Схема простая и злая: антиспам-системы операторов научились определять мошеннические номера и показывать предупреждения на экране. Мошенники это поняли — и просто перестали звонить первыми.
С 26 марта 2026 года компания F6 фиксирует массовую рассылку писем от имени федеральных ведомств. В письме говорится, что в ваш аккаунт зашли через электронную подпись и выгрузили документы. Дальше — номер телефона и просьба «перезвонить для уточнения». Человек звонит сам. Антифрод молчит. Мошенник берёт трубку.
Разобрал схему технически — там есть несколько интересных деталей
Почему антиспам перестал работать — и как схема это использует
Операторы связи последние два года активно внедряют маркировку звонков. МТС, Билайн, Мегафон умеют в реальном времени помечать входящий звонок как «возможно, мошенник» — прямо на экране, большими буквами. Это работает. Количество людей, берущих трубку у незнакомых номеров, заметно упало.
Мошенники адаптировались предсказуемо: если входящий звонок светится красным — надо сделать так, чтобы жертва звонила сама. Исходящий звонок от жертвы не проходит через антиспам-фильтр оператора. Номер мошенника никак не помечается. Оператор колл-центра берёт трубку как ни в чём не бывало.
Это не новая идея, но раньше схема работала грубее: сбросить звонок и ждать перезвона. Теперь она выросла в полноценную воронку с письмами, легендой и подготовленными операторами.
Как устроена рассылка — технически
F6 зафиксировала рассылку 26 марта и публикует данные по ней. Несколько деталей, которые показывают, что за схемой стоят не школьники.
Гомоглифы в заголовках. Чтобы письмо не попало в спам, злоумышленники подменяют символы в технических заголовках письма — используют визуально похожие символы из других алфавитов. Например, кириллическая «а» вместо латинской «a» в служебных полях. Спам-фильтр видит незнакомую строку и пропускает. Глазом разница не заметна.
32 разных темы писем. Не один шаблон, а три десятка вариантов. Часть про электронную подпись и авторизацию, часть про выгрузку документов, часть про другие поводы. Это нужно для двух вещей: обойти фильтры по ключевым словам и адаптировать письмо под разные категории получателей.
Скомпрометированные ящики. Рассылка идёт не с очевидных левых доменов, а предположительно со взломанных легитимных почтовых ящиков. Это повышает шанс доставки и доверие получателя — письмо приходит с реального адреса реальной организации.
Ежедневно, включая выходные. Это признак автоматизированной инфраструктуры, а не ручной работы колл-центра.
На кого рассчитана атака
Целевая аудитория схемы — люди, у которых есть электронная подпись для доступа к госсервисам или коммерческим платформам. Это бухгалтеры, юристы, ИП, руководители — те, кто регулярно подписывает документы в ЭДО, работает с налоговой, госзакупками, Росреестром.
Для них письмо про «авторизацию через ЭП» звучит правдоподобно. Они знают, что такое электронная подпись. Они знают, что её можно использовать без физического присутствия. Именно поэтому уведомление о «чужой авторизации» вызывает не скептицизм, а тревогу.
Схема целится в осведомлённых — тех, кто думает, что понимает риски.
Эволюция схемы: от сброшенного звонка до письма с гомоглифами
F6 описывает три поколения этой атаки:
Первое поколение — мошенник набирал номер и сбрасывал. Жертва видела пропущенный с незнакомого номера и перезванивала из любопытства или беспокойства. Грубо, но работало.
Второе поколение — тревожные СМС: «Ваш аккаунт на Госуслугах взломан, срочно позвоните по номеру...». Подталкивало к звонку эмоционально. Операторы научились фильтровать такие сообщения.
Третье поколение — письмо по email от имени ведомства, технически сделанное так, чтобы пройти фильтры. Добавляется легенда про ЭП, чтобы попасть в специфическую аудиторию. Человек звонит сам, уже в тревоге и с конкретным вопросом.
Каждое поколение появляется как ответ на защиту предыдущего уровня. Это не разовая схема — это адаптирующаяся система.
Что происходит после звонка
На другом конце — подготовленный оператор мошеннического колл-центра. Его задача — под видом сотрудника ведомства или службы безопасности получить доступ к электронной подписи или данным, которые позволят её перевыпустить.
Возможные сценарии:
Убедить продиктовать код из СМС, который придёт от удостоверяющего центра
Установить «защитное приложение» — по факту вредоносное ПО
Перейти по ссылке на фишинговый портал, имитирующий личный кабинет госсервиса
Если электронная подпись скомпрометирована — дальше всё зависит от того, к чему она привязана. В худшем случае это переоформление недвижимости, регистрация фиктивных ООО, подписание договоров. Хабр об этом писал ещё в 2019–2020 годах — схемы с ЭП не новые, новый только способ попасть к жертве.
Что делать прямо сейчас
Если пришло такое письмо:
Не звоните по номеру из письма. Вообще никогда.
Зайдите в личный кабинет на Госуслугах напрямую через браузер и проверьте активные сессии и выданные подписи — раздел «Настройки» → «Электронные подписи».
Если видите чужую подпись — там же есть кнопка «Заблокировать».
Как проверить письмо технически:
Посмотрите заголовки письма (в Gmail — «Показать оригинал», в Яндекс.Почте — «Свойства письма»). Если в полях От, Ответить или Кому домен не совпадает с официальным ведомством — письмо поддельное.
Проверьте SPF/DKIM/DMARC в заголовках. Легитимные государственные рассылки, как правило, проходят эти проверки. Мошеннические — нет, или проходят с чужого домена.
Системно:
Если вы работаете с ЭП в компании — предупредите коллег, особенно бухгалтеров и юристов.
Настройте в почтовом клиенте показ полного адреса отправителя, а не только имени.
Удостоверяющий центр, выдавший вашу ЭП, не будет писать вам письма с просьбой перезвонить. Это не их формат работы.
Источники:
Компания F6, система F6 BEP — рассылку зафиксировала и заблокировала 26 марта 2026
CNews — 31 марта 2026
Лента.ру — 31 марта 2026
Вместо вывода
Меня в этой истории больше всего цепляет не техническая сторона — она как раз предсказуема. Цепляет темп адаптации. От «сброшенного звонка» до «письма с гомоглифами и 32 шаблонами» — меньше двух лет. Защита успевает закрыть один вектор, следующий уже готов.
Пока антифрод-системы работают на уровне входящего звонка, схемы будут переезжать на email, мессенджеры и любой другой канал, где инициатива исходит от жертвы. Это структурная проблема, а не дыра, которую можно залатать одним обновлением.
Влад Прокопович
