В последние годы мошенники активно используют новые технологии для обмана пользователей. Одним из наиболее распространенных методов стало хищение данных через Telegram-боты, маскирующиеся под официальные ресурсы Почты России и других служб доставки. Эксперты Angara SOC, проанализировав подобные атаки, выявили несколько ключевых схем, которые позволяют злоумышленникам получать доступ к учетным записям на портале Госуслуг и другим личным данным.
Описание
С начала 2025 года команда Angara SOC обнаружила и заблокировала более 50 фишинговых доменов, связанных с подобными атаками. Мошенники используют тщательно продуманные сценарии, включая звонки, сообщения в мессенджерах и фейковые боты, чтобы выманивать у пользователей логины, пароли и коды двухфакторной аутентификации.
Как работает схема обмана
Атака начинается с телефонного звонка или сообщения, в котором злоумышленник представляется сотрудником Почты России, Социального фонда или другой официальной организации. Под предлогом уточнения адреса доставки посылки пользователю предлагают перейти в Telegram-бот и авторизоваться через Госуслуги. В ходе разговора мошенники используют профессиональную лексику, имитируя работу реального колл-центра, что делает их сообщения более убедительными.
После перехода в бот жертве показывают интерфейс, напоминающий официальный сервис, где требуется ввести данные для входа. Однако вместо настоящего сайта Госуслуг пользователь попадает на фишинговую страницу, данные с которой сразу отправляются злоумышленникам. При этом из-за особенностей работы Telegram пользователь не видит адрес сайта, что делает атаку еще менее заметной.
Техническая сторона атак
Для создания веб-страниц и ботов мошенники активно используют генеративные нейросети, такие как ChatGPT. Это позволяет им быстро разрабатывать новые схемы без значительных технических знаний. В коде фишинговых страниц обычно присутствуют токены Telegram-бота и идентификаторы чатов, куда отправляются украденные данные.
После получения данных от жертвы злоумышленники могут использовать их для доступа к банковским приложениям, получения кредитов или мошеннических операций. Кроме того, утечка пароля от Госуслуг открывает доступ к персональным данным, включая информацию о родственниках, прописке и документам.
Мошеннические схемы с доставкой посылок продолжают развиваться, и злоумышленники постоянно ищут новые способы обмана. Однако осведомленность и осторожность пользователей могут значительно снизить риски. Если вы столкнулись с подозрительной активностью, рекомендуется немедленно сообщать об этом в службу поддержки соответствующих сервисов и правоохранительные органы.
Индикаторы компрометации
Domains
- sort-center.icu
- sort-center64743.icu
- sorted-centr.icu
- tralalerotralala.cloud
Telegram BOT
- @CheckSendE_bot
- @post_center_bot
