Специалисты отдела противодействия цифровым угрозам (Digital Risk Protection) компании F6 выявили две новые схемы несанкционированного доступа к учетным записям пользователей Telegram. Одна из них ориентирована на российских военнослужащих, а вторая — на автовладельцев и водителей. Об этом изданию CNews сообщили представители F6.
Мошенники разработали поддельный ресурс «Калькулятор военных выплат», маскирующийся под официальный государственный портал. На сайте предлагается определить размер положенных выплат с учетом таких параметров, как возраст, стаж службы, регион прохождения службы, звание, семейный статус и количество детей, а также наличие наград. После заполнения данных система отображает ориентировочную сумму и для более детального расчета предлагает войти через госуслуги или Telegram.
При попытке авторизации через государственный сервис поддельный сайт выдает сообщение об ошибке и перенаправляет на вход через Telegram. Если владелец аккаунта вводит привязанный номер телефона и подтверждающий код от мессенджера, злоумышленники мгновенно получают контроль над его учетной записью. При этом пользователь может не заметить произошедшего взлома.
Если киберпреступники преследуют цели шпионажа, они могут продолжить скрытое присутствие в аккаунте, отслеживая переписку в реальном времени, или экспортировать её для последующего анализа и противоправного использования. В случае целенаправленного захвата аккаунта злоумышленники могут через сутки отключить все устройства пользователя.
Скомпрометированные аккаунты используются различными способами: для мошеннических операций с целью хищения средств у контактов владельца; распространения вредоносных материалов, ссылок или вовлечения в аферы; передачи или продажи учетных данных другим злоумышленникам.
Вторая схема взлома реализуется через фальшивый сайт госуслуг, где предлагается оформить талоны со скидкой 30% на бензин и дизельное топливо для граждан, «пострадавших от атак украинских дронов на объекты топливной инфраструктуры».
Под этим предлогом посетителям предлагается заполнить анкету с указанием типа транспортного средства, характера ущерба и необходимого объема топлива.
Механизм компрометации аккаунта аналогичен первой схеме. Для получения талона требуется авторизация через госуслуги или Telegram, однако затем пользователь видит уведомление о временной недоступности входа через госсервис из-за технических работ. При последующей попытке входа через Telegram и выполнении указанных действий учетная запись переходит под контроль злоумышленников.
Эксперты F6 подчеркивают, что дизайн поддельных сайтов в новых мошеннических схемах существенно отличается от официальных аналогов и рассчитан на пользователей, редко взаимодействующих с государственными сервисами. Все обнаруженные ресурсы были созданы 24 сентября 2025 года.
Механизм перенаправления пользователей на эти фишинговые площадки пока остаётся невыясненным. Эксперты F6 констатируют, что домены поддельного «Калькулятора военных выплат» появляются в российских поисковых системах, причём один из них занимает высокие позиции в результатах поиска. По мнению аналитиков, рассылку ссылок на мошеннические сайты могут осуществлять через взломанные профили в личных переписках с близкими и друзьями – так злоумышленники увеличивают аудиторию потенциально пострадавших.
CERT F6 передал данные о доменах с поддельными расчётными сервисами для блокировки в пределах России. Тем не менее сохраняется вероятность, что преступники зарегистрируют новые доменные имена по аналогичной схеме.
«Данная модель представляет классическую фишинговую атаку, нацеленную на присвоение учётных данных Telegram. Действия киберпреступников носят избирательный характер и ориентированы на определённые категории лиц, включая военных и их родственников. Мы выявили взаимосвязь обнаруженных мошеннических платформ с другими сайтами, имеющими схожие доменные имена, но в данный момент неработоспособными. Это демонстрирует повторяющийся характер атак», – пояснила Анастасия Князева, аналитик департамента Digital Risk Protection компании F6.
Советы от экспертов F6 по защите от подобных методов захвата аккаунтов в мессенджерах
Активируйте в мессенджерах все доступные средства защиты: двухэтапную проверку, ограничение звонков и сообщений от неизвестных лиц, а также запрет на добавление в групповые чаты.
Воздерживайтесь от перехода по ссылкам от незнакомых людей. Если знакомый отправил вам непрошенную ссылку – её также не следует открывать.
Никому не сообщайте и не вводите на новых сайтах коды из СМС и push-оповещений.
При работе с Telegram через мобильное приложение или веб-версию избегайте подключения к публичным Wi-Fi сетям.
Если знакомый человек неожиданно просит вас проголосовать или поучаствовать в акции – уточните эту информацию через альтернативный канал связи (голосовой звонок или СМС). Его учётная запись могла быть скомпрометирована.
Немедленно обращайтесь в службу поддержки при проблемах с входом в аккаунт Telegram. Если доступ восстановлен – немедленно завершите все посторонние сессии и обновите облачный пароль.
Пользуйтесь только проверенными источниками. Сведения о доступных видах социальной помощи можно уточнить через личный кабинет на портале «Госуслуги» или при визите в МФЦ.
