Компания Angara Security обнародовала сведения о масштабной фишинговой кампании, нацеленной на похищение учётных данных пользователей портала «Госуслуги». По данным, переданным РИА Новости, злоумышленники развернули сеть Telegram‑ботов, маскирующихся под официальные реферальные программы популярных торговых площадок.
В Angara MTDR пояснили, что схема строится на психологическом манипулировании: боты активно эксплуатируют желание пользователей получать дополнительный доход. Жертвам предлагают поучаствовать в «партнёрских программах» известных маркетплейсов, суля «заработок с каждой покупки» или «эксклюзивный доступ к акциям». Чтобы создать иллюзию легитимности, злоумышленники тщательно продумывают оформление — используют в названиях и описаниях термины ref, referral, service, упоминают реальные бренды и размещают ссылки на действующие сайты торговых площадок.
Механизм обмана запускается в момент начала диалога с ботом. После первых сообщений пользователь получает предложение пройти авторизацию через «Госуслуги» — якобы для получения полного доступа к функционалу «реферальной программы». При нажатии соответствующей кнопки в интерфейсе Telegram открывается встроенное мини‑приложение, которое с поразительной точностью воспроизводит визуальное оформление официальной страницы входа на портал «Госуслуги».
Ключевой элемент обмана заключается в особенностях отображения контента: мини‑приложение намеренно скрывает адресную строку, лишая пользователя возможности проверить подлинность веб‑ресурса. В результате, вводя логин и пароль, человек неосознанно передаёт их в руки преступников. Полученные данные мгновенно позволяют злоумышленникам получить полный контроль над личным кабинетом на госпортале.
Для распространения вредоносных ботов киберпреступники задействуют целый арсенал инструментов: размещают рекламу в тематических Telegram‑каналах, организуют массовые рассылки в групповых чатах и отправляют персонализированные сообщения. Во всех случаях основной мотивацией выступает обещание «лёгкого и быстрого заработка», что существенно повышает вероятность вовлечения потенциальных жертв.
Иван Захаров, возглавляющий группу киберразведки Angara MTDR, дал развёрнутую оценку сложившейся угрозе. Он подчеркнул, что атака отличается высоким уровнем технической проработки — злоумышленники грамотно используют особенности интерфейса Telegram. По словам эксперта, визуальная идентичность мини‑приложения с официальным сервисом достигает такого уровня, что даже бдительный пользователь может не заметить подмены. Отсутствие адресной строки, по мнению Захарова, становится критическим фактором, лишающим людей главного инструмента верификации. Специалист предупредил, что доступ к учётной записи «Госуслуг» открывает перед мошенниками широкий спектр возможностей: от совершения противоправных действий от имени гражданина до попыток оформления кредитов или взлома связанных сервисов.
Представители Angara Security настаивают на необходимости соблюдения базовых правил цифровой безопасности. Они рекомендуют пользователям проявлять максимальную осмотрительность при взаимодействии с партнёрскими программами, проверяя их подлинность исключительно на официальных сайтах компаний. Особую настороженность следует проявлять к встроенным мини‑приложениям в мессенджерах — особенно в случаях, когда требуется ввод конфиденциальной информации.
Эксперты категорически предостерегают от ввода логинов, паролей, паспортных данных или реквизитов банковских карт на страницах, открывшихся из непроверенных источников, подчёркивая, что официальный вход на «Госуслуги» должен осуществляться только через утверждённые каналы — официальный сайт или мобильное приложение.
