Сообщение пришло от «Сбербанка». Логотип знакомый, текст грамотный, даже тон официальный. Антиспам в телефоне смолчал. Мессенджер не поставил никаких предупреждений. Женщина перешла по ссылке, ввела данные карты и потеряла все деньги.
Потом выяснилось: в слове «Сбербанк» одна буква была не русской. Она выглядела точно так же. Но была из другого алфавита.
Это не фантастика и не единичный случай. Это новая массовая схема 2025–2026 года, которую уже используют десятки тысяч мошеннических рассылок ежедневно. И большинство людей о ней не знают.
Как работает человеческий мозг и почему это используют против вас
Когда вы читаете слово, мозг не разбирает каждую букву отдельно. Он распознаёт форму слова целиком — как картинку. Именно поэтому вы можете прочитать текст с переставленными буквами внутри слов и понять его без труда.
Мошенники знают об этом. И давно применяют этот принцип — но теперь вывели его на новый уровень.
Раньше они просто писали «Сбepбанк» через латинскую «p». Антиспам-фильтры научились это ловить. Тогда мошенники пошли дальше: они начали использовать символы из десятков алфавитов мира, которые выглядят как русские или латинские буквы, но по сути являются совершенно другими знаками.
Кириллическая «а» и латинская «a» — выглядят одинаково. Греческая «ο» и русская «о» — не отличить невооружённым глазом. Армянская «ա», некоторые символы из грузинского, тибетского, математических наборов Unicode — всё это может быть вставлено в слово, и вы этого не заметите. А фильтр не сработает: для него это совершенно другое слово.
Что такое Unicode и почему это оружие в руках мошенника
Unicode — это международный стандарт кодировки, в котором собрано более 149 000 символов из всех языков мира. Каждый символ имеет уникальный код. Русская «а» — это один код. Латинская «a» — другой. Греческая «α» — третий. Внешне они могут выглядеть одинаково, но для компьютера и для антиспам-фильтра это три абсолютно разных знака.
Именно здесь кроется проблема. Когда вы получаете слово «банк», написанное с кириллической «б», латинской «a», снова кириллической «н» и греческой «к» — ваш глаз видит «банк». Мозг говорит: «всё нормально». А фильтр видит набор символов, который в его базе никогда не встречался как слово «банк».
Сообщение проходит. Ссылка открывается. Данные утекают.
Пять признаков подозрительного сообщения, которые видно без технических знаний
Здесь не нужно быть программистом. Достаточно знать, на что смотреть.
Странные пробелы внутри слов. Попробуйте выделить текст в подозрительном сообщении и скопировать его. Если при вставке в любой текстовый редактор слова «расползаются» или появляются лишние пробелы — это признак того, что в тексте есть скрытые символы. Мошенники вставляют невидимые знаки между буквами: для глаза они отсутствуют, для фильтра — разбивают «опасное» слово на части.
Текст, который нельзя выделить нормально. Попробуйте дважды кликнуть на слово в сообщении, чтобы выделить его. Если вместо одного слова выделяется половина или, наоборот, захватывается лишний символ — внутри что-то вшито.
Ссылка выглядит знакомо, но адрес немного не тот. Сайт «sberbank.ru» и «sbеrbank.ru» — выглядят одинаково. Но во втором слове «е» латинская. Это уже другой сайт, который контролируют мошенники. Всегда смотрите на адрес после нажатия: он должен совпадать с официальным до последней буквы.
Название отправителя содержит «украшения». Если в имени контакта или канала есть точки, нижние подчёркивания, цифры в нестандартных местах или буквы разного размера — это попытка имитировать официальный аккаунт, обходя запрет на создание дублей.
Срочность плюс ссылка. «Ваш аккаунт заблокируют через 2 часа», «Последний день акции», «Срочно подтвердите данные» в сочетании с любой ссылкой — это классический крючок. Срочность отключает критическое мышление. Именно на это и расчёт.
СМС-сообщения от имени банков подделываются через подмену отправителя — это отдельная история. Но именно в мессенджерах атаки с подменой символов набирают обороты: здесь больше форматирования, длиннее тексты, проще спрятать поддельный символ.
