«Вашу подпись взломали»: новый сценарий мошеннической схемы с обратным звонком

Компания F6, российский разработчик технологий для борьбы с киберугрозами, зафиксировала новый сценарий мошеннической схемы с обратным звонком. Начиная с 26 марта, злоумышленники от имени федерального ведомства рассылают по электронной почте письма, в которых сообщают об «авторизации в аккаунте с помощью электронной подписи», выгрузке документов и предлагают перезвонить по мобильному номеру. Преступники используют для мошеннических рассылок 32 различные темы. Новая уловка рассчитана на пользователей, которые применяют электронную подпись для доступа к различным государственным и коммерческим сервисам как в личных, так и в служебных целях.

Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 предупреждают о новом сценарии схемы обмана с обратным звонком.

Система защиты корпоративной почты F6 Business Email Protection (F6 BEP) зафиксировала и заблокировала мошенническую рассылку в адрес клиентов компании от имени федерального ведомства. В этих письмах сообщается об «авторизации в аккаунте с помощью ЭП» (электронной подписи»). В тексте письма говорится о выполнении «входа с нового устройства Android» в городе Шарья Костромской области. Пользователя запугивают сообщением о том, что якобы «система обнаружила выгрузку Ваших документов», и предлагают связаться с «отделом оперативного контроля» по номеру мобильного телефона. Злоумышленники используют в мошеннических рассылках 32 различные темы, которые призваны привлечь внимание пользователя и вызвать у него тревогу: например, «Кто-то воспользовался вашими данными», «Подозрительная авторизация», «Вход с нового IP-адреса».

Первые такие рассылки система F6 BEP обнаружила и заблокировала 26 марта 2026 года. Злоумышленники продолжают распространять такие письма от имени федерального ведомства в ежедневном режиме, включая выходные дни. Рассылки проводятся с предположительно скомпрометированных почтовых ящиков. Для обхода средств защиты электронной почты злоумышленники используют в технических заголовках писем гомоглифы (визуально похожие символы).

Новая уловка киберпреступников рассчитана на пользователей, которые применяют электронную подпись для доступа к различным государственным и коммерческим сервисам как в личных, так и в служебных целях.

«Мошенники используют схему с обратным звонком в стремлении обойти антифрод-системы и понизить бдительность пользователей, которые принимают решение перезвонить сами. Сама схема постоянно меняется, атаки становятся более целенаправленными и выходят на новый уровень. Сначала злоумышленники просто набирали номер и сбрасывали звонок, побуждая человека перезвонить, затем рассылали тревожные СМС, в которых сообщали о подозрительных действиях в аккаунтах и указывали номер телефона для связи, а позже стали распространять по электронной почте письма от имени госсервиса с ложным сообщением о входе в личный кабинет».

Дмитрий Дудков

Главный специалист компании F6 по противодействию финансовому мошенничеству

Фишинговое письмо – первая часть многоэтапной преступной схемы, которая призвана убедить пользователя самому позвонить в мошеннический колл-центр. В зависимости от тактики злоумышленников пользователя могут запугивать тем, что посторонние якобы получили возможность совершать от его имени финансовые операции, угрожать уголовной ответственностью и конфискацией имущества за финансирование террористов, а затем под этими предлогами заставить жертву передать им деньги или совершить преступные действия в отношении других людей.

Рекомендации специалистов F6 по защите от мошеннической схемы с обратным звонком

• Если вы получили тревожное СМС, электронное письмо или сообщение в мессенджере, обратите внимание на признаки обмана. Для электронного письма их три: 1) если письмо от имени федерального ведомства отправлено не с официального домена; 2) если раньше вы не получали письма от этого ведомства; 3) если письмо побуждает к срочным действиям, а для связи предлагается позвонить на номер телефона, который не указан на официальном сайте ведомства.
• Не переходите по ссылкам и не открывайте файлы из подозрительных сообщений.
• Если возникли сомнения, используйте для связи и уточнения информации только контакты, указанные на официальном сайте.

Темы писем, используемых в новом сценарии мошеннической схемы с обратным звонком

1. Авторизация с другого устройства
2. Вход в Личный кабинет
3. Новое устройство в аккаунте
4. Уведомление о входе в учётную запись
5. Выполнен вход в ваш аккаунт
6. Кто-то вошёл в ваш профиль
7. Авторизация выполнена
8. Вход подтверждён системой
9. Вход в аккаунт подтверждён
10. Кто-то воспользовался вашими данными
11. Обнаружен вход в систему
12. Подтверждение действия: вход
13. Был выполнен вход
14. Зарегистрирован факт входа
15. Подключено новое устройство
16. Был выполнен вход в систему
17. Вход выполнен успешно
18. Вход с нового IP-адреса
19. Доступ подтверждён
20. Новый вход зарегистрирован
21. Авторизация завершена успешно
22. Вход завершён
23. Вы выполнили вход
24. Использовано новое устройство
25. Вход в учётную запись
26. Подозрительная авторизация
27. Подтверждение входа
28. Вход в аккаунт прошёл успешно
29. Обнаружено новое устройство
30. Авторизация прошла успешно
31. Вы успешно авторизовались
32. Получен доступ к аккаунту