Компания F6 зафиксировала новый сценарий мошенничества, направленный на сбор персональных данных. Под предлогом получения промокода на покупку парфюмерии и косметики злоумышленники предлагают пройти регистрацию на легальном ресурсе и прислать в Telegram-бот скриншот с личной информацией, включая паспортные данные, ИНН и адрес электронной почты.
Эти сведения могут использоваться в других мошеннических схемах, например, для оформления кредитов на имя пользователей, или для продажи на криминальном рынке. Статьи, которые используются для продвижения мошеннического бота, начали появляться в рунете с февраля 2025 года, за это время по инициативе специалистов F6 заблокированы более 120 таких публикаций.
Конфиденциальные данные пользуются постоянным устойчивым спросом в киберпреступном мире. В первую очередь злоумышленников интересуют сведения об актуальных телефонных номерах пользователей, ФИО, даты рождения, паспортные данные, адреса электронной почты, адреса проживания и места работы, а также пароли и IP-адреса. Источниками этих сведений становятся, в том числе, утечки баз данных компаний в результате атак киберпреступников, информация с устройств пользователей, заражённых вредоносным ПО. Также мошенники используют сценарии обмана, при которых пользователи добровольно передают фейковым ресурсам свои персональные данные.
Новая схема, обнаруженная специалистами F6, состоит из нескольких этапов. С февраля 2025 года в различных социальных сетях и контентных платформах, нацеленных на пользователей в России, злоумышленники несколько раз в день публикуют статьи с предложением получить промокод на скидку в 2000 рублей для заказа парфюмерии и косметики в популярной торговой сети. За счёт продвижения и поисковой оптимизации такие статьи попадают в рекомендации интернет-платформ для пользователей. Условие получения промокода на скидку – использование Telegram-бота «без спама и лишней рекламы», ссылка на который указана в статье.
При переходе по ссылке бот отправляет пользователю сообщение, в котором предлагает открыть статью на одной из популярных российских блог-платформ. Статья рассказывает о легальном сервисе проверки кредитных историй, который не представляет прямой угрозы для пользователей. Однако в сообщении Telegram-бота содержится требование пройти регистрацию на указанном сервисе и прислать скриншот, подтверждающий регистрацию. Если пользователь выполнит это условие, то создатели бота получат такие персональные данные, как ФИО, серия и номер паспорта, дата рождения, ИНН, контактный телефон и адрес электронной почты. После отправки скриншота с этой информацией бот перестаёт реагировать на сообщения пользователя и никакого промокода не предоставляет.
Специалисты F6 отмечают: такая модель действий характерна для ботов, которые применяются для сбора информации. Полученные чувствительные данные могут быть использованы злоумышленниками для реализации мошеннических схем – например, для оформления кредитов или других операций от имени пользователей, – а также для продажи персональных данных на теневом рынке.
«Требование предоставить скриншот с персональными данными само по себе является признаком мошеннической деятельности, так как подобные действия нарушают принципы обработки персональных данных и могут быть использованы для противоправных целей», – отмечает Анастасия Князева, аналитик Digital Risk Protection F6.
По инициативе специалистов F6 в социальных сетях и на блог-платформах заблокированы более 120 статей, которые используются для продвижения мошеннического бота, также принимаются меры для его блокировки.
Фото: freepik
