Мошенники больше не звонят первыми. Теперь они делают рассылку от имени федеральных органов и ждут, что жертва сама обратится к ним по указанному там номеру телефона. Разбираем новую схему атаки и технические уловки злоумышленников, а также объясняем, как распознать поддельное письмо.
Крупные операторы связи, такие как МТС, Билайн и МегаФон, научились эффективно бороться со спамом. Они автоматически распознают подозрительную активность еще до соединения с абонентом. При входящем вызове с сомнительного номера на экране смартфона появляется предупреждение: «Возможно, мошенник». Большинство абонентов стали сбрасывать или игнорировать такие вызовы, поэтому преступники были вынуждены сменить тактику.
Как развивалась схема
Специалисты по кибербезопасности выделяют три поколения этой мошеннической схемы. Во всех случаях злоумышленники создают ситуацию, при которой жертва добровольно инициирует обратную связь. Это позволяет обойти технические блокировки.
Первое поколение строилось на технике пропущенного звонка. Мошенник совершал короткий вызов на номер жертвы и сразу разрывал соединение. Расчет делался на любопытство или тревогу: человек, увидев незнакомый номер, часто перезванивал сам. В ответ он попадал на платную линию, автоответчик с фишинговым сценарием или напрямую к оператору-мошеннику, который под предлогом проверки безопасности выманивал персональные данные, коды из СМС или устанавливал вредоносное ПО.
После того, как пользователи перестали перезванивать на неизвестные номера, а операторы связи начали массово блокировать подозрительные короткие вызовы, схема переместилась в SMS и мессенджеры. Жертвам стали приходить уведомления о взломе аккаунта на Госуслугах, подозрительной активности или необходимости срочной верификации. Это также заставляло людей самостоятельно выходить на связь с мошенниками.
Третье поколение использует массовую email-рассылку от имени федеральных органов. В письмах сообщается о входе в личный кабинет с использованием электронной подписи и выгрузке документов. А также указывается номер, позвонив на который, жертва попадает к подготовленному оператору. Его задача — под видом сотрудника ведомства получить доступ к электронной подписи. Для этого позвонившего просят продиктовать код из СМС, установить «приложение для защиты» (на самом деле — вирус) или перейти по фишинговой ссылке. Компрометация электронной подписи может привести к таким серьезным последствиям, как незаконное переоформление недвижимости или регистрация фиктивной фирмы.
Технические особенности рассылки
Злоумышленники заменяют кириллические символы на визуально идентичные латинские (например, кириллическую «а» на латинскую «a»). Такая подмена позволяет обойти спам-фильтры, настроенные на точное совпадение ключевых слов, при этом разница для обычного пользователя остаeтся незаметной.
Вместо одной темы используются десятки различных вариантов. Ротация формулировок снижает вероятность срабатывания фильтров по ключевым словам.
Письма рассылаются не с поддельных доменов, а со взломанных ящиков, принадлежащих реальным организациям. Это повышает доверие получателей и увеличивает вероятность ответного звонка или перехода по ссылке.
Рассылка идет ежедневно, включая выходные и праздники, что указывает на использование автоматизированных ботов.
На кого это рассчитано
Целевая аудитория — бухгалтеры, юристы, индивидуальные предприниматели и руководители, которые регулярно работают с порталом Госуслуг, системами электронного документооборота, ФНС и Росреестром через электронную подпись.
Мошенническая схема намеренно нацелена на пользователей, чья профессиональная деятельность подразумевает взаимодействие с этими сервисами.
Что делать, если пришло такое письмо
Получив подобное сообщение, ни в коем случае не звоните по указанному в нем номеру. Чтобы убедиться в подлинности письма, изучите его технические заголовки. Если указанный домен не совпадает с официальным доменом государственного ведомства, сообщение является поддельным. Дополнительно проверьте результаты аутентификации SPF, DKIM и DMARC в заголовках. Мошеннические письма либо не содержат таких записей, либо проходят валидацию с чужого домена.
Если вы используете электронную подпись в работе организации, обязательно проинформируйте об угрозе коллег, особенно сотрудников бухгалтерии и юридического отдела. Для повышения общей безопасности рекомендуется настроить почтовый клиент так, чтобы он всегда отображал полный адрес отправителя, а не только его отображаемое имя.
Читайте также
читайте наш блог о всем самом интересном,
расскажем и покажем кухню легиона изнутри
'%3E%3Cellipse cx='68.2542' cy='381.143' rx='68.2542' ry='381.143' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 1236.79 669.182)' fill='%23FF2B5F' fill-opacity='0.5'/%3E%3C/g%3E%3Cg filter='url(%23filter1_f_3008_1418)'%3E%3Cellipse cx='68.2542' cy='188.98' rx='68.2542' ry='188.98' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 1048.82 669.182)' fill='%23FF7032' fill-opacity='0.5'/%3E%3C/g%3E%3Cg filter='url(%23filter2_f_3008_1418)'%3E%3Cellipse cx='120.86' cy='187.481' rx='120.86' ry='187.481' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 1109.56 773)' fill='%23FF2D31' fill-opacity='0.5'/%3E%3C/g%3E%3Cg filter='url(%23filter3_f_3008_1418)'%3E%3Cellipse cx='120.86' cy='187.481' rx='120.86' ry='187.481' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 107.614 260.605)' fill='%23FF2D31' fill-opacity='0.5'/%3E%3C/g%3E%3Cdefs%3E%3Cfilter id='filter0_f_3008_1418' x='806.561' y='-242.975' width='659.378' height='1039.13' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='83.8894' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3Cfilter id='filter1_f_3008_1418' x='765.351' y='106.29' width='520.23' height='692.56' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='83.8894' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3Cfilter id='filter2_f_3008_1418' x='804.651' y='132.995' width='645.326' height='782.404' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='101.471' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3Cfilter id='filter3_f_3008_1418' x='-197.291' y='-379.399' width='645.326' height='782.404' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='101.471' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3C/defs%3E%3C/svg%3E%0A)
ИБ в эпоху ИИ-агентов? Claude Mythos Preview
Про новые ИИ-агенты в сфере кибербезопасности, их возможности и проблемы.
Новые правила для КИИ
Какая ответственность предусмотрена для нарушителей в сфере КИИ теперь?
Что мешает руководителю по ИБ быть услышанным?
Дело не в качестве ваших аргументов, а в том, что руководитель компании мыслит в других категориях.
Киберпреступность в эпоху тотальной конвергенции
Хакеры-одиночки остались в прошлом. Киберпреступность сегодня – это высокомаржинальная индустрия с автоматизированными процессами.
Кто атакует российский бизнес?
Разбираемся, кто это такие, как работают, кого выбирают в качестве жертв, и, самое главное, как от них защититься.