Мошенники крадут данные «Госуслуг» через фальшивых Telegram-ботов

Специалисты отдела защиты бренда компании Angara MTDR зафиксировали новый способ хищения логинов и паролей от портала государственных услуг. Это уже вторая крупная схема мошенничества с доступом к госпорталу, выявленная экспертами за последнее время.

Ранее Angara Security предупреждала об атаках, где злоумышленники под предлогом формирования списков на капремонт через фейковые Telegram-чаты выманивали у граждан коды доступа к «Госуслугам». Сегодня угроза приобрела более изощренный формат.

Теперь злоумышленники создают ботов в мессенджере Telegram под предлогом удобного взаимодействия с «официальной» реферальной программой от популярных маркетплейсов. В ходе мониторинга эксперты выявили целый ряд таких Telegram-ботов, предлагающих пользователям принять участие в «партнерских программах» известных торговых площадок с обещаниями «заработать с каждой покупки» или «получать эксклюзивную информацию об акциях». Для придания легитимности в названиях и описаниях используются бренды реальных компаний, а также слова «ref», «referral», «service» и их производные. Часто в профиле содержится ссылка на настоящий сайт маркетплейса, что вводит пользователей в заблуждение.

Арсений Пашинский, младший эксперт по защите бренда Angara MTDR, пояснил:

«Названия ботов активно эксплуатируют доверие к известным брендам. Пользователь видит знакомое имя и ссылку на официальный сайт, что создает ложное ощущение безопасности и законности предложения. Если ранее мошенники играли на страхе упустить льготу по капремонту, то теперь они используют желание легкого заработка».

Механизм мошенничества, как выяснила группа киберразведки Angara MTDR, заключается в следующем. После начала диалога бот предлагает пройти авторизацию через «Госуслуги» для доступа к полному функционалу «реферальной программы». При нажатии на кнопку в Telegram открывается встроенное мини-приложение, которое визуально в точности копирует стандартную страницу входа на портал «Госуслуги». Ключевая особенность: мини-приложение не отображает адресную строку с доменным именем, поэтому пользователь не может увидеть адрес фишингового сайта. Введенные учетные данные (логин и пароль) мгновенно перехватываются злоумышленниками, получающими полный доступ к личному кабинету на «Госуслугах».

Иван Захаров, руководитель группы киберразведки Angara MTDR, комментирует:

«Это технически проработанная фишинговая атака, использующая особенности интерфейса Telegram. Мини-приложение идеально имитирует официальный сервис, а отсутствие адресной строки лишает пользователя главного инструмента для проверки подлинности страницы. Получив доступ к учетной записи «Госуслуг», преступники могут совершать мошеннические действия от имени гражданина, в том числе пытаться получить кредиты или доступ к другим связанным сервисам. Мы наблюдаем эволюцию угрозы: от примитивных чатов с сообщениями о капремонте до сложных ботов, имитирующих коммерческие сервисы».

Распространение таких вредоносных ботов происходит через рекламу в Telegram-каналах, рассылку в чатах и личных сообщениях под предлогом «легкого и быстрого заработка».

Эксперты настоятельно рекомендуют пользователям соблюдать базовые правила цифровой гигиены. Необходимо проверять информацию о партнерских и реферальных программах исключительно на официальных сайтах или в подтвержденных соцсетях маркетплейсов, так как крупные площадки не используют подобные схемы авторизации через сторонние боты. Следует с осторожностью использовать встроенные мини-приложения в мессенджерах, особенно для ввода конфиденциальных данных, и помнить, что в них может не отображаться настоящий веб-адрес. Категорически не рекомендуется вводить логины, пароли, паспортные данные или данные банковских карт на страницах, открывшихся из непроверенных источников.

Для входа на «Госуслуги» и другие важные сервисы безопаснее всего вручную ввести официальный адрес в браузере или использовать официальное мобильное приложение.