За первые три месяца 2026 года число доменов, используемых злоумышленниками для кражи аккаунтов в Telegram, уменьшилось более чем в два раза — до 3500 по сравнению с минимум 7500 в аналогичный период прошлого года. Специалисты объясняют эту тенденцию снижением скорости работы мессенджера и ухудшением доступа к инструментам обхода блокировок.
Источник изображения: lonely blue / unsplash.com
Падение затронуло всю сферу фишинговых ресурсов. BI.Zone, компания по управлению цифровыми рисками, входящая в экосистему «Сбера», выявила в I квартале 2026 года 12500 мошеннических сайтов во всех доменных зонах, включая российскую, тогда как за тот же период 2025 года их было 17500. Positive Technologies также отметила снижение доли атак с применением сайтов как одного из главных каналов: в I квартале 2026 года этот показатель составил 55 % против 60 % годом ранее и 77 % в IV квартале 2025 года.
Директор по развитию центра мониторинга внешних цифровых угроз Solar Aura ГК «Солар» Александр Вураско пояснил, что чаще всего аккаунты в Telegram угоняют через фишинг: пользователю присылают ссылку на подложный сайт под видом голосования, подарка или проверки безопасности, где предлагают ввести номер телефона и код подтверждения. Доступ к аккаунту также получают через социальную инженерию, когда мошенники пишут от имени знакомого или службы поддержки и убеждают переслать код либо перейти по ссылке. Ещё один вариант связан с вредоносными приложениями и ботами, которые запрашивают авторизацию и получают доступ к аккаунту или сессии. Руководитель BI.Zone Digital Risk Protection Дмитрий Кирюшкин подчеркнул, что злоумышленников привлекают чувствительные данные пользователей, а также финансовые и криптовалютные функции Telegram.
Источник изображения: Kevin Horvat / unsplash.com
Вураско предполагает, что определённая доля атак могла переместиться на другие платформы, где методы перехвата аккаунтов сейчас оказываются более эффективными. В то же время компания F6, специализирующаяся на кибербезопасности, в марте и апреле выявила новые обманные тактики, основанные на обходе замедления работы Telegram. Ведущий аналитик Digital Risk Protection F6 Евгений Егоров рассказал, что одна из таких схем использует ловушку в виде «официального прокси». В рамках этой схемы компания обнаружила 150 сайтов, чьи домены применяются для захвата учётных записей в мессенджере.
Сокращение количества вредоносных доменов специалисты связывают в первую очередь с усилением законодательных норм в различных государствах, а также с более пристальным отслеживанием фишинговых ресурсов со стороны регистраторов, хостинг-провайдеров и команд быстрого реагирования. Начиная с 1 сентября 2026 года регистрация и продление доменов в зонах .RU, .РФ и .SU в России будут разрешены исключительно после обязательной верификации владельца через ЕСИА или портал «Госуслуги». Кирюшкин полагает, что это значительно усложнит появление новых мошеннических сайтов в российской доменной зоне и может вынудить злоумышленников захватывать старые, слабо защищённые ресурсы для размещения фишинговых страниц, онлайн-казино и других игровых механик, нацеленных на хищение денег пользователей.
Данные компании T2, входящей в структуру Ростелекома, свидетельствуют об изменении поведения пользователей. Президент Ростелекома Михаил Осеевский 2 апреля на конференции «Телеком 2026» заявил, что за последнюю неделю объём трафика Telegram в сети оператора упал в 10 раз. Если в феврале на одного абонента приходилось 500 Мбайт трафика в месяц, то за последнюю неделю этот показатель составил 50 Мбайт. По словам Осеевского, трафик WhatsApp в сети оператора полностью отсутствует, тогда как объём данных через Max демонстрирует рост.
