Telegram-аккаунты угоняют под предлогом голосования за «грант на лечение»

Компания F6, российский разработчик технологий для борьбы с киберугрозами, зафиксировала использование новой версии известного сценария угона аккаунтов Telegram в мошеннических атаках на представителей СМИ.

Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 обнаружили случаи рассылки в адрес журналистов в марте 2026 года следующего сообщения со взломанного Telegram-аккаунта:

«Привет, хочу попросить тебя.

В благотворительном соревновании рисунков участвует девочка моих родственников — Настя.

Занять первое место — это возможность получить грант на лечение.

Если найдешь минутку — кликнешь за Настю <фамилия> поставь пожалуйста:

Перейти на сайт соревнования <под этой фразой скрыта ссылка на мошеннический сайт>

Огромное спасибо! Расскажи другим».

Злоумышленники впервые начали применять сценарий угона аккаунтов Telegram и WhatsApp* (принадлежит корпорации Meta, деятельность которой признана в России экстремистской и запрещена) под предлогом голосования за детей в 2022 году. В марте 2025 года киберпреступники изменили привычный сценарий: к просьбе проголосовать они добавили фразу о том, что победа в конкурсе якобы дает «возможность получить грант на лечение».

С момента первого появления шаблона фишинга под предлогом голосования «для получения гранта на лечение» мошенники создали более 290 уникальных доменов, которые использовали для угона учетных записей Telegram. Эти домены были зарегистрированы в доменных зонах .com.tr, .xyz, .shop, .cyou, .cfd, .icu.

Шаблон этих сайтов копирует дизайн веб-страницы для входа в Telegram с использованием номера телефона. Вместо текста «Вход в Telegram» на мошенническом сайте указано: «Система проверки голосов». Под предлогом подтверждения «голоса» пользователя просят указать номер телефона, а затем ввести код из сообщения Telegram. На самом деле это код для добавления нового устройства в аккаунт Telegram. Если ввести его в предлагаемую форму, злоумышленники сразу же получат доступ к учетной записи — при условии, что в аккаунте не включен «облачный пароль».

Эксперты F6 отмечают, что злоумышленники начали активно использовать этот шаблон фишинга летом и осенью 2025 года, когда киберпреступники столкнулись со снижением доступности российских сим-карт, на которые они могли бы регистрировать фейковые Telegram-аккаунты. В феврале 2026 года, на фоне замедления Telegram в России и слухов о полной блокировке мессенджера, использование шаблона достигло пиковых значений — за этот месяц было создано 39 уникальных доменов, на которые мошенники привлекали пользователей под предлогом голосования за «больного ребенка».

«Атаки на представителей СМИ с использованием этого сценария фишинга могут быть как общими, так и целевыми. Угон Telegram-аккаунтов сотрудников СМИ и блогеров для злоумышленников — шанс получить доступ к администрированию новостных Telegram-каналов, и как следствие — распространению фейковых сообщений или мошеннической рекламы», — говорит Евгений Егоров, ведущий аналитик департамента защиты от цифровых рисков (Digital Risk Protection) компании F6.

Ранее в феврале 2026 года специалисты F6 обнаружили новый сценарий угона аккаунтов пользователей Telegram в России: злоумышленники создали Telegram-бота, который под предлогом обхода замедления мессенджера требовал ввести номер телефона и 5-значный код подтверждения.

*WhatsApp принадлежит корпорации Meta, деятельность которой признана в России экстремистской и запрещена.