6 миллионов убытков: фейковый опрос «Единой России» опустошает счета жертв комбо-атаки
Преступники взламывают Telegram и используют украденные аккаунты для обмана.
Аналитики компании F6 в ходе исследования механизмов угона аккаунтов Telegram выявили новую мошенническую схему, основанную на комбо-атаке. После похищения аккаунта под предлогом трудоустройства злоумышленники автоматически распространяют мошеннические ссылки на фейковый опрос от имени партии «Единая Россия». Такой метод зафиксирован впервые.
На первом этапе преступники создают объявления о найме сотрудников с высокими зарплатами и привлекательными условиями. Вакансии могут касаться любых должностей – от курьеров и разнорабочих до топ-менеджеров крупных компаний. Для распространения информации используются различные площадки, включая сервисы поиска работы, Telegram-чаты и социальные сети. В популярных группах фейковые вакансии продвигаются посредством рекламы.
Чтобы вызвать доверие у потенциальных жертв, мошенники приобретают Telegram Premium, устанавливают деловые аватары, указывают рабочие часы и настраивают автоответчики. Откликнувшихся кандидатов просят предоставить номер телефона и перенести общение в WhatsApp или Telegram. Затем им отправляют ссылку на фишинговый сайт для заполнения резюме. На первых двух страницах пользователи вводят личные данные и профессиональную информацию, а на третьей им предлагают авторизоваться через Telegram. Введя номер телефона и код из SMS, жертва передаёт злоумышленникам полный доступ к своему аккаунту.
Сразу после угона аккаунта начинается массовая рассылка сообщений с предложением пройти опрос за вознаграждение. Отличительной особенностью данной схемы является использование бренда партии «Единая Россия». В сообщениях, рассылаемых с захваченных аккаунтов, пользователям предлагают пройти опрос за 5 000 рублей. Год назад в аналогичной схеме сумма вознаграждения составляла 2 500 рублей.
При переходе по ссылке пользователи Android перенаправляются на страницу, имитирующую официальный магазин Google Play, где им предлагается загрузить приложение, содержащее вредоносный код. После установки программа запрашивает разрешения на доступ к контактам и SMS, что позволяет злоумышленникам перехватывать сообщения и выполнять финансовые операции от имени жертвы. Затем пользователя перенаправляют на веб-страницу, где предлагается заполнить форму с личными данными, включая ФИО, номер банковской карты, телефон и СНИЛС. Владельцам iOS-устройств вместо скачивания приложения предлагается пройти через фишинговую веб-форму, где запрашиваются те же персональные и банковские данные.
По данным F6, преступники применяют новую схему около месяца. За это время пострадали 770 человек, а общий ущерб составил 5 921 500 рублей, при этом средняя сумма потерь – 7 690 рублей. Веб-ресурсы, использованные мошенниками, направлены на блокировку, а представители партии предупреждены о риске.
В последние месяцы мошенники активно эксплуатируют тему трудоустройства. Например, зимой 2024 года злоумышленники выдавали себя за владельцев пунктов выдачи заказов маркетплейсов. Они размещали фейковые объявления, а затем предлагали кандидатам установить на смартфон приложение, содержащее троян удаленного доступа (RAT), позволяющий списывать деньги со счетов пользователей.
Аналитики F6 рекомендуют при поиске работы проверять вакансии на официальных сайтах и избегать подозрительно выгодных предложений. Важно не переходить по ссылкам, полученным в мессенджерах, даже если их прислал знакомый человек. Устанавливать приложения следует только из официальных магазинов, внимательно проверяя запрашиваемые ими разрешения. В свою очередь, «Единая Россия» официально заявила, что не проводит платных опросов и не запрашивает данные банковских карт у граждан.