Бензиновая ловушка: мошенники запустили новые схемы угона Telegram-аккаунтов

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, предупреждает о новых сценариях мошенничества, которые направлены против участников СВО, а также владельцев автотранспорта. Под видом официальных госсервисов злоумышленники создали ряд фейковых сайтов. Первый фишинговый ресурс под названием «Калькулятор военных выплат» предлагает рассчитать и получить выплату за военную службу. На другом сайте мошенники обещают предоставить пострадавшим от ударов украинских беспилотников по топливной инфраструктуре талон на 30-процентную скидку на бензин и дизельное топливо. Цель преступной схемы – после сбора персональных данных пользователя взломать его аккаунт в Telegram для угона или шпионажа.

Калькулятор считает звёзды

Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 обнаружили два новых сценария угона аккаунтов пользователей Telegram. Первый из этих сценариев направлен против российских военнослужащих, второй – на водителей и владельцев транспортных средств.

Под видом официального государственного сервиса мошенники создали фейковый сайт «Калькулятор военных выплат». Посетителям сайта предлагается рассчитать размер положенных выплат с учётом возраста и выслуги лет, региона службы, звания, семейного положения и числа детей, а также имеющихся наград. После ввода данных пользователю показывают предварительную сумму выплат и для более точного расчёта предлагают авторизоваться через госсервис либо через Telegram.

При попытке войти в систему с учётной записью госсервиса мошеннический сайт сообщает об ошибке и предлагает авторизоваться через Telegram. Если пользователь укажет номер телефона, привязанный к аккаунту мессенджера, и введёт код подтверждения, поступивший от Telegram, злоумышленники сразу же получают доступ к аккаунту. Причём пользователь может этого не заметить.

Если цель киберпреступников – шпионаж, то они могут оставаться в аккаунте, читая переписку в режиме реального времени, или выгрузить её для анализа и дальнейшего использования в противоправных целях. Если злоумышленники хотят угнать аккаунт, что через сутки после получения доступа они могут отключить все устройства пользователя.

Угнанный аккаунт могут использовать с разными целями:

• мошенничества с целью кражи денег у контактов пользователя;
• распространения вредоносных файлов, ссылок или вовлечения в мошеннические схемы;
• передачи или продажи аккаунта другим киберпреступникам.

Ловушка для водителей

Для реализации другого сценария взлома Telegram-аккаунтов мошенники создали фейковый сайт госсервиса, на котором предлагают гражданам, «пострадавшим от атак украинских дронов на топливную инфраструктуру», получить талоны с 30-процентной скидкой на бензин и дизельное топливо.

Под этим предлогом посетителям сайта предлагают заполнить анкету, в которой необходимо указать тип транспортного средства, вид ущерба и желаемое количество автомобильного топлива.

Дальнейший механизм взлома аккаунта повторяет первый сценарий. Для получения талона пользователю предлагают авторизоваться через госсервис или через Telegram. Однако затем посетителю фейкового сайта показывают сообщение, что авторизация через госсервис временно невозможна из-за технических работ. Если пользователь попытается авторизоваться через Telegram и выполнит предлагаемые действия, его аккаунт будет скомпрометирован.

Капкан для аккаунта

Аналитики F6 отмечают, что фейковые сайты, которые используются в новых мошеннических сценариях, заметно отличаются по оформлению от официальных ресурсов и рассчитаны на пользователей, которые редко обращаются к государственным сервисам. Все обнаруженные сайты созданы 24 сентября 2025 года.

Пока не установлено, как именно киберпреступники направляют пользователей на эти фишинговые ресурсы. Специалисты F6 отмечают, что домены сайтов с фейковым «Калькулятором военных выплат» индексируются в российских поисковых системах, один из них отображается в верхних строках выдачи. Аналитики предполагают, что распространение ссылок на мошеннические ресурсы может также происходить через скомпрометированные аккаунты в личных сообщениях, адресованных родственникам и знакомым – тем самым злоумышленники расширяют охват потенциальных жертв.

CERT F6 направил домены сайтов с фейковыми выплатами для блокировки на территории Российской Федерации. Однако не исключено, что злоумышленники могут зарегистрировать под указанную схему новые домены.

«Эта схема представляет собой типичную фишинговую атаку, направленную на кражу учётных данных пользователей Telegram. Атака киберпреступников носит целевой характер и направлена на конкретные группы пользователей, такие как военнослужащие и их семьи. Нам удалось установить связь найденных мошеннических ресурсов с другими сайтами, которые носят аналогичные доменные имена, но в настоящее время уже недоступны. Это указывает на цикличный характер атак злоумышленников»

Анастасия Князева

Аналитик департамента Digital Risk Protection компании F6

Рекомендации специалистов F6 для защиты от подобных схем угона аккаунта в мессенджерах

• Включите в мессенджерах все инструменты безопасности, включая двухфакторную идентификацию, запрет на звонки и сообщения от незнакомых контактов, а также запрет на добавление в чаты.
• Не переходите по ссылкам от незнакомцев. Если знакомый контакт прислал ссылку, о которой вы не просили, открывать её также не стоит.
• Не сообщайте и не вводите коды из СМС и push-уведомлений на сайтах, которые открываете впервые.
• При использовании Telegram на смартфоне или web-версии на ноутбуке избегайте подключения к открытым сетям Wi-Fi.
• Если вам написал знакомый с просьбой проголосовать или принять участие в конкурсе — перепроверьте у него эту информацию по другому каналу связи (позвоните по обычной голосовой связи или напишите СМС). Возможно, его взломали.
• Оперативно свяжитесь с техподдержкой, если не можете войти в свой аккаунт в Telegram. Если все же получилось войти в свою учетную запись, сразу же завершите чужие сессии и поменяйте облачный пароль.
• Доверяйте только проверенным источникам. Информацию о доступных мерах социальной поддержки можно проверить в личном кабинете на портале «Госуслуги» или при личном обращении в МФЦ.