Больше о безопасности в сети рассказываем в нашем Мах-канале Pochinka. Присоединяйтесь!
Что делать прямо сейчас: семь конкретных действий
Знать об угрозе недостаточно. Нужны действия.
Никогда не переходите по ссылкам из сообщений. Даже если сообщение пришло от банка. Даже если выглядит официально. Закройте сообщение, откройте браузер и введите адрес банка вручную. Или позвоните на горячую линию по номеру с оборотной стороны карты.
Проверяйте адрес сайта после перехода. Если вы всё же кликнули, смотрите на строку браузера. Официальный сайт Сбера — sberbank.ru. Любое отклонение: sbеrbank.ru, sber-bank.ru, sberbank.com.ru — это фишинг.
Включите двухфакторную аутентификацию везде. В Telegram: «Настройки» → «Конфиденциальность» → «Двухэтапная проверка». Придумайте пароль, который вы запомните, но не угадает посторонний. Даже если мошенник получит ваш код из СМС, без этого пароля он не войдёт.
Не доверяйте срочности. Настоящий банк никогда не потребует подтвердить данные за два часа под угрозой блокировки. Настоящие Госуслуги не рассылают в WhatsApp предупреждения о штрафах. Если в сообщении давят на время — это манипуляция.
Скопируйте подозрительный текст в Блокнот. Если в сообщении есть скрытые символы, при вставке в простой текстовый редактор они иногда проявляются — появляются лишние знаки, пробелы, квадратики. Это простейший способ проверки без технических знаний.
Расскажите родителям сегодня. Именно сегодня, не в следующие выходные. Позвоните и скажите одну фразу: «Мам, если придёт сообщение от банка со ссылкой — не нажимай, позвони мне». Этого достаточно для начала.
Обновите приложения мессенджеров. Разработчики регулярно добавляют защиту от новых схем. Устаревшая версия WhatsApp или Telegram не имеет последних патчей безопасности. Зайдите в магазин приложений и проверьте обновления прямо сейчас.
Почему фильтры не успевают
Антиспам-системы работают по принципу базы данных: они знают, что опасно, потому что видели это раньше. Но схема с подменой символов каждый раз генерирует новые комбинации. Для фильтра каждое такое слово — первый раз. База данных пополняется, но мошенники успевают сделать тысячи рассылок прежде, чем алгоритм обучится.
Искусственный интеллект в мессенджерах становится умнее — это правда. Но и инструменты на стороне мошенников автоматизированы. Они генерируют миллионы вариантов написания одного слова за секунды. Это гонка, в которой пользователь оказывается между двух огней: фильтры не успевают, а атаки совершенствуются.
Единственная надёжная защита — собственная голова. Не автоматика, не приложение, не антивирус, а привычка сомневаться в каждой ссылке, которую вы не запрашивали сами.
Кстати, похожий принцип используют и в другой свежей схеме: мошенники больше не просят код из СМС напрямую, а заставляют человека самому назвать «безобидные» последние цифры номера, с которого только что был звонок. На вид это вообще не похоже на код доступа, но по факту открывает вход в аккаунт. Я подробно разбирал это в статье «Мошенники больше не просят СМС-код: теперь они делают вид что звонят с другого номера». Там хорошо видно, как современные аферы уходят от грубого давления к тихим психологическим ловушкам.
Главное правило, которое работает всегда
Если вам прислали ссылку — вы её не ждали.
Банк не присылает ссылки в Мах. Госуслуги не пишут в Telegram. Пенсионный фонд не рассылает СМС с кнопкой «подтвердить». Если пришло такое сообщение, значит кто-то очень хочет, чтобы вы это нажали.
Не нажимайте.
Сохраните эту статью. Перешлите тем, кто читает сообщения не задумываясь — а таких среди наших близких большинство.
Если вы уже столкнулись с подобной схемой или подозреваете, что перешли по фишинговой ссылке — немедленно позвоните на горячую линию банка и попросите заблокировать карту. Время здесь решает всё.