Мошенники используют легенду Росфинмониторинга для фишинга с оплатой «доставки»

Вместо традиционного спуфинга (подмены) официального адреса Росфинмониторинга (fedsfm[.]ru) атакующие зарегистрировали домен-двойник. Они развернули на нем полноценную почтовую инфраструктуру, что позволяет письмам успешно проходить базовые проверки аутентификации отправителя, такие как SPF и DKIM. Следовательно, почтовые клиенты и шлюзы с меньшей вероятностью помечают такие сообщения как подозрительные.

Жертвы получают письмо, стилизованное под официальное уведомление. Вложение представляет собой PDF-документ, оформленный с использованием административно-делового стиля, ссылок на федеральные законы и описания якобы выявленного нарушения.

Документ содержит QR-код, который, согласно инструкции, необходимо отсканировать для оформления «доставки» сопутствующих бумаг. После сканирования пользователю предлагается указать Ф. И. О. и номер телефона, а затем оплатить услугу.

«При анализе мы столкнулись с типичным для таких атак поведением: первоначальный ресурс за QR-кодом был уже недоступен, - отмечают эксперты. - Однако, обратившись к контакту технической поддержки в Telegram, указанному в документе, мы получили новую персонализированную ссылку». По оценке аналитиков, собранные данные (Ф. И. О., телефон) используются для генерации уникальной платежной страницы под конкретного получателя.

Платежная страница является детальной копией интерфейсов легитимных сервисов доставки и платежных систем. Верстка, стили и часть ссылок полностью скопированы с оригинальных сайтов. Ключевое отличие скрыто в платежном шлюзе: все средства переводятся напрямую злоумышленникам, а не реальному сервису.

Проанализировав инфраструктурные признаки, эксперты Positive Technologies сформировали поисковые паттерны и провели корреляцию по данным системы PT PDNS. В результате было обнаружено более 1000 связанных доменов, размещенных на более чем 50 узлах. Повторяемость структуры страниц и массовое создание уникальных URL указывают на использование автоматизированных скриптов для быстрой генерации фишинговых ссылок.

Дополнительный поиск позволил выявить еще один кластер схожих ресурсов. Расследование также коснулось Telegram-аккаунта @cdek_tech, указанного в фишинговом документе. Аккаунт, судя по данным, был создан в первой половине 2025 года, а его первое публичное упоминание датируется октябрем того же года. Исходя из этого, активная фаза кампании началась ориентировочно в сентябре 2025 года.

Эксперты подчеркивают, что классические сигнатурные и песочничные (sandbox) методы детектирования в таких случаях часто неэффективны, поскольку отсутствует вредоносный исполняемый код (payload). Ключевыми для обнаружения становятся инфраструктурные признаки: домены отправителей и целевые ссылки.

Для защиты специалисты рекомендуют придерживаться простых правил. Во-первых, необходимо тщательно проверять доменные имена отправителя и адреса, на которые ведут ссылки или QR-коды. Любые лишние слова, дефисы или нетипичные доменные зоны должны вызывать подозрения. Во-вторых, важно сверять содержание письма с конечным адресом перехода. Государственные ведомства, как правило, не используют сторонние домены для официальных уведомлений. В-третьих, стоит критически оценивать каналы коммуникации. Официальные органы не ведут деловую переписку через мессенджеры. При малейших сомнениях стоит самостоятельно найти контакты организации через ее официальный сайт и проверить информацию.

Domains $

• adm-fedsfm.ru
• adm-sfzo.ru
• cfo-fedsfm.ru
• fedsfm-115.ru
• fedsfm-adm.ru
• fedsfm-cfo.ru
• fedsfm-info.ru
• fedsfm-mvk.ru
• fedsfm-petition.ru
• fedsfm-rfm.online
• fedsfm-rfm.ru
• fedsfmsfzo.ru
• fedsfm-sfzo.ru
• info-fedsfm.ru
• info-sfzo.ru
• msk-fedsfm.ru
• mvk-fedsfm.ru
• petition-fedsfm.ru
• priem-fedsfm.ru
• rf-fedsfm.ru
• rfm-adm.ru
• rfm-fedsfm.ru
• sfzofedsfm.ru
• sfzo-fedsfm.ru
• sfzo-info.ru
• sfzo-rfm.ru