Схема простая и злая: антиспам-системы операторов научились определять мошеннические номера и показывать предупреждения на экране. Мошенники это поняли — и просто перестали звонить первыми.

С 26 марта 2026 года компания F6 фиксирует массовую рассылку писем от имени федеральных ведомств. В письме говорится, что в ваш аккаунт зашли через электронную подпись и выгрузили документы. Дальше — номер телефона и просьба «перезвонить для уточнения». Человек звонит сам. Антифрод молчит. Мошенник берёт трубку.

Разобрал схему технически — там есть несколько интересных деталей

Почему антиспам перестал работать — и как схема это использует

Операторы связи последние два года активно внедряют маркировку звонков. МТС, Билайн, Мегафон умеют в реальном времени помечать входящий звонок как «возможно, мошенник» — прямо на экране, большими буквами. Это работает. Количество людей, берущих трубку у незнакомых номеров, заметно упало.

Мошенники адаптировались предсказуемо: если входящий звонок светится красным — надо сделать так, чтобы жертва звонила сама. Исходящий звонок от жертвы не проходит через антиспам-фильтр оператора. Номер мошенника никак не помечается. Оператор колл-центра берёт трубку как ни в чём не бывало.

Это не новая идея, но раньше схема работала грубее: сбросить звонок и ждать перезвона. Теперь она выросла в полноценную воронку с письмами, легендой и подготовленными операторами.

Как устроена рассылка — технически

F6 зафиксировала рассылку 26 марта и публикует данные по ней. Несколько деталей, которые показывают, что за схемой стоят не школьники.

Гомоглифы в заголовках. Чтобы письмо не попало в спам, злоумышленники подменяют символы в технических заголовках письма — используют визуально похожие символы из других алфавитов. Например, кириллическая «а» вместо латинской «a» в служебных полях. Спам-фильтр видит незнакомую строку и пропускает. Глазом разница не заметна.

32 разных темы писем. Не один шаблон, а три десятка вариантов. Часть про электронную подпись и авторизацию, часть про выгрузку документов, часть про другие поводы. Это нужно для двух вещей: обойти фильтры по ключевым словам и адаптировать письмо под разные категории получателей.

Скомпрометированные ящики. Рассылка идёт не с очевидных левых доменов, а предположительно со взломанных легитимных почтовых ящиков. Это повышает шанс доставки и доверие получателя — письмо приходит с реального адреса реальной организации.

Ежедневно, включая выходные. Это признак автоматизированной инфраструктуры, а не ручной работы колл-центра.

На кого рассчитана атака

Целевая аудитория схемы — люди, у которых есть электронная подпись для доступа к госсервисам или коммерческим платформам. Это бухгалтеры, юристы, ИП, руководители — те, кто регулярно подписывает документы в ЭДО, работает с налоговой, госзакупками, Росреестром.

Для них письмо про «авторизацию через ЭП» звучит правдоподобно. Они знают, что такое электронная подпись. Они знают, что её можно использовать без физического присутствия. Именно поэтому уведомление о «чужой авторизации» вызывает не скептицизм, а тревогу.

Схема целится в осведомлённых — тех, кто думает, что понимает риски.

Эволюция схемы: от сброшенного звонка до письма с гомоглифами

F6 описывает три поколения этой атаки:

Первое поколение — мошенник набирал номер и сбрасывал. Жертва видела пропущенный с незнакомого номера и перезванивала из любопытства или беспокойства. Грубо, но работало.

Второе поколение — тревожные СМС: «Ваш аккаунт на Госуслугах взломан, срочно позвоните по номеру...». Подталкивало к звонку эмоционально. Операторы научились фильтровать такие сообщения.

Третье поколение — письмо по email от имени ведомства, технически сделанное так, чтобы пройти фильтры. Добавляется легенда про ЭП, чтобы попасть в специфическую аудиторию. Человек звонит сам, уже в тревоге и с конкретным вопросом.

Каждое поколение появляется как ответ на защиту предыдущего уровня. Это не разовая схема — это адаптирующаяся система.

Что происходит после звонка

На другом конце — подготовленный оператор мошеннического колл-центра. Его задача — под видом сотрудника ведомства или службы безопасности получить доступ к электронной подписи или данным, которые позволят её перевыпустить.

Возможные сценарии:

• Убедить продиктовать код из СМС, который придёт от удостоверяющего центра

• Установить «защитное приложение» — по факту вредоносное ПО

• Перейти по ссылке на фишинговый портал, имитирующий личный кабинет госсервиса

Если электронная подпись скомпрометирована — дальше всё зависит от того, к чему она привязана. В худшем случае это переоформление недвижимости, регистрация фиктивных ООО, подписание договоров. Хабр об этом писал ещё в 2019–2020 годах — схемы с ЭП не новые, новый только способ попасть к жертве.

Что делать прямо сейчас

Если пришло такое письмо:

• Не звоните по номеру из письма. Вообще никогда.

• Зайдите в личный кабинет на Госуслугах напрямую через браузер и проверьте активные сессии и выданные подписи — раздел «Настройки» → «Электронные подписи».

• Если видите чужую подпись — там же есть кнопка «Заблокировать».

Как проверить письмо технически:

• Посмотрите заголовки письма (в Gmail — «Показать оригинал», в Яндекс.Почте — «Свойства письма»). Если в полях От, Ответить или Кому домен не совпадает с официальным ведомством — письмо поддельное.

• Проверьте SPF/DKIM/DMARC в заголовках. Легитимные государственные рассылки, как правило, проходят эти проверки. Мошеннические — нет, или проходят с чужого домена.

Системно:

• Если вы работаете с ЭП в компании — предупредите коллег, особенно бухгалтеров и юристов.

• Настройте в почтовом клиенте показ полного адреса отправителя, а не только имени.

• Удостоверяющий центр, выдавший вашу ЭП, не будет писать вам письма с просьбой перезвонить. Это не их формат работы.

Источники:

Компания F6, система F6 BEP — рассылку зафиксировала и заблокировала 26 марта 2026

CNews — 31 марта 2026

Лента.ру — 31 марта 2026

Вместо вывода

Меня в этой истории больше всего цепляет не техническая сторона — она как раз предсказуема. Цепляет темп адаптации. От «сброшенного звонка» до «письма с гомоглифами и 32 шаблонами» — меньше двух лет. Защита успевает закрыть один вектор, следующий уже готов.

Пока антифрод-системы работают на уровне входящего звонка, схемы будут переезжать на email, мессенджеры и любой другой канал, где инициатива исходит от жертвы. Это структурная проблема, а не дыра, которую можно залатать одним обновлением.

Влад Прокопович