Разносчики азарта: образы блогеров-миллионников помогли мошенникам похитить не менее 300 млн рублей

Привет!

На связи команда F6. Недавно мы изучили, как мошенники используют образы блогеров-миллионников в мошеннических схемах, связанных с лотереями и розыгрышами.

Злоумышленники используют образы известных людей, блогеров и брендов, чтобы продвигать свои фишинговые сайты. За год они заработали не менее 300 миллионов рублей.

Жертве предлагают ввести номер карты, чтобы получить выигрыш. Далее возможны два сценария: либо пользователь платит комиссию и переводит деньги, теряя их, либо мошенники получают доступ к карте после ввода данных.

Аналитики F6 Digital Risk Protection обнаружили десять активных мошеннических партнерских программ, нацеленных на пользователей из России. Из них минимум две связаны с темами «коробочек» и лотерей.

Как устроена схема

Злоумышленник находит интересную для него партнерскую программу. В ней он выбирает шаблон из списка. Затем для него создается уникальная реферальная ссылка.

Рисунок 1. Выбор оффера

Затем задача жулика состоит в том, чтобы распространить ссылки как можно большему количеству человек, а, следовательно, заработать больше денег.

Рисунок 2. Раздел с реферальной ссылкой и статистикой по выбранному офферу

Активные способы распространения

Существует множество способов привлечь трафик на реферальные ссылки: реклама в социальных сетях, email-рассылки, контекстная реклама, всплывающие баннеры и другие.

Распространение в чатах Telegram

Рисунок 3. Распространение мошеннических сообщений в комментариях под постами групп в Telegram

В настоящее время многие посты удалены модерацией, основное время опубликования приходилась на 16.08–17.08.

Сообщения, как правило, распространяются через фейковые или закрытые аккаунты с минимальным количеством информации:

Рисунок 4.Пример аккаунта, распространяющего сообщения

Рисунок 5. Распространение мошеннических сообщений в комментариях под постами групп в Telegram

Подобный текст сообщения публикуется с разных аккаунтов в комментариях к постам практически единовременно во многих чатах на самую разную тематику.

Ссылка-сокращатель вида clck.ru/ссылка, сервисы которых часто используются в подобных схемах, ведет на сайт, созвучный фамилии известного блогера (на момент выхода публикации ресурс может уже быть заблокирован).

Подобный текст сообщения публикуется с разных аккаунтов в комментариях к постам практически единовременно во многих чатах на самую разную тематику.

Рисунок 6. Переход на мошенническую ссылку из поста в Telegram

На сайте предлагается поучаствовать в «Розыгрыше призов от Литвина» – такая акция действительно существует.

Мошеннический сайт визуально отличается от официального ресурса.  Шаблон лишь немного изменен, и во многом является классической схемой с уже известными «коробочками».

Рисунок 7. Имитация чата с оператором на мошенническом сайте

После прохождения нехитрой манипуляции с «рулеткой» предлагается забрать выигрыш. Появляется окно с симуляцией чата с «оператором» и после предлагается ввести номер карты и подтвердить реквизиты.

Рисунок 8. Окно с вводом номера карты

Рисунок 9. Окно с суммой выигрыша и «подготовкой перевода

Рисунок 10. Окно с предложением оплатить обязательную пошлину

Рисунок 11. Переходная ссылка с предложением перейти к оплате «пошлины»

В самом конце предлагается произвести перевод денег по номеру телефона.

Рисунок 12. Окно зачисления средств

Рисунок 13. Окно зачисления средств

Ранее мы также обнаруживали подобные сообщения – текст был немного изменен, но встречались те же эмоциональные триггеры, новость о «неожиданном чуде», «подарке судьбы», сумме выигрыша, а также предложение перейти по сокращенной ссылке:

Рисунок 14. Еще один вид мошеннических сообщений под постами в Telegram

Сколько заработали жулики?

За последний год мошенники в двух партнерских программах, связанных с темой «коробочек», могли заработать более 300 миллионов рублей. По данным аналитиков, с сентября 2024 по август 2025 года участники одной из программ получили свыше 221 миллиона рублей, а в другой — не менее 87 миллионов.

Шаблоны в этих программах регулярно обновляются. Аналитики нашли более 100 вариантов, и их «доходность» сильно варьируется. Примерно в 45% случаев мошенники используют изображения публичных личностей, а в 60% — логотипы известных брендов. Некоторые сайты комбинируют оба подхода.

«Несмотря на то, что мошенническая схема с розыгрышами, «коробочками» и лотереями не нова, она продолжает приносить мошенникам доход. Использование на ресурсах изображений известных брендов и публичных личностей повышает кредит доверия со стороны потенциальных жертв и, тем самым, увеличивает прибыль тех, кто зарабатывает на обмане. Кроме того, злоумышленники не просто копируют дизайн и используют фото, они размещают свои ссылки в угнанных аккаунтах с миллионами подписчиков», — отмечает ведущий аналитик департамента Digital Risk Protection компании F6 Элина Ганиева.

Подробности исследования – в новом блоге.

Эксперты F6 напоминают о необходимости соблюдать базовые меры предосторожности:

1. Не доверяйте всей рекламе в интернете, а также сообщениям на форумах, в чатах и группах мессенджеров и социальных сетей. Особенно скептически относитесь к сообщениям, в которых используются «эмоциональные триггеры» и обещания о внезапном выигрыше.
2. Не открывайте подозрительные письма, а также сообщения из папки «Спам».
3. Не стоит без оглядки полагаться на информацию, опубликованную на страницах публичных личностей в интернете, или даже ваших знакомых — аккаунт может быть взломан. Проверяйте всю информацию самостоятельно, например, дату регистрации сайтов, пользоваться сервисами типа «Whois», в случае обнаружения подозрительной ссылки сообщите об этом на https://antiphishing.f6.ru/.