«Добрый вечер, я диспетчер»: мошенники используют новый сценарий с проверкой отопления

Специалисты департамента Fraud Protection компании F6 обнаружили новую уловку телефонных мошенников: вместо кода из СМС они используют ссылки на фейковые сайты. Злоумышленники под видом диспетчеров сообщают о проверке отопительной системы, запугивают пользователей взломом личного кабинета госсервиса и уголовной ответственностью, а в финале атаки требуют перевести деньги на якобы «безопасный счёт» или передать курьеру.

Код из СМС отправили в отставку

Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 зафиксировали новый сценарий телефонного мошенничества, который используется для персонализированных атак.

В его основе – сложная многоэтапная схема, которая начинается с провокации пользователя на определённые действия. На следующем этапе атаки потенциальная жертва получает от мошенников ложное сообщение о взломе личного кабинета госсервиса, затем его запугивают уголовной ответственностью от имени сотрудников госструктур. На завершающем этапе преступники под предлогом освобождения от ответственности требуют перевести деньги на якобы «безопасный счёт», «досрочно погасить» кредит, который якобы взяли мошенники, либо «задекларировать» свои сбережения и передать для этого курьеру.

Обычно злоумышленники используют на первом этапе сценарий, при котором просят пользователя назвать код из СМС. Для этого мошенники сообщают о несуществующей замене счётчиков, домофона, необходимости «подтвердить данные», доставке посылки или цветов – в качестве предлога могут использовать любой повод. СМС с кодом злоумышленники отправляют с подставного номера, а сам код – случайный набор цифр. Цель преступников – добиться передачи кода и на следующем этапе атаки убедить пользователя, что он якобы сообщил неизвестным код подтверждения от госсервиса.

Противодействовать тактике злоумышленников помогает простое правило: если кто-то спрашивает код – это мошенник. Такую рекомендацию всё чаще можно встретить в памятках для пользователей. Чтобы обойти эту защиту, преступники разработали новый сценарий, в которых вместо кода из СМС используются ссылки на фейковые сайты.

Сели батареи

В известных специалистам F6 случаях атака по новому сценарию начиналась с сообщения в мессенджере от неизвестного контакта, который представлялся «диспетчером РСО»: «В связи с началом отопительного сезона наш мастер будет полностью проверять отопительную систему. Когда удобно будет встретить мастера?». Эти атаки проводились в ноябре 2025 года, уже после начала отопительного сезона.

На любые уточняющие вопросы неизвестный направляет ссылку на сайт и добавляет: «Здесь вся информация по проверке, включая адрес. Проверьте и пришлите скриншот для отчётности».

Если проверить домен такого сайта через whois-сервис, то выяснится, что он создан недавно – как правило, за 2-3 недели до атаки. На единственной странице сайта – логотип госсервиса и текст внизу «Проверка авторизации», который через несколько секунд сменяется надписью «Авторизация успешна».

После того, как пользователь подтвердит неизвестному переход по ссылке, через мессенджер ему напишет или позвонит другой участник мошеннической схемы. С этого начинается второй этап атаки. В известных случаях злоумышленники использовали в качестве аватара логотип центров «Мои документы», однако в разговоре называли себя сотрудниками госсервиса.

Мошенник в разговоре сообщает о входе в личный кабинет на портал госсервиса с использованием «фишинговой ссылки» и спрашивает, переходил ли сегодня пользователь на незнакомые сайты. Затем злоумышленник сообщает, что «фишинговая ссылка позволяет третьим лицам иметь полный доступ к личному кабинету» и «от вашего имени подавали заявки на кредитование и была выгрузка документов».

«Вы лишитесь всего имущества»

Сценарий разговора на втором этапе атаки полностью повторяет тот, что используется в сценарии мошенничества с «кодом из СМС». Задача преступников – убедить пользователя, что переход по ссылке на фейковый сайт может привести к непоправимым последствиям.

В ходе разговора, который может продолжаться длительное время, мошенник задают наводящие вопросы. Например: «Вы ранее сталкивались с мошенническими действиями?», «Насколько часто вы пользуетесь порталом [госсервиса]?», «Вы ставили себе самозапрет на кредит?».

Также злоумышленник может назвать персональные данные пользователя, чтобы показать свою осведомлённость: например, номер паспорта, адрес регистрации и другую чувствительную информацию. Вместе с этим мошенник даёт пользователю советы по защите своих данных: «Поменяйте пароль от портала [госсервиса]», «На телефон пароль не сохраняйте», «Коды никому не диктуйте, по ссылкам не переходите».

Если пользователь во время разговора проявляет недоверие к словам мошенника, в ход идут угрозы. Например: «Вы перешли по мошеннической ссылке и из-за этого обязуетесь выплачивать кредит за переводы на Украину». Или: «Вы будете привлекаться к уголовной ответственности за те действия, которых вы не совершали», «Ваша машина будет изъята. Квартира под арестом. Возможности распоряжаться имуществом уже не будет».

Специалисты департамента Fraud Protection F6 отмечают, что в известных случаях злоумышленники использовали аккаунты мессенджеров, зарегистрированные на российские мобильные номера непосредственно перед атакой.

«На каждом этапе атаки мошенники стремятся к тому, чтобы отключить критическое мышление потенциальной жертвы. Для этого злоумышленники одновременно используют разные инструменты психологической манипуляции: давят авторитетом государственных структур, от имени которых якобы действуют, намекают на то, что им многое известно о пользователе, когда упоминают его персональные данные, проявляют ложную заботу и в то же время запугивают уголовным преследованием, лишением имущества. Мошенник под видом специалиста госсервиса рассказывает пользователю, как менять пароли, и в то же время продолжает его обманывать. Самая надёжная защита от таких манипуляций – не разговаривать с незнакомцами».

Дмитрий Дудков

Специалист компании F6 по противодействию финансовому мошенничеству

Рекомендации специалистов F6 по защите от мошеннических схем

• Установите в мессенджерах запрет на звонки и сообщения от незнакомых пользователей.
• Установите в мессенджерах запрет на поиск по номеру телефона.
• Установите в мессенджерах запрет на приглашения в чаты от незнакомых пользователей.
• Помните: представители государственных структур, банков и правоохранительных органов не общаются с пользователями через мессенджеры.
• Не вступайте в переписку в мессенджере с незнакомыми контактами.
• Не переходите по ссылкам от незнакомцев.
• Не сообщайте никаких кодов в переписке или в разговоре по телефону. Спрашивать код могут только мошенники.
• Без паники! Преступники обычно торопят и запрещают кому-то рассказывать о разговоре. Сделайте всё наоборот. Возьмите паузу. Посоветуйтесь с родными и коллегами. Главное — не торопиться.
• Если вас пытаются запугать в телефонном разговоре или в переписке, сообщите об этом вашим коллегам, родным, друзьям – тем, кому доверяете. Даже если незнакомцы говорят, что «говорить никому нельзя» и всё «совершенно секретно».
• Храните свою финансовую тайну. Если по телефону или в переписке вам предлагают совершить любые денежные операции или операции с недвижимостью, о которых вы не просили, сразу прекращайте разговор.
• Если вы стали жертвой атаки мошенников и преступники похитили у вас деньги, срочно обратитесь в полицию.