Привет! Это команда Отдела защиты бренда Angara SOC. Мы поговорили со злоумышленниками, которые хотели прислать нам ценные отправления, и изучили методы их работы. Делимся выводами.

C прошлого года мошенники начали массово использовать Telegram-боты для кражи данных от федеральной государственной информационной системы «Госуслуги». Авторизация в таких ботах происходит через фишинговые сайты. С начала 2025 года команда Отдела защиты бренда Angara SOC выявила и отправила на блокировку свыше 50 таких доменов.

Ссылки на боты, которые используют злоумышленники, распространяются посредством звонков или сообщений в мессенджерах. Под предлогом уточнения информации о посылке пользователю необходимо воспользоваться ботом, а также пройти авторизацию через фейковую форму Госуслуг. 

Как все начинается для жертвы

– Вам посылка пришла. Вот она. Только я вам ее не отдам, потому что у вас документов нету. Э.Успенский, «Дядя Федор, кот и пес». Кадр из мультфильма «Трое из Простоквашино», реж. В. Попов.[КО1]  © Киностудия «Союзмультфильм».

— Здравствуйте, вас беспокоит Социальный фонд России/Почта России, оператор Василий. На ваше имя получено отправление с неверно указанным адресом/без адреса. В настоящее время посылка/письмо находится в Сортировочном центре. Вы ждете это отправление? (На заднем фоне оператора Василия явно слышны звуки колл-центра).

— Да.

— Для уточнения адреса доставки вам необходимо перейти в чат-бот Почты России и, авторизовавшись через Почта ID или Госуслуги, внести изменения. Вы готовы начать работу?

— Да.

— Для начала работы с ботом зайдите в Telegram и выберите бот Сортировочного центра №ХХ. Получилось?

— Да.

— Пройдите авторизацию. У вас есть синяя карта Почты России? Если нет, воспользуйтесь Госуслугами. Получилось?

— Пока нет, вспоминаю пароль... Да, зашел.

— Выберите раздел «Письма» и укажите свой почтовый индекс. Напоминаю вам, что мы не запрашиваем никаких данных клиента, вам необходимо указать только город и индекс почтового отделения.

— Ввел. Что дальше?

— Я не вижу трекинга. Вы авторизовались по номеру +79ХХУУУУУУХ?

— Нет, для Госуслуг я использую другой номер.

На этом месте разговор с абонентом прерывается, поскольку у мошенника произошел сбой в сценарии, схема которого не предусматривает такой поворот событий.

Взгляд на сценарий глазами экспертов

Звонки

Несколько мошеннических звонков (в WhatsApp и на номер телефона напрямую) поступили и сотрудникам Angara SOC. Приведенный выше один из диалогов со злоумышленниками — не плод фантазии экспертов. Звонящий использует профессиональную лексику и канцеляризмы (один из операторов был готов «озвучить название бота»), не отступает от сценария — все как в реальном колл-центре крупной компании.

Под предлогом получения письма или посылки абоненту было предложено воспользоваться ботами, скрытыми за названиями номерных Сортировочных центров:

• @post_center_bot

• @CheckSendE_bot

• @post_center_bot

Домены, на которых располагались веб-страницы для прохождения фейковой авторизации:

• sorted‑centr.icu

• sort‑center.icu

• sort‑center64 743.icu

Боты

Пользователю предлагают запустить бота, где возможно выбрать один из интересующих разделов (Рис. 1). Под предлогом проверки адреса доставки чаще всего используют бренды Почты России или СДЭК.

После выбора любого пункта меню пользователю необходимо авторизоваться или вернуться в предыдущий раздел (Рис.2).

Для авторизации необходимо ввести данные от Госуслуг, и огромный плюс для мошенников в том, что Telegram запускает приложение (Рис.3) и в открывшемся окне не видно используемый домен (Рис.4.1—4.3). Т.е. пользователь не может определить, точно ли он находится на Госуслугах.

 После ввода учетных данных пользователь возвращается снова на начальный этап авторизации (Рис.4.1). Может показаться, что ничего не произошло, бот не функционирует, но на самом деле пользователь отдал свои данные мошенникам.

Такие боты создаются злоумышленниками в огромных количествах, перенос функционала на новый бот не требует много времени и трудозатрат.

Также мошенники учитывают технические нововведения операторов связи и, в некоторых случаях, можно встретить оповещение, что с доставкой СМС могут быть проблемы (Рис.5).

Веб-страницы

По результатам анализа множества ресурсов специалисты Отдела защиты бренда Angara SOC пришли к выводу, что для организации технической части своих преступных схем злоумышленники активно используют сервис ChatGPT (или аналогичные генеративные модели, например: DeepSeek или Qwen). Они позволяют генерировать код страниц и скрипты, обеспечивающие сбор данных и отправку их мошенникам. Данный факт отлично демонстрирует сокращение временных затрат, финансовых и физических усилий для организации преступной схемы, а также низкую квалификацию участников группировки.

В код страницы добавляется токен бота, чтобы пользователь мог увидеть страницу, но не видеть сам домен. После ввода логина, пароля и кода двухфакторной аутентификации все данные отправляются в закрытый чат злоумышленникам. На рисунке (Рис.6) представлен пример кода страницы, в которой указывается токен бота и ID чата, в который отправляются уведомления.

Подводя итоги

Эксперты Отдела защиты бренда Angara SOC напоминают, что авторизация через сервисы Госуслуг в мессенджерах, социальных сетях и на сомнительных ресурсах ведет к потере доступа к аккаунту на Госуслугах, утечке конфиденциальной информации о жертве и ее родственниках, возможным финансовым убыткам. Ни под каким предлогом не передавайте коды подтверждения второго фактора аутентификации посторонним лицам.