MISTER X
Гуру проекта
Команда форума
Судья
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Координатор арбитражей
Мы в группе киберразведки регулярно мониторим фишинговые кампании, построенные на социальной инженерии. В таких кейсах обычно отсутствуют вредоносные вложения, поэтому сигнатурные и sandbox-детекты часто дают ограниченный эффект. Ключевыми оказываются инфраструктурные признаки: кто указан отправителем, какие домены и узлы используются для рассылки, куда ведут ссылки и QR-коды. Масштаб достигается за счет массовой рассылки и отсутствия вредоносных вложений, из-за чего классическое антивирусное детектирование нередко не срабатывает.
В январе 2026 года мы зафиксировали кампанию, в которой злоумышленники маскируются под государственное ведомство и параллельно используют легенду службы доставки.
Фишинговое письмо
Технически сценарий опирается на регистрацию адресов, визуально схожих с официальным доменом Росфинмониторинга fedsfm[.]ru, и развертывание на них почтовой инфраструктуры через MX-записи. Вместо спуфинга официального домена атакующие используют собственный домен-двойник, чтобы проходить базовые проверки аутентификации отправителя и тем самым снизить вероятность предупреждений со стороны почтовых клиентов и шлюзов.
Далее злоумышленники используют PDF-вложение — оно оформлено как официальное уведомление.
Примеры фишинговых документов
Документ оформлен максимально правдоподобно и стилизован под официальное уведомление. В нем используются формулировки в административно-деловом стиле, приводятся ссылки на федеральные законы и нормы регулирования, описывается якобы выявленное нарушение и необходимые действия со стороны адресата.
В документе присутствует QR-код, который по инструкции предлагается использовать для получения документов с доставкой. Согласно памятке, получателю необходимо отсканировать QR-код, перейти по ссылке, указать Ф. И. О. получателя и номер его телефона, после чего оплатить стоимость доставки и ожидать подтверждения. В нижней части памятки отдельно указан контакт технической поддержки в мессенджере Telegram — на случай, если при переходе по QR-коду или оплате возникнут проблемы.
При попытке перейти по QR-коду ресурс уже был недоступен — для подобных кампаний это типичный сценарий: фишинговые страницы часто живут считаные часы. После неудачной попытки мы связались с указанным контактом в Telegram. Собеседник запросил Ф. И. О. и номер телефона отправителя и получателя, после чего предоставил новую ссылку на оплату.
Диалог с мошенниками
По нашей оценке, запрашиваемые данные используются для генерации персонализированной страницы оплаты, адаптированной под конкретный документ и получателя.
Далее мы перешли на платежную страницу, которая визуально копирует легитимные интерфейсы сервисов доставки и платежных систем. При анализе верстки видно, что это практически точная копия: используются те же блоки, стили и элементы интерфейса, а часть ссылок ведет на оригинальные разделы настоящих сайтов. Ключевое отличие — в платежной части: форма и шлюз подменены, а сценарий оплаты настроен так, чтобы перевод уходил в пользу злоумышленников, а не в адрес реального сервиса.
Фишинговые сайты для оплаты
После первичного анализа выявленных фишинговых ресурсов мы сформировали поисковый паттерн на основе именования и инфраструктурных признаков и выполнили выборку по нашей базе PT PDNS, чтобы определить основные узлы, на которых такие страницы генерируются и размещаются. В результате корреляции по доменным шаблонам и связям в DNS мы обнаружили более 1000 связанных доменов, размещенных более чем на 50 инфраструктурных узлах.
Пример узла с фишинговыми доменами
Повторяемость структуры страниц и одновременное наличие большого числа уникальных ссылок указывает на использование автоматизированного механизма генерации URL — скриптов и алгоритмов, которые формируют уникальные пути и параметры и позволяют быстро выпускать персонализированные ссылки под конкретные задачи.
Кроме того, мы проверили адрес получателя исходного письма и выполнили поиск по близким строковым совпадениям и связанной DNS-инфраструктуре. Это позволило выявить еще одну группу схожих ресурсов, зарегистрированных в одном временном окне.
Далее выполнили поиск упоминаний Telegram-аккаунта @cdek_tech в Telegram-каналах и других интернет-ресурсах. По косвенным признакам мы оцениваем, что аккаунт был создан в первой половине 2025 года. В июле 2025 года в профиле была размещена фотография, связанная со СДЭК.
Telegram-аккаунт злоумышленников
Самое раннее упоминание аккаунта и связанных артефактов в открытых источниках, которое нам удалось найти, датируется октябрем 2025 года. Исходя из этого, а также с учетом даты начала регистрации фишинговых доменов мы предполагаем, что активная фаза кампании началась ориентировочно в сентябре 2025 года и продолжается по настоящее время.
Первые упоминания Telegram-аккаунта мошенников
По совокупности признаков кампания адресована преимущественно организациям малого и среднего бизнеса: в письмах используется деловая лексика, тематика проверок и отчетности, а также формальные требования по предоставлению документов и оплате сопутствующих действий. Выбор временного окна также объясним: конец января совпадает с периодом закрытия годовых обязательств и сдачи отчетности за предыдущий год.
На практике рекомендации сводятся к простым проверкам, которые можно выполнить даже без почтовых шлюзов и специализированных средств защиты:
Источник
В январе 2026 года мы зафиксировали кампанию, в которой злоумышленники маскируются под государственное ведомство и параллельно используют легенду службы доставки.
