Мошенники создают поддельные сайты-радары атак БПЛА для имитации взлома личных кабинетов

Компания F6, российский разработчик технологий для борьбы с киберугрозами, зафиксировала новый сценарий мошеннических атак с обратным звонком. Злоумышленники создают поддельные сайты под названием «Радар РФ – Система оповещения населения» и «Ваша тревога», через которые якобы распространяют уведомления об атаках беспилотников и информируют об адресах ближайших укрытий. Об этом CNews сообщили представители F6. Под предлогом подключения уведомлений такие сайты предлагают ввести шестизначный код, после чего имитируют сообщение о взломе личного кабинета госсервиса и предлагают перезвонить на «выделенную линию поддержки». Ссылки на поддельные сайты могут распространять через сеть Telegram-каналов, а также через сообщения в тематических, домовых и районных чатах и комментарии к постам в легитимных каналах и сообществах. По инициативе CERT F6 за четыре дня на территории России заблокированы уже пять таких сайтов, однако киберпреступники продолжают создавать новые. «Радар» как красный флаг Аналитики департамента защиты от цифровых угроз (Digital Risk Protection) компании F6 обнаружили новый сценарий мошенничества с «обратным звонком». Чтобы заставить пользователей позвонить им, киберпреступники начали использовать фейковые сайты с оповещениями об атаках беспилотников. Первый из таких мошеннических ресурсов специалисты F6 обнаружили 22 июня 2026 г., через несколько часов после его создания. Поддельный сайт имитирует некую систему оповещения населения об «угрозе применения БПЛА» под названием «Радар РФ». В названии доменов таких сайтов в разных вариантах упоминается слово «radar»: например, radarf[.]ru (создан 22 июня 2026 г.), radarrf[.]ru (создан 23 июня 2026 г.), radarvrf[.]ru (создан 24 июня 2026 г.), radarzv[.]ru и radarzov[.]ru (созданы 25 июня 2026 г.). Реальных ресурсов с таким названием и функционалом нет. Однако по цветовому оформлению и названию мошеннический сайт напоминает проект общественного движения, посвященный мобильному приложению для передачи информации о зафиксированных беспилотниках. Поддельный сайт выглядит так, словно его цель – с первой секунды вызвать у пользователя тревогу и панику. Вся главная страница фальшивых ресурсов заполнена кнопками и элементами красного цвета, знаками предупреждения, почти в каждом элементе есть слова «угроза» и «опасность»: начиная с крупной надписи «Воздушная тревога» на красном фоне, просьбы «немедленно пройти в ближайшее укрытие и оставаться там до сигнала отбоя» до инструкций по действиям во время угрозы атаки беспилотников. На первый взгляд для человека неосведомленного такой интерфейс выглядит убедительно. Это и есть главный крючок для киберпреступников. Злоумышленникам важно, чтобы пользователь принял решение быстро и не успел ничего понять, вынудить его как можно быстрее нажать кнопки «Адреса укрытий» и «Уведомления» в расчете получить необходимую информацию. Однако внимательные пользователи сразу же заметят несколько признаков, которые выдают сомнительное происхождение сайта. Первое – отсутствие ссылок на разработчиков сайта и государственное ведомство, ответственное за его работу. Второе – часть текста на главной странице написана на английском языке, причем с ошибками. Под словами «WHAT DOING RIGHT NOW» указано: «Возьмите документы, telephone, воду и необходимые лекарства». Сайты, которые появились в последующие дни, стали выглядеть немного иначе: вместо надписи «Радар РФ» появились слова «Ваша тревога», а из двух кнопок осталась одна – «Подключить оповещения». По этой кнопке предлагается перейти под предлогом «получения оперативной информации об обстановке в вашем регионе, просмотра интерактивной карты укрытий и настройки мгновенных уведомлений». Аналитики F6 предполагают: ссылки на поддельные сайты могут распространять через сеть Telegram-каналов, а также через сообщения в тематических, домовых и районных чатах и комментарии к постам в легитимных каналах и сообществах. «Вы сами себя взломали» Задача киберпреступников – убедить посетителей сайта нажать кнопку, вне зависимости от того, что на ней написано. Если сделать это, то пользователь перейдет на страницу, где ему предложат некий шестизначный код подтверждения. Причем, чтобы «узнать» этот код, пользователю даже не требуется телефон. Спустя пару секунд мошеннический сайт сам показывает комбинацию из шести цифр в окошке под надписью «Системное оповещение. Ваш проверочный код». Эти же цифры дублируются внизу в окошке «Код из SMS», хотя никакого СМС никто никому не