеера с выбранным произведением (обычно в это время показывается заставка к фильму или сериалу) на экране высвечивается надпись: «Для продолжения просмотра требуется регистрация».
Рис. 1 – Пример страницы с запросом регистрации
После того, как пользователь вводит номер телефона, происходит переадресация на страницу оплаты, на которой для оформления подписки предлагают заплатить 10 рублей. Никаких дополнительных пояснений перед оплатой не приводится.
Рис. 2 – Пример страницы оплаты подписки
Обман заключается в том, что 10 рублей – это плата за «пробный период» доступа к мошенническому ресурсу сроком на 24 часа. Пользователь в это время может просматривать фильмы и сериалы. Однако затем за «автопродление» доступа к поддельному пиратскому ресурсу с его банковского счёта начнут списывать по 360 руб. за каждые 7 дней. Таким образом, стоимость месячной «подписки» на фиктивный пиратский ресурс обойдётся пользователю примерно в 1,5 тыс. руб. – в несколько раз дороже, чем подписка на легальный онлайн-кинотеатр.
Формально условия списания денег со счёта пользователя указаны в «пользовательском соглашении» на сайте. Там же указано: если на момент автоматического списания на банковском счете пользователя отсутствуют деньги, попытка списания повторяется в течение 35 дней с даты первой попытки до момента успешного списания.
При оформлении подписки на мошеннический ресурс у пользователя возникают такие риски, как потеря денег и компрометация данных банковской карты. Кроме того, зная номер телефона пользователя и данные его банковской карты, злоумышленники могут использовать эту информацию для других киберпреступных атак.
Бот предлагает код
В некоторых случаях при запуске плеера на мошенническом сайте происходит переадресация на ещё один недобросовестный ресурс, который имитирует онлайн-кинотеатр. При нажатии на кнопку «Смотреть» плеер снова запускается на несколько секунд, после чего высвечивается сообщение: «Просмотр доступен после авторизации». Для продолжения просмотра предлагается воспользоваться Telegram-ботом, который должен прислать код авторизации.
Рис. 3-4 – Примеры страницы ввода кода авторизации
Рис. 3-4 – Примеры страницы ввода кода авторизации
После того, как пользователь получит от Telegram-бота код авторизации на мошенническом ресурсе и введёт его в форме сайта, его перенаправляют ещё на один ресурс, на котором предлагается оформить пробную подписку за 12 руб. Подписчикам обещают «эксклюзивный контент», отсутствие рекламы и «безлимитный доступ».
Рис. 5 – Пример поддельного сайта
После нажатии на кнопку «Попробовать за 12 руб.» пользователя переводят на страницу оплаты. Дальнейший сценарий обмана повторяет описанный выше
Рис. 6 – Пример страницы оплаты подписки
Пользователь предполагает, что оформил подписку для просмотра конкретного фильма, однако на самом деле он оформляет подписку на «серый» видеохостинг, на котором этот фильм не представлен. Более того, спустя время стоимость этой подписки значительно увеличивается. Формально пользователя предупреждают об этом заранее – условия подписки указаны в пользовательском соглашении, – но по факту схема обмана выстроена на злоупотреблении доверием.
Не лишне напомнить про дополнительные риски пользователей при обращении к Telegram-боту: он может запросить контакт и номер телефона, эту информацию злоумышленники впоследствии могут использовать для мошеннических атак.
Конец фильма
Схема с маскировкой под пиратские видеоресурсы и мошеннической «подпиской» активно адаптируется под новинки кино и премьеры сериалов.
С начала 2025 года мы зафиксировали более 1200 доменов, выдающих себя за онлайн-кинотеатры, чьё доменное имя созвучно с названием фильма или сериала. Пик регистрации таких доменов пришёлся на 2026 год, который только начался. За весь прошлый год было создано 326 таких доменов (35,4% от общего количества обнаруженных), за январь-март 2026 года – 955 (74,6%).
В 87% случаев домены регистрировались в зоне «.ru», 10,9% пришлось на зону «.online», 1,4% — на «.sbs», 0,3% — на «.ink».
Рекомендации специалистов F6 по защите от мошенничества с подпиской на онлайн-кинотеатры
- Не оплачивайте подписки на сомнительных сайтах, которые посещаете впервые. Если на сайте есть пользовательское соглашение, внимательно прочитайте его перед использованием сервиса. Если соглашения нет, это должно вас насторожить.
- Для подписок на онлайн-сервисы используйте отдельную банковскую карту с лимитом на списание и минимальным балансом, достаточным только для оплаты конкретной подписки.
- Смотрите фильмы и сериалы в легальных онлайн-кинотеатрах.
