Компания F6, разработчик технологий для борьбы с киберпреступностью, предупредила о новой мошеннической схеме, нацеленной на россиян, находящихся в поиске работы. Преступники угоняют аккаунты пользователей Telegram, используя предлог заполнения резюме, а затем рассылают их контактам сообщения с предложением пройти опрос от имени партии «Единая Россия» за денежное вознаграждение.
Для участия в опросе жертвам предлагают скачать фейковое мобильное приложение, содержащее Android-троян. После его установки мошенники получают доступ к банковским счетам и могут вывести деньги. По данным F6, с 20 февраля по 15 марта жертвами этой схемы стали 770 человек, потерявших в общей сложности почти 6 млн рублей.
«Злодейское комбо»: как работает схема
Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) F6 обнаружили, что похищенные под предлогом трудоустройства Telegram-аккаунты автоматически начинают распространять мошеннические ссылки на «опрос» от имени «Единой России». Подобная комбинация методов зафиксирована впервые.
Преступники нацелены на пользователей Telegram, находящихся в поиске работы. Их первая цель — убедить жертву оставить резюме.
Для этого мошенники размещают фейковые вакансии, обещая высокую зарплату и выгодные условия. Они предлагают любые должности — от курьера и разнорабочего до топ-менеджера крупной компании. Чтобы привлечь как можно больше соискателей, объявления публикуются на всех возможных платформах:
- сайты бесплатных объявлений,
- сервисы поиска работы,
- профильные Telegram-чаты,
- группы в соцсетях.
В крупных сообществах мошенники продвигают объявления с помощью платной рекламы.
Как преступники создают образ «настоящего» рекрутера?
Чтобы выглядеть убедительно, злоумышленники маскируются под кадровых специалистов:
✅ Покупают Telegram Premium для солидности.
✅ Устанавливают на аватарку деловую фотографию.
✅ Указывают рабочие часы в описании профиля.
✅ Настраивают автоответчик.
Такой подход позволяет им вызывать доверие и увеличивать число откликов.
Как проходит обман?
1️⃣ Контакт с жертвой.
Если соискатель откликается на вакансию, мошенники запрашивают номер телефона и предлагают продолжить общение в WhatsApp или Telegram. Этот шаг выглядит естественным, так как используется в реальных собеседованиях.
2️⃣ Заполнение резюме на фальшивом сайте.
Жертве присылают ссылку на фишинговый ресурс, где необходимо заполнить личные данные:
- Имя и фамилию,
- Адрес проживания,
- E-mail,
- Опыт работы и навыки.
3️⃣ Кража Telegram-аккаунта.
На последнем этапе сайт сообщает: «Резюме готово! Для подтверждения отправки пройдите авторизацию через Telegram».
Если пользователь вводит номер телефона, а затем код подтверждения из SMS, мошенники мгновенно получают доступ к его Telegram-аккаунту.
Сразу после угона аккаунта по всем контактам и чатам пользователя начинается автоматическая массовая рассылка сообщений с предложением пройти опрос за деньги.
Мошенники используют бренд «Единой России» для новой схемы обмана
Вторая часть новой мошеннической схемы основана на использовании бренда партии «Единая Россия». Преступники повторяют сценарий, который впервые применили год назад, незадолго до президентских выборов.
Взломанный Telegram-аккаунт автоматически рассылает сообщение с предложением пройти опрос от имени «Единой России» и получить за это 5 000 рублей. Для сравнения, в 2024 году в аналогичной схеме обещанная сумма была вдвое меньше — 2 500 рублей.
После перехода по ссылке пользователь Android-устройства попадает на поддельный магазин Google Play, откуда ему предлагают скачать фейковое приложение. В нём скрыт троян, который сразу после установки запрашивает доступ к контактам и SMS.
Далее жертву перенаправляют на сайт с формой, где необходимо указать:
- ФИО,
- номер банковской карты,
- телефон,
- СНИЛС.
Получив эти данные и контроль над устройством, мошенники списывают деньги со счёта, перехватывая SMS с кодами подтверждения.
Если у пользователя iOS, установить вредоносное приложение он не сможет. Вместо этого ему предложат пройти опрос и заполнить фишинговую форму, где также нужно указать номер банковской карты.
Та же преступная группа, новые жертвы
Аналитики F6 установили, что за этой схемой стоит та же группа мошенников, которая осенью 2024 года запустила атаку на участников СВО. Тогда злоумышленники выдавали себя за медсестёр и волонтёров, находили военных через сайты знакомств и соцсети и сообщали им фейковые сведения о выплатах от «Единой России». Затем жертве предлагали скачать вредоносное Android-приложение, которое похищало деньги.
Некоторые детали их работы остались неизменными: график работы чата поддержки всё так же указан по киевскому времени. Но вознаграждение за успешное хищение теперь выплачивается в рублях, а не в гривнах.
Злоумышленники используют новую схему около месяца. За это время от действий мошеннической группы, которая её использует, пострадали 770 человек, у которых похитили 5 921 500 рублей, а средняя сумма ущерба составила 7 690 рублей.
Специалисты компании F6 направили на блокировку данные веб-ресурсов, которые мошенники используют для противоправных действий, и предупредили представителей партии об угрозе.
Как защититься от мошенников?
🔹 Не переходите по подозрительным ссылкам, даже если их отправил знакомый.
🔹 Проверяйте вакансии на официальных сайтах работодателей.
🔹 Настройте двухфакторную аутентификацию в Telegram, чтобы даже при утечке кода доступ к аккаунту оставался защищённым.
🔹 Не сообщайте никому коды из SMS — даже если вас просят об этом «представители компании».
О компании F6
F6 — ведущий разработчик технологий для борьбы с киберпреступностью, предотвращения и расследования киберпреступлений в России и за рубежом. Флагманские продукты F6 основаны на знаниях, полученных в ходе многолетних реагирований на инциденты и исследований киберпреступности.