Сообщение пришло в 14:37. Обычный будний день, обычный телефон в кармане. Уведомление выглядело как системное: логотип Wildberries, строгий шрифт, красный значок восклицания. «Ваш аккаунт заблокирован по подозрению в нарушении правил. Для разблокировки пройдите верификацию в течение 24 часов».
Человек нажал на ссылку. Через 40 минут с его карты ушло 87 000 рублей.
Почему именно маркетплейсы
Мошенники не выбирают площадки случайно. Wildberries, Ozon, Яндекс Маркет сидят в телефоне у каждого второго. Люди привыкли получать от них уведомления, письма, звонки. Привыкли вводить данные карты, подтверждать покупки, проходить верификацию. Это называется «выученное доверие».
Именно на него и давят.
Схема работает по трём причинам. Первая: маркетплейс воспринимается как надёжная структура, почти как банк. Вторая: угроза блокировки аккаунта создаёт немедленную панику, особенно если там хранятся бонусные баллы, активные заказы или карта продавца. Третья: интерфейс поддельной страницы сделан настолько точно, что отличить её от настоящей без специальных знаний невозможно за 30 секунд.
И у мошенников ровно 30 секунд, пока жертва не успела подумать.
Как выглядит атака изнутри
Схема существует в нескольких вариантах, но ядро у всех одно.
Вариант первый: SMS или push-уведомление. Приходит сообщение якобы от маркетплейса. Текст написан с ощущением срочности: «аккаунт заблокирован», «подозрительная активность», «последнее предупреждение». Ссылка в сообщении ведёт на сайт, который выглядит как настоящий, но адрес отличается одной буквой или имеет домен .ru вместо .com, или приставку «secure-», «verify-», «support-».
Вариант второй: звонок с «официального» номера. Звонит человек, представляется сотрудником службы безопасности. Говорит, что зафиксирована попытка взлома. Просит «подтвердить личность» через код из SMS. Код приходит. Жертва называет его вслух. Всё. В этот момент мошенник уже заходит в личный кабинет или подтверждает вывод денег.
Вариант третий: письмо на email. Письмо оформлено в корпоративном стиле с логотипом, подписью, иногда даже с реальным номером телефона горячей линии (скопированным с официального сайта для видимости). Внутри кнопка «Подтвердить аккаунт». Она ведёт на фишинговую страницу с формой ввода логина, пароля и данных карты.
Во всех трёх случаях конечная цель одна: получить доступ к аккаунту или данные платёжной карты.
Техническая сторона: что происходит с вашими данными
Когда вы вводите данные на поддельной странице, они мгновенно уходят на сервер мошенников. Не завтра, не через час. Сразу, в режиме реального времени. Пока вы ещё смотрите на страницу «Подтверждение прошло успешно», с вашей карты уже идёт первое списание.
Дальше работает конвейер. Часть данных используется немедленно для покупок в интернет-магазинах. Часть продаётся на закрытых форумах в даркнете. Часть используется для так называемого «кардинга» через посредников в других странах, что делает отслеживание крайне сложным.
Самое неприятное: банки не всегда возвращают деньги. Если вы сами ввели данные карты и сами подтвердили операцию кодом из SMS, это юридически считается добровольным согласием на транзакцию. Доказать обратное можно, но долго и не гарантированно.
Красные флаги: как распознать фишинг за 10 секунд
Перед тем как нажать на любую ссылку от «маркетплейса», проверьте четыре вещи.
Адрес отправителя. Официальные письма приходят только с корпоративных доменов: @wildberries.ru, @ozon.ru, @market.yandex.ru. Если видите @wildberries-support.com, @wb-security.ru, @ozon-verify.net — это фишинг без исключений.
Адрес сайта в браузере. Перед вводом любых данных посмотрите на строку адреса. Настоящий сайт Wildberries: wildberries.ru. Всё остальное — подделка, даже если выглядит идентично.
Просьба назвать код из SMS. Ни один настоящий сотрудник маркетплейса, банка или любой другой компании никогда не попросит продиктовать код подтверждения. Этот код существует только для вас и только для одной операции.