Фишинговое письмо
Технически сценарий опирается на регистрацию адресов, визуально схожих с официальным доменом Росфинмониторинга fedsfm[.]ru, и развертывание на них почтовой инфраструктуры через MX-записи. Вместо спуфинга официального домена атакующие используют собственный домен-двойник, чтобы проходить базовые проверки аутентификации отправителя и тем самым снизить вероятность предупреждений со стороны почтовых клиентов и шлюзов.
Далее злоумышленники используют PDF-вложение — оно оформлено как официальное уведомление.
Примеры фишинговых документов
Документ оформлен максимально правдоподобно и стилизован под официальное уведомление. В нем используются формулировки в административно-деловом стиле, приводятся ссылки на федеральные законы и нормы регулирования, описывается якобы выявленное нарушение и необходимые действия со стороны адресата.
В документе присутствует QR-код, который по инструкции предлагается использовать для получения документов с доставкой. Согласно памятке, получателю необходимо отсканировать QR-код, перейти по ссылке, указать Ф. И. О. получателя и номер его телефона, после чего оплатить стоимость доставки и ожидать подтверждения. В нижней части памятки отдельно указан контакт технической поддержки в мессенджере Telegram — на случай, если при переходе по QR-коду или оплате возникнут проблемы.
При попытке перейти по QR-коду ресурс уже был недоступен — для подобных кампаний это типичный сценарий: фишинговые страницы часто живут считаные часы. После неудачной попытки мы связались с указанным контактом в Telegram. Собеседник запросил Ф. И. О. и номер телефона отправителя и получателя, после чего предоставил новую ссылку на оплату.
Диалог с мошенниками
По нашей оценке, запрашиваемые данные используются для генерации персонализированной страницы оплаты, адаптированной под конкретный документ и получателя.
Далее мы перешли на платежную страницу, которая визуально копирует легитимные интерфейсы сервисов доставки и платежных систем. При анализе верстки видно, что это практически точная копия: используются те же блоки, стили и элементы интерфейса, а часть ссылок ведет на оригинальные разделы настоящих сайтов. Ключевое отличие — в платежной части: форма и шлюз подменены, а сценарий оплаты настроен так, чтобы перевод уходил в пользу злоумышленников, а не в адрес реального сервиса.
Фишинговые сайты для оплаты
После первичного анализа выявленных фишинговых ресурсов мы сформировали поисковый паттерн на основе именования и инфраструктурных признаков и выполнили выборку по нашей базе PT PDNS, чтобы определить основные узлы, на которых такие страницы генерируются и размещаются. В результате корреляции по доменным шаблонам и связям в DNS мы обнаружили более 1000 связанных доменов, размещенных более чем на 50 инфраструктурных узлах.
Пример узла с фишинговыми доменами
Повторяемость структуры страниц и одновременное наличие большого числа уникальных ссылок указывает на использование автоматизированного механизма генерации URL — скриптов и алгоритмов, которые формируют уникальные пути и параметры и позволяют быстро выпускать персонализированные ссылки под конкретные задачи.
Кроме того, мы проверили адрес получателя исходного письма и выполнили поиск по близким строковым совпадениям и связанной DNS-инфраструктуре. Это позволило выявить еще одну группу схожих ресурсов, зарегистрированных в одном временном окне.
Далее выполнили поиск упоминаний Telegram-аккаунта @cdek_tech в Telegram-каналах и других интернет-ресурсах. По косвенным признакам мы оцениваем, что аккаунт был создан в первой половине 2025 года. В июле 2025 года в профиле была размещена фотография, связанная со СДЭК.
Telegram-аккаунт злоумышленников
Самое раннее упоминание аккаунта и связанных артефактов в открытых источниках, которое нам удалось найти, датируется октябрем 2025 года. Исходя из этого, а также с учетом даты начала регистрации фишинговых доменов мы предполагаем, что активная фаза кампании началась ориентировочно в сентябре 2025 года и продолжается по настоящее время.
Первые упоминания Telegram-аккаунта мошенников
По совокупности признаков кампания адресована преимущественно организациям малого и среднего бизнеса: в письмах используется деловая лексика, тематика проверок и отчетности, а также формальные требования по предоставлению документов и оплате сопутствующих действий. Выбор временного окна также объясним: конец января совпадает с периодом закрытия годовых обязательств и сдачи отчетности за предыдущий год.
Рекомендации и чек-лист
На практике рекомендации сводятся к простым проверкам, которые можно выполнить даже без почтовых шлюзов и специализированных средств защиты:
- Внимательно проверяйте доменное имя отправителя и домены, на которые ведут ссылки или QR-коды. Любые дополнительные слова, дефисы, региональные префиксы, а также нетипичные для госорганов зоны и суффиксы — повод остановиться и перепроверить источник на официальном сайте ведомства.
- Сверяйте то, что заявлено в письме, и то, куда фактически ведет ссылка. Даже если письмо оформлено как госуведомление, переход на сторонний домен, не связанный с официальной инфраструктурой и с темой текста, требует дополнительной проверки.
- Стоит учитывать формат коммуникации: государственные ведомства используют официальные каналы связи и, как правило, не ведут рабочую переписку в мессенджерах. В случае сомнений не переходите по QR-кодам или ссылкам из письма, а самостоятельно откройте официальный сайт ведомства и найдите контакты или раздел для обращений, чтобы сверить информацию по независимому каналу.
Источник
