Медовая ловушка: мошенники предлагают стать модератором OnlyFans и похищают деньги

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, предупреждает о новом сценарии мошенничества c удалённой работой. Злоумышленники размещают объявления на популярных площадках, приглашают стать модератором сервиса для взрослых OnlyFans и под предлогом получения аккаунта просят оформить подписку за 1₽ через фейковое приложение. Используя эту схему, только одна из скам-групп с начала 2025 года обманула более 90 пользователей, у которых похитили 869 тыс. ₽.

«Алло, мы ищем таланты»

Аналитики департамента компании F6 по защите от цифровых рисков (Digital Risk Protection) зафиксировали новый сценарий обмана с удалённой работой. Для атак на жителей России, которые находятся в поиске постоянного источника заработка, злоумышленники адаптировали разновидность популярной схемы FakeDate («фальшивое свидание»).

Мошенники размещают объявления о поиске сотрудников на удалённую работу. Для публикации вакансий используют популярные площадки и сайты бесплатных объявлений. В описании злоумышленники указывают, что ищут модераторов для сайта, чья задача – обеспечивать комфортную и безопасную среду для пользователей. За мониторинг и удаление нежелательного контента обещают платить от 10 тыс. ₽ в неделю, возможность работать из дома и гибкий график. Среди требований к соискателям, таких как ответственность, внимательность и хорошее знание русского языка, указано обязательное наличие мобильного устройства на операционной системе Android 7 и выше.

Для обратной связи с потенциальными жертвами мошенники используют фейковые аккаунты в Telegram. Чтобы создать образ, вызывающий доверие, они покупают для своих аккаунтов Premium и устанавливают на аватарах изображения в деловом стиле.

Всё по-взрослому

В переписке злоумышленники сообщают, что ищут сотрудников для OnlyFans. Это популярный сервис для взрослых, недоступный для пользователей из России. Соискателям объясняют, что в первое время они будут верифицировать новые анкеты моделей, для чего потребуется создать свой аккаунт в приложении.

Обязательное условие работы в приложении, которое сразу обозначают мошенники – оплата подписки за 1₽. Злоумышленники объясняют, что это якобы необходимо для привязки карты к аккаунту модератора, чтобы в дальнейшем начислять на эту карту зарплату. Если пользователь соглашается с обозначенными условиями, скамер уточняет день, с которого кандидат готов приступить к работе, и в назначенное время направляет ему ссылку для скачивания приложения.

Ссылка ведёт на сайт, домен которого созвучен названию платформы (например, only-fans[.]in) и который маскируется под страницу магазина приложений Google Play. Под видом мобильного приложения OnlyFans пользователю предлагают скачать вредоносный APK-файл: шпионскую программу, которая позволяет злоумышленникам перехватывать СМС от банков. Когда пользователь введёт данные банковской карты, чтобы оплатить подписку, мошенники сразу же получают эти данные, а вместе с ними – возможность вывести деньги со счёта пользователя, в том числе взять на его имя кредит.

«Подпишись на мой блог»

Впервые мошенники использовали схему с оплатой подписки на OnlyFans в 2023 году. Под видом привлекательных девушек злоумышленники знакомились с жертвами в соцсетях или чат-ботах, отправляли откровенные фото. Остальное предлагали посмотреть в OnlyFans, а для этого – установить на телефоне фейковое приложение и оплатить подписку в 1$.

Эту схему мошенники продолжают использовать до сих пор и дополняют её новыми вариантами. Например, в одном из сценариев фейкового знакомства злоумышленники действуют от имени девушки-психолога, которая ведёт на OnlyFans блог, посвященный полигамным отношениям. В переписке с кавалером скамер пишет, что публикует в блоге тематические статьи, фото и видео, и предлагает подписаться на блог через фейковое приложение.

Используя схему обмана с OnlyFans, только одна из скам-групп с начала 2025 года обманула 93 пользователей из России, у которых похитили 869 тыс. ₽. Максимальная сумма списания составила 155 тыс. ₽, минимальная – 800 ₽.

«Схемы мошенничества с фейковым трудоустройством чаcто нацелены на пользователей Android-устройств, так как с помощью такого способа мошенники могут вывети все деньги со счёта жертвы, а иногда даже оформить кредит»

Мария Синицына

Старший аналитик департамента Digital Risk Protection компании F6

В 2025 году злоумышленники стали активнее использовать тему трудоустройства в новых сценариях обмана. Так, в марте специалисты F6 обнаружили комбо-схему: под предлогом заполнения резюме злоумышленники угоняли аккаунты пользователей Telegram, а затем рассылали по списку контактов сообщения от имени партии «Единая Россия» с предложением пройти опрос за деньги. Для этого предлагалось скачать фейковое мобильное приложение с Android-трояном. А минувшей зимой аналитики зафиксировали схему мошенничества под видом трудоустройства в пункты выдачи заказов популярных маркетплейсов. Преступники, используя подставные аккаунты, под видом владельцев ПВЗ размещали на популярных платформах объявления о наборе сотрудников, которым предлагали установить на смартфон фейковое Android-приложение.

Рекомендации специалистов F6 для защиты от подобных преступлений.

• Не переходите по ссылкам от незнакомцев.
• Не устанавливайте приложения по рекомендациям пользователей, которых не знаете в реальной жизни.
• Устанавливайте мобильные приложения только из официальных магазинов (обязательно проверяя правильность их доменных имён), от проверенных разработчиков и только в том случае, если точно знаете, для чего эти приложения вам нужны.
• Проверяйте разрешения, которые запрашивают мобильные приложения после установки. Если приложение требует дать ему разрешения, которые напрямую не связаны с заявленным функционалом (например, для чтения СМС и контактов), удалите такое приложение, чтобы исключить риск утечки конфиденциальной информации неизвестным.
• Тщательно проверяйте доменные имена ресурсов, на которые собираетесь перейти – например, с помощью VirusTotal. Если домен сайта отличается от оригинального или просто кажется вам подозрительным – не открывайте страницу.
• Не вводите данные банковской карты, CVV и ПИН-коды, логины и пароли на непроверенных или незнакомых сайтах, в приложениях и сервисах, которыми пользуетесь впервые.
• Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка, или с использованием банковского приложения.
• При поиске вакансий помните: зарплата выше рынка, если такие условия предлагает не известная крупная компания – один из отличительных признаков объявлений от мошенников. Если в объявлении обещают высокую зарплату при низких требованиях или их отсутствии – это сигнал вероятного обмана.