Срочность и угроза. «24 часа», «немедленно», «последнее предупреждение», «иначе аккаунт удалят». Реальные компании так не общаются. Это давление специально создано, чтобы вы не успели подумать.
Что делать прямо сейчас
Если вы получили подозрительное сообщение, действуйте по этому порядку.
Не переходите по ссылке из сообщения. Откройте приложение маркетплейса или сайт вручную, введя адрес в браузере самостоятельно. Зайдите в личный кабинет напрямую и посмотрите, есть ли там какие-либо уведомления или ограничения. Если всё в порядке, значит, сообщение было фишинговым.
Если вы всё-таки перешли по ссылке и ввели данные, действуйте немедленно. Позвоните в банк и заблокируйте карту. Смените пароль от аккаунта маркетплейса и от почты, привязанной к нему. Подайте заявление в полицию (это нужно для потенциального возврата денег через банк). Сообщите о фишинговом сайте в Роскомнадзор через форму на сайте eais.rkn.gov.ru.
Чем быстрее вы заблокируете карту, тем меньше денег потеряете. Счёт идёт на минуты.
Реальные истории: цифры, которые отрезвляют
По данным Центробанка России, в 2024 году россияне потеряли от действий мошенников более 27 миллиардов рублей. Это на 14% больше, чем годом ранее. Фишинговые атаки через поддельные сайты и рассылки занимают второе место среди всех схем после телефонного мошенничества.
Средний чек одной успешной фишинговой атаки составляет от 40 000 до 120 000 рублей. Это не крупные корпоративные взломы. Это обычные люди, обычные карты, обычные суммы со счёта.
Хотите быть в курсе новых схем до того, как они вас коснутся? Подписывайтесь на MAX-канал Pochinka: там разбирают свежие мошеннические схемы простым языком, без технического жаргона, с конкретными инструкциями защиты.
Как защититься системно: три привычки, которые сохранят деньги
Разовые проверки помогают, но лучше выстроить устойчивые привычки.
Привычка первая: двухфакторная аутентификация везде. Включите её во всех маркетплейсах, в почте, в банковских приложениях. Даже если мошенник получит ваш пароль, без второго фактора он не войдёт. Это занимает две минуты в настройках и закрывает 80% угроз. Но важно понимать, что опасность может исходить не только от фишинговых сайтов. Некоторые приложения на смартфоне способны получать доступ к вашим SMS и уведомлениям, включая сообщения с кодами подтверждения. Недавно я подробно разбирал тему в статье «5 приложений на вашем телефоне прямо сейчас читают SMS с кодами банка — проверьте за 2 минуты». Рекомендую проверить разрешения на своём устройстве — это одна из самых недооценённых мер цифровой безопасности.
Привычка вторая: отдельная карта для онлайн-покупок. Заведите виртуальную или отдельную физическую карту с лимитом, например, 5 000 рублей. Пополняйте её перед каждой покупкой ровно на нужную сумму. Даже если данные этой карты утекут, мошенники получат доступ к пустому счёту.
Привычка третья: правило паузы. Любое срочное сообщение требует паузы минимум на 5 минут. За эти пять минут эмоциональная реакция на угрозу снижается, и включается рациональное мышление. Большинство мошеннических схем рассыпаются именно под взглядом спокойного человека.
Итог: кто в группе риска
Жертвой этой схемы становятся не только пожилые люди и не только те, кто «не разбирается в технологиях». Попадаются активные пользователи интернета, люди с несколькими маркетплейс-аккаунтами, те, кто часто делает заказы и привык быстро реагировать на уведомления.
Скорость реакции, которая помогает нам в обычной жизни, становится уязвимостью в руках мошенников. Они знают об этом и используют намеренно.
Знаете теперь об этом и вы.
А вам приходили подобные сообщения? Как вы поступили и удалось ли распознать схему сразу? Расскажите в комментариях: чужой опыт в таких вопросах часто ценнее любой инструкции.