Поделиться
F6: мошенники угоняют Telegram-аккаунты под предлогом голосования за «грант на лечение» детей
Компания F6, российский разработчик технологий для борьбы с киберугрозами, зафиксировала использование новой версии известного сценария угона аккаунтов Telegram в мошеннических атаках на представителей СМИ.
Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 обнаружили случаи рассылки в адрес журналистов в марте 2026 г. следующего сообщения со взломанного Telegram-аккаунта: «Привет, хочу попросить тебя. В благотворительном соревновании рисунков участвует девочка моих родственников — Настя. Занять первое место — это возможность получить грант на лечение. Если найдёшь минутку — кликнешь за Настю <фамилия> поставь пожалуйста: перейти на сайт соревнования <под этой фразой скрыта ссылка на мошеннический сайт>. Огромное спасибо! Расскажи другим».
Злоумышленники впервые начали применять сценарий угона аккаунтов Telegram и WhatsApp (принадлежит компании Meta, которая признана экстремистской и запрещена в России) под предлогом голосования за детей в 2022 г. В марте 2025 г. киберпреступники изменили привычный сценарий: к просьбе проголосовать они добавили фразу о том, что победа в конкурсе якобы даёт «возможность получить грант на лечение».
С момента первого появления шаблона фишинга под предлогом голосования «для получения гранта на лечение» мошенники создали более 290 уникальных доменов, которые использовали для угона учётных записей Telegram. Эти домены были зарегистрированы в доменных зонах .com.tr, .xyz, .shop, .cyou, .cfd, .icu.
Шаблон этих сайтов копирует дизайн веб-страницы для входа в Telegram с использованием номера телефона. Вместо текста «Вход в Telegram» на мошенническом сайте указано: «Система проверки голосов». Под предлогом подтверждения «голоса» пользователя просят указать номер телефона, а затем ввести код из сообщения Telegram. На самом деле это код для добавления нового устройства в аккаунт Telegram. Если ввести его в предлагаемую форму, злоумышленники сразу же получат доступ к учётной записи – при условии, что в аккаунте не включен «облачный пароль».
Эксперты F6 отмечают, что злоумышленники начали активно использовать этот шаблон фишинга летом и осенью 2025 г., когда киберпреступники столкнулись со снижением доступности российских сим-карт, на которые они могли бы регистрировать фейковые Telegram-аккаунты. В феврале 2026 г., на фоне замедления Telegram в России и слухов о полной блокировке мессенджера, использование шаблона достигло пиковых значений – за этот месяц было создано 39 уникальных доменов, на которые мошенники привлекали пользователей под предлогом голосования за «больного ребёнка».
«Атаки на представителей СМИ с использованием этого сценария фишинга могут быть как обычными, так и целевыми. Угон Telegram-аккаунтов сотрудников СМИ и блогеров для злоумышленников – шанс получить доступ к администрированию новостных Telegram-каналов, и как следствие – распространению фейковых сообщений или мошеннической рекламы», – сказал Евгений Егоров, ведущий аналитик департамента защиты от цифровых рисков (Digital Risk Protection) компании F6.
Ранее в феврале 2026 г. специалисты F6 обнаружили новый сценарий угона аккаунтов пользователей Telegram в России: злоумышленники создали Telegram-бота, который под предлогом обхода замедления мессенджера требовал ввести номер телефона и 5-значный код подтверждения.
Короткая ссылка
