«Ваша выплата выросла»: мошенники в Telegram предлагают деньги от имени портала «Работа России»

Компания F6, российский разработчик технологий для борьбы с киберугрозами, зафиксировала новый сценарий мошенничества, который направлен против пользователей Telegram в России. Через ложные каналы с оповещениями об атаках БПЛА злоумышленники распространяют ссылки на другие ресурсы в мессенджере – например, с «распродажей конфискованных автомобилей» или «оповещениями об атаках, которые работают даже без мобильной связи». После нескольких переходов по ссылкам пользователи попадают в Telegram-бота, который предлагает принять участие в ложном розыгрыше призов от маркетплейсов и получить выплату от портала «Работа России». Любое из этих действий приведёт пользователя к потере денег.

Из бота в бот

Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 обнаружили новую уловку, которую мошенники применяют в России против пользователей популярного мессенджера.

Через ложные Telegram-каналы с оповещениями об атаках БПЛА (их название обычно начинается со слова «Радар») злоумышленники распространяют сообщения с призывом подписаться на различные ресурсы. В одних случаях приманкой служит объявление о подписке на «специальный канал для оповещения граждан», которые якобы работают «даже без мобильной связи» (что в принципе невозможно).

В других случаях пользователям предлагают подписаться на «канал вашего города», в котором якобы размещают объявления о продаже «конфискованных автомобилей».

При переходе по пригласительной ссылке пользователь попадает в бот, название которого зависит от «приманки». В случае со «специальным каналом для оповещения», независимо от выбранного города, бот сообщает, что для одобрения заявки необходимо «подписаться на главный новостной канал страны ”Россия сегодня”», а также перейти ещё по одной пригласительной ссылке. Эта ссылка приводит в другой бот, который предлагает подписаться на «основной канал ”ЧП Россия 24/7”».

В случае с каналом, через который якобы продают конфискованные авто, пользователь видит сообщение от бота: «Нам не удалось обработать вашу заявку в канал», а также ссылку, по которой предлагается перейти для повторной попытки.

Возможная цель этих и последующих переадресаций пользователя – заставить его последовательно подписаться на несколько Telegram-ботов. Впоследствии – через несколько дней, недель или месяцев – эти боты могут сменить название и отправлять сообщения с фишинговыми ссылками или вредоносными файлами под видом фото, видео или полезных приложений.

«Удалённо и без опыта»

В результате нескольких переадресаций пользователь попадает в очередной бот. Его названия могут отличаться. Главное – содержание: бот предлагает одновременно принять участие в розыгрыше призов от двух популярных маркетплейсов и получить якобы от государственного портала «Работа России» выплату в 4000 рублей за 15 минут на прохождение «мини-опроса».

Любое из этих предложений – заведомый обман. В случае с розыгрышами жертве предлагают заплатить «комиссию» для получения приза. Риски – не только в потере денег, но также и в раскрытии конфиденциальной информации, включая данные карты или паспорта.

Фейковая раздача денег от бренда «Работа России» в Telegram – новый сценарий мошенников. При переходе по ссылке пользователь переходит на всплывающую веб-страницу под названием «Работа России», на котором ему сообщают, что «открыт доступ к проверенным заданиям», где можно «удалённо и без опыта» получать «4000 рублей в час».

Ещё после нескольких кликов по разным кнопкам веб-страница сообщает, что «ваша выплата увеличена в 75 раз», и для того, чтобы забрать обещанные 300 тыс. рублей, предлагают «связаться с менеджером», написав в личный аккаунт Telegram. Аккаунт оформлен от имени «специалиста по работе с соискателями портала ”Работа России”».

Дальнейшее развитие событий в этом сценарии знакомо по другим мошенническим схемам: пока пользователь рассчитывает получить круглую сумму, от него под разными предлогами требуют выполнить платежи, и в итоге деньги он только теряет.

Ранее фиксировались случаи, когда злоумышленники использовали бренд государственного портала «Работа России», рассылая предложения получить выплаты по электронной почте.

«Спящие» маскируются под соседей

Злоумышленники привлекают российских пользователей в сомнительные Telegram-каналы с оповещениями об атаках БПЛА, распространяя ссылки на них через открытые домовые и районные чаты. Как правило, это происходит на фоне массовых налётов беспилотников, когда в местных чатах пользователи обсуждают ситуацию.

Аккаунты, от которых распространяют ссылки на сомнительные каналы с оповещениями – фейковые. Злоумышленники заранее под видом «соседей» вступают в открытые чаты, пользуясь доступными в интернете ссылками-приглашениями, после чего могут находиться в чате в «спящем» режиме. Такие аккаунты обычно создают от имени девушек или могут использовать угнанные учётные записи. Профиль наполняют фотографиями, чтобы создать видимость «живого» аккаунта и повысить доверие к нему.

Такие сомнительные Telegram-каналы содержат в названии слова «Радар» и название города или региона, на аватарках некоторых из этих каналов используется официальная символика. На первый взгляд эти каналы напоминают типичные каналы в мессенджерах, созданные для оповещения о беспилотных и ракетных атаках. Однако они могут использоваться киберпреступниками как для угона аккаунтов и мошеннических атак, так и для распространения дезинформации.

Рекомендации специалистов F6

Пользователям:

— Не переходите по ссылкам от незнакомцев.

— Не подписывайтесь на Telegram-каналы с оповещениями об атаках по ссылкам из непроверенных источников и не подключайтесь к Telegram-ботам по таким ссылкам.

Модераторам домовых, районных и других территориальных чатов:

— Отключите возможность добавления пользователей по общедоступной ссылке-приглашению.