Вам тоже написал «диспетчер РСО»? Не переходите по ссылке. Это новая схема мошенников без СМС-кодов

Специалисты компании F6 сообщили о новой схеме телефонного мошенничества, в которой злоумышленники отказались от привычного способа с запросом кода из СМС и перешли к рассылке ссылок на фейковые сайты. Атаки носят персонализированный характер и выстраиваются в несколько этапов, направленных на психологическое давление на жертву.

Ранее мошенники использовали сценарий, при котором просили пользователя назвать код из СМС. Для этого звонившие ссылались на «замену счётчиков», «проверку домофона» или «уточнение данных». СМС приходила с подставного номера, а сам код был случайным набором цифр. Целью было убедить человека, что он передал код подтверждения от госсервиса и тем самым «помог мошенникам». На этой почве строился следующий этап атаки, когда злоумышленники сообщали о «взломе личного кабинета» и пугали уголовной ответственностью.

Теперь этот сценарий модифицирован: вместо кода из СМС используется ссылка на поддельный сайт. Такая подмена помогает обойти предупреждения, ставшие распространёнными — о том, что любой запрос кода должен насторожить.

По наблюдениям специалистов F6, атаки в ноябре 2025 года начинались с сообщений в мессенджерах от неизвестных, представившихся диспетчерами ресурсоснабжающей организации. Пользователю писали: «В связи с началом отопительного сезона наш мастер будет проверять систему отопления. Когда удобно встретить мастера?» На уточняющие вопросы злоумышленник присылал ссылку на сайт «с полной информацией по проверке» и просил прислать скриншот страницы «для отчётности».

Если проверить домен такого сайта через сервисы whois, можно увидеть, что он создан незадолго до атаки — обычно за две-три недели. На единственной странице отображается логотип госсервиса и текст «Проверка авторизации», который спустя несколько секунд меняется на «Авторизация успешна». После этого с жертвой связывается другой участник схемы, представляющийся сотрудником госсервиса или центра «Мои документы».

Он утверждает, что переход по ссылке позволил третьим лицам получить доступ к личному кабинету пользователя, от его имени якобы были поданы заявки на кредиты и выгружены документы. Далее мошенник интересуется, переходил ли человек по неизвестным ссылкам, и постепенно развивает разговор, убеждая, что ситуация серьёзная.

Во время беседы злоумышленники используют те же приёмы, что и в старой схеме: задают наводящие вопросы, упоминают персональные данные жертвы — паспорт, адрес, номер телефона — и советуют «для безопасности» поменять пароль от портала или не сохранять коды на телефоне.

Если собеседник начинает сомневаться, давление усиливается. Мошенники утверждают, что пользователь «перешёл по фишинговой ссылке» и теперь несёт ответственность за незаконные действия — например, «переводы на Украину». В ход идут угрозы уголовного преследования, ареста квартиры или автомобиля, лишения права распоряжаться имуществом.

Финальная цель схемы — заставить человека перевести деньги под предлогом «освобождения от ответственности». В известных случаях мошенники требовали отправить средства на «безопасный счёт», «досрочно погасить» кредит, который якобы оформили злоумышленники, или «задекларировать» свои сбережения, передав их курьеру.

По данным F6, для таких атак используются аккаунты мессенджеров, зарегистрированные на российские мобильные номера незадолго до инцидентов. В компании отмечают, что главная задача злоумышленников — выключить у жертвы критическое мышление. Для этого они сочетают давление авторитетом государственных структур, демонстрацию осведомлённости о личных данных, ложную заботу и запугивание.

В F6 подчеркнули, что единственный надёжный способ защиты от подобных схем — не вступать в разговоры с незнакомцами, не переходить по ссылкам, полученным в мессенджерах, и не выполнять никаких инструкций, поступающих от неизвестных.