«Добрый вечер, я диспетчер»

Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 обнаружили новый сценарий телефонного мошенничества, который используется для персонализированных атак.

В его основе сложная многоэтапная схема, которая начинается с провокации пользователя на определенные действия. На следующем этапе атаки потенциальная жертва получает от мошенников ложное сообщение о взломе личного кабинета госсервиса, затем его запугивают уголовной ответственностью от имени сотрудников госструктур. На завершающем этапе преступники под предлогом освобождения от ответственности требуют перевести деньги на якобы безопасный счет, досрочно погасить кредит, который якобы взяли мошенники, либо задекларировать свои сбережения и передать для этого курьеру.

Обычно злоумышленники используют на первом этапе сценарий, при котором просят пользователя назвать код из СМС. Для этого мошенники сообщают о несуществующей замене счетчиков, домофона, необходимости подтвердить данные, доставке посылки или цветов – в качестве предлога могут использовать любой повод. СМС с кодом злоумышленники отправляют с подставного номера, а сам код – случайный набор цифр. Цель преступников – добиться передачи кода и на следующем этапе атаки убедить пользователя, что он якобы сообщил неизвестным код подтверждения от госсервиса.

Противодействовать тактике злоумышленников помогает простое правило: код спрашивает только мошенник. Такую рекомендацию все чаще можно встретить в памятках для пользователей. Чтобы обойти эту защиту, преступники разработали новый сценарий, в котором вместо кода из СМС используются ссылки на фейковые сайты.

В известных специалистам F6 случаях атака по новому сценарию начиналась с сообщения в мессенджере от неизвестного контакта, который представлялся «диспетчером РСО»: «В связи с началом отопительного сезона наш мастер будет полностью проверять отопительную систему. Когда удобно будет встретить мастера?» Эти атаки проводились в ноябре 2025 года, уже после начала отопительного сезона.

На любые уточняющие вопросы неизвестный направляет ссылку на сайт и добавляет: «Здесь вся информация по проверке, включая адрес. Проверьте и пришлите скриншот для отчетности».

Если проверить домен такого сайта через whois-сервис, то выяснится, что он создан недавно – как правило, за две-три недели до атаки. На единственной странице сайта – логотип госсервиса и текст внизу «Проверка авторизации», который через несколько секунд сменяется надписью «Авторизация успешна».

После того как пользователь подтвердит неизвестному переход по ссылке, через мессенджер ему напишет или позвонит другой участник мошеннической схемы. С этого начинается второй этап атаки. В известных случаях злоумышленники использовали в качестве аватара логотип центров «Мои документы», однако в разговоре называли себя сотрудниками госсервиса.

Мошенник в разговоре сообщает о входе в личный кабинет на портал госсервиса с использованием фишинговой ссылки и спрашивает, переходил ли сегодня пользователь на незнакомые сайты. Затем злоумышленник сообщает, что «фишинговая ссылка позволяет третьим лицам иметь полный доступ к личному кабинету» и «от вашего имени подавали заявки на кредитование и была выгрузка документов».

Сценарий разговора на втором этапе атаки полностью повторяет тот, что используется в сценарии мошенничества с «кодом из СМС». Задача преступников – убедить пользователя, что переход по ссылке на фейковый сайт может привести к непоправимым последствиям.

В ходе разговора, который может продолжаться длительное время, мошенник задают наводящие вопросы, например «Вы ранее сталкивались с мошенническими действиями?», «Насколько часто вы пользуетесь порталом [госсервиса]?», «Вы ставили себе самозапрет на кредит?»

Также злоумышленник может назвать персональные данные пользователя, чтобы показать свою осведомленность, например номер паспорта, адрес регистрации и другую чувствительную информацию. Вместе с этим мошенник дает пользователю советы по защите своих данных: «Поменяйте пароль от портала [госсервиса]», «На телефон пароль не сохраняйте», «Коды никому не диктуйте, по ссылкам не переходите».

Если пользователь во время разговора проявляет недоверие к словам мошенника, в ход идут угрозы, такие как «Вы перешли по мошеннической ссылке и из-за этого обязуетесь выплачивать кредит за переводы на Украину» или «Вы будете привлекаться к уголовной ответственности за те действия, которых вы не совершали», «Ваша машина будет изъята. Квартира под арестом. Возможности распоряжаться имуществом уже не будет».

Специалисты департамента Fraud Protection F6 отмечают, что в известных случаях злоумышленники использовали аккаунты мессенджеров, зарегистрированные на российские мобильные номера непосредственно перед атакой.

Специалист компании F6 по противодействию финансовому мошенничеству Дмитрий Дудков подчеркивает, что на каждом этапе атаки мошенники стремятся к отключению критического мышления потенциальной жертвы. Для этого злоумышленники одновременно используют разные инструменты психологической манипуляции: давят авторитетом государственных структур, от имени которых якобы действуют, намекают, что им многое известно о пользователе, когда упоминают его персональные данные, проявляют ложную заботу и в то же время запугивают уголовным преследованием, лишением имущества. Мошенник под видом специалиста госсервиса рассказывает пользователю, как менять пароли, и в то же время продолжает его обманывать. Самая надежная защита от таких манипуляций – не разговаривать с незнакомцами.

Рекомендации специалистов F6 по защите от мошеннических схем:
установите в мессенджерах запрет на звонки и сообщения от незнакомых пользователей;
установите в мессенджерах запрет на поиск по номеру телефона;
установите в мессенджерах запрет на приглашения в чаты от незнакомых пользователей;
помните, что представители государственных структур, банков и правоохранительных органов не общаются с пользователями через мессенджеры;
не вступайте в переписку в мессенджере с незнакомыми контактами;
не переходите по ссылкам от незнакомцев;
не сообщайте никаких кодов в переписке или в разговоре по телефону. Спрашивать код могут только мошенники;
без паники! Преступники обычно торопят и запрещают кому-то рассказывать о разговоре. Сделайте все наоборот. Возьмите паузу. Посоветуйтесь с родными и коллегами. Главное — не торопиться;
если вас пытаются запугать в телефонном разговоре или в переписке, сообщите об этом вашим коллегам, родным, друзьям – тем, кому доверяете. Даже если незнакомцы говорят, что говорить никому нельзя и все совершенно секретно;
храните свою финансовую тайну. Если по телефону или в переписке вам предлагают совершить любые денежные операции или операции с недвижимостью, о которых вы не просили, сразу прекращайте разговор;
если вы стали жертвой атаки мошенников и преступники похитили у вас деньги, срочно обратитесь в полицию.