Исследователи Positive Technologies зафиксировали фишинговую кампанию, в которой злоумышленники одновременно изображают государственное ведомство и «службу доставки», подталкивая жертву к оплате якобы обязательной доставки документов. Сценарий рассчитан на то, что получатель, увидев официальный тон и ссылки на нормы права, быстро выполнит инструкцию из письма и не станет перепроверять источник.
Фишинговое письмо
Техническая основа атаки проста и поэтому эффективна: вместо спуфинга настоящего домена ведомства используется домен-двойник, визуально похожий на официальный адрес Росфинмониторинга. На таких доменах разворачивается собственная почтовая инфраструктура через MX-записи, что помогает проходить базовые проверки аутентификации отправителя и снижать шанс, что почтовый клиент сразу пометит письмо как подозрительное.
Пример фишингового документа
Дальше жертве приходит PDF-вложение, оформленное как «официальное уведомление». В документе используется административно-деловой стиль, упоминаются законы и «выявленное нарушение», а затем предлагается «получить документы с доставкой» через QR-код. По инструкции нужно отсканировать код, перейти по ссылке, ввести Ф. И. О. и номер телефона, оплатить стоимость доставки и ждать подтверждения. Там же указан контакт «технической поддержки» в Telegram на случай проблем с оплатой.
Диалог с мошенниками
Классическая деталь подобных кампаний в том, что фишинговые страницы живут недолго. В описанном случае при переходе по QR-коду ресурс уже был недоступен, после чего исследователи связались с контактом в Telegram, и им выдали новую ссылку на оплату. По оценке авторов, запрашиваемые данные нужны для генерации персонализированной платежной страницы под конкретного получателя и конкретный «документ».
Платежная страница сделана максимально правдоподобно: верстка и элементы интерфейса копируют легитимные сервисы доставки и платежные системы, часть ссылок действительно ведет на настоящие разделы реальных сайтов. Но ключевой блок подменен: форма и платежный сценарий настроены так, чтобы перевод уходил злоумышленникам, а не в адрес реального сервиса.
После первичного анализа фишинговых ресурсов исследователи построили поисковый паттерн по именованию и инфраструктурным признакам и проверили данные по своей базе пассивного DNS. Корреляция по доменным шаблонам и связям в DNS вывела на масштаб: обнаружено более 1000 связанных доменов, распределенных по более чем 50 инфраструктурным узлам. Повторяемость структуры страниц и множество уникальных ссылок указывают на автоматизированную генерацию URL, то есть на скрипты, которые быстро создают «персональные» ссылки под массовую рассылку.
Пример узла с фишинговыми доменами
Отдельно отмечается Telegram-аккаунт @cdek_tech: по косвенным признакам его создание относят к первой половине 2025 года, а самые ранние публичные упоминания связанного аккаунта и артефактов датируются октябрем 2025 года. С учетом начала регистрации фишинговых доменов авторы предполагают, что активная фаза кампании стартовала примерно в сентябре 2025 года и продолжается до сих пор.
Судя по тематике писем и стилю подачи, кампания ориентирована в первую очередь на малый и средний бизнес: деловая лексика, «проверки», «отчетность» и формальные требования хорошо ложатся на типичные процессы компаний. Выбор времени тоже выглядит прагматично: конец января совпадает с периодом закрытия годовых обязательств и сдачи отчетности, когда у адресатов меньше времени на проверку деталей.
Практическая защита в таких случаях начинается с простых привычек. Важно внимательно смотреть на домен отправителя и домены, на которые ведут ссылки или QR-коды: лишние слова, дефисы, региональные префиксы и нетипичные для госорганов зоны должны сразу насторожить. Полезно сверять, что обещает письмо и куда реально ведет ссылка, потому что даже «официальное уведомление» не должно отправлять на посторонние ресурсы, не связанные с инфраструктурой ведомства. И стоит помнить о формате коммуникации: госструктуры обычно не решают рабочие вопросы через мессенджеры, поэтому при сомнениях безопаснее самостоятельно открыть официальный сайт ведомства и проверить информацию по контактам из независимого источника, не переходя по QR-коду из письма.
С заботой о вашей безопасности, команда Origin Security