направляет. Все эти действия подталкивают посетителя сайта к тому, чтобы указать фальшивый код в соответствующем окне. Это действие – ключевой момент первого этапа мошеннической атаки. Если пользователь повторит код, который ему навязчиво подсказывает поддельный сайт, то после нажатия кнопки «Подтвердить доступ» он увидит логотип госссервиса и имитацию синхронизации с «ведомственными базами данных». Последовательно появляются надписи «Вход в систему <название госсервиса>», «Запрос данных СНИЛС», «Получение данных ИНН» и «Выгрузка персональных данных». На самом деле никакой синхронизации не происходит. Все эти и последующие уведомления выводятся на экран только для того, чтобы создать у пользователя впечатление о взломе личного кабинета госсервиса. Как это происходит? Сначала пользователь видит фальшивое оповещение о том, что аккаунт госсервиса якобы взломан и якобы кто-то вошел в аккаунт. В шаблоне уведомления на поддельном сайте меняется только «время регистрации сессии», в отличии от устройства и геопозиции в Новосибирске. Если нажать на кнопку «Связаться с дежурным оператором», то под оповещением откроется окно «Выберите выделенную линию поддержки», под которым указаны два мобильных номера. На каждом новом поддельном сайте указаны разные номера. Таким образом, пользователя без личного контакта с ним запугивают взломом личного кабинета госсервиса, а затем убеждают позвонить самостоятельно. Если набрать такой номер, то пользователю под видом «службы поддержки» ответит оператор мошеннического колл-центра. Злоумышленники могут задействовать различные сценарии – от обвинений в финансировании террористов, ВСУ и требований «задекларировать» или «спасти» денежные сбережения и ценности до опасных просьб от фейковых «сотрудников спецслужб», склонения к диверсиям или другим преступлениям. Киберпреступники постоянно обновляют сценарии, используемые в мошеннических схемах с обратным звонком. Мошенники применяют такие схемы, чтобы обойти антифрод-системы и понизить бдительность пользователей, которые принимают решение перезвонить сами. Сама схема постоянно меняется, атаки становятся более целенаправленными. Сначала злоумышленники просто набирали номер и сбрасывали звонок, побуждая человека перезвонить. Затем рассылали тревожные СМС, в которых сообщали о подозрительных действиях в аккаунтах и указывали номер телефона для связи, а позже стали распространять по электронной почте письма от имени госсервиса с ложным сообщением о входе в личный кабинет. В марте 2026 г. аналитики F6 обнаружили схему, когда злоумышленники от имени федерального ведомства рассылали по электронной почте письма с ложным уведомлением об «авторизации в аккаунте с помощью электронной подписи» и выгрузке документов. Вместе с тем в атаках на российских пользователей киберпреступники начали активно использовать тему атак БПЛА на тыловые регионы. Причем в этих атаках злоумышленники задействуют сеть Telegram-каналов под общим названием «Радар». По инициативе CERT F6 за четыре дня на территории России заблокированы уже пять поддельных сайтов, однако киберпреступники продолжают создавать новые. Рекомендации специалистов F6 по защите от мошеннической схемы с обратным звонком и фальшивыми ресурсами об атаках БПЛА Если вы получили тревожное СМС, электронное письмо или сообщение в мессенджере, обратите внимание на признаки обмана: 1) если письмо от имени федерального ведомства отправлено не с официального домена; 2) если раньше вы не получали письма и сообщения от этого ведомства; 3) если письмо или сообщение побуждает к срочным действиям, а для связи предлагается позвонить на номер телефона, который не указан на официальном сайте ведомства. Не звоните по телефонам, указанным на сомнительных сайтах. Не переходите по ссылкам от незнакомцев. Не открывайте файлы из сомнительных источников и подозрительных сообщений. Не подписывайтесь на Telegram-каналы с оповещениями об атаках по ссылкам из непроверенных источников и не подключайтесь к Telegram-ботам по таким ссылкам. Если возникли любые сомнения, используйте для связи и уточнения информации только контакты, указанные на официальном сайте. Если вам сообщают, что ваш аккаунт в госсервисе «взломали» или «зарегистрирован подозрительный вход» – проверять активные сессии и подключения в настройках официального портала госсервиса или в приложении. Если увидели в списке незнакомые устройства, удалите их. Если незнакомых устройств в списке нет, то вас пытаются обмануть мошенники. Не вводите на незнакомых сайтах и не сообщайте посторонним никакие коды. Кто спрашивает код – тот мошенник.