Как я вытаскивал маму из цифровой ловушки в Telegram

В понедельник в 13:01 мою маму добавили в рабочий чат в Telegram.
Группа называлась точно так же, как клиника, где она проработала больше десяти лет уже будучи на пенсии и из которой уволилась около пяти лет назад.

В чате были знакомые фамилии с реальными фотографиями, а ещё деловой тон, обсуждение «приказов Минцифры», «стажа» и «пенсии». А уже через сорок пять минут этот же чат превратился в поток угроз, оскорблений, фейковых уведомлений о входе в «Госуслуги» и попытку оформить на неё десятки микрозаймов.

Ни один рубль украден не был — но не потому, что схема не работала.

То, что я увидел в этот день, было не просто мошенничеством. Это была тщательно срежиссированная постановка: фальшивые коллеги, заранее подготовленные диалоги, правильная терминология, давление авторитетом и временем. Слово «оцифровка» стало наживкой. «Госуслуги» — оружием. А страх потерять стаж, пенсию и «оказаться вне реестров» — рычагом.

Но эта история — не про деньги. Это история о краже личности в прямом эфире. О том, как за считаные минуты человека лишают ощущения безопасности, контроля и достоинства. Я пишу её не как айтишник. Я пишу её как сын, который в реальном времени вытаскивал мать из цифровой ловушки — и понял, насколько беззащитными мы все оказались перед новой формой насилия.

Дальше — по шагам. Без эмоций. Только факты, механика и выводы для того чтобы в следующий раз вы сами такой чат сразу просто закрыли.

Акт I. Театр марионеток (время 13:01 – 13:23)

Этот этап — самый важный. Здесь ещё никого не грабят, не пугают уголовными делами и не просят «срочно перевести деньги». Здесь строят сцену. Аккуратно, методично, почти незаметно.

Вход в доверие через «работу»

Всё начинается с добавления в закрытый групповой чат Telegram. Не личное сообщение, не звонок, а именно рабочая группа.

Название группы совпадает с реальным названием клиники. Не «что‑то похожее», не с ошибкой в слове, а ровно так, как она называлась в документах и на табличке у входа. Почти сразу появляется сообщение от «администратора». Тон — вежливый, деловой, без суеты. Никаких ссылок, никаких требований. Просто задача. «Надо проверить списки». Всё максимально буднично.

Использование реальных данных

Дальше в чате появляются списки. Полные ФИО. Реальные даты рождения. Имена людей, которые действительно работали вместе много лет назад. Участники чата отвечают — коротко, по делу: «верно», «подтверждаю», «всё правильно».

Аватары — с фотографиями этих людей. Для человека без паранойи это выглядит убедительно. Для человека старшего поколения — почти неопровержимо.

Психологические крючки

Только после этого в разговор осторожно вводятся триггеры. Очень аккуратно, без давления:

• «Удаление из архива»

• «Чтобы не было проблем со стажем»

• «Были случаи, когда урезали пенсию»

• «Приказ сверху, по линии Минцифры»

Обратите внимание: ни одного слова о деньгах. Ни переводов, ни карт, ни «безопасных счетов». Только бюрократия.

Это хорошо поставленный спектакль, где жертву сначала делают участником «рабочего процесса», а уже потом — объектом атаки. Пока человек думает, что он сотрудник, а не цель, защита отключена.

Акт II. Технический капкан (время 13:23 – 13:27)

На этом этапе спектакль резко меняет декорации. Если в первом акте зрителю показывали «работу», то здесь на сцену выводят «технологии». И это важно: для человека, который хотя бы краем уха слышал про IT, слово «бот», «подтверждение», «ключ» звучит убедительно. Кажется, что дальше начинается не психология, а техника. На самом деле — это всё та же постановка.

Фальшивый «официальный бот»

В чат выкладывают ссылку на якобы официальный бот «Госуслуг». Название выглядит почти безупречно: @GosUslugi. Глаз цепляется за знакомое слово, мозг дорисовывает остальное сам.

На деле ссылка ведёт на сторонний бот t.me/Di24gubBot. Но чтобы это заметить, нужно либо специально проверять, либо уже быть настороже. Это не взлом. Это UI‑обман.

Эффект толпы в действии

Дальше включается социальное давление. «Коллеги» начинают задавать вопросы: что нажимать, куда заходить. Почти сразу другие «коллеги» отписываются: «получилось», «пришёл код», «отправила».

Самое важное — всё происходит публично, в общем чате. Не в личке. Не скрытно. На глазах у всех. Это классическая техника: если десять человек уже сделали одно и то же — значит, это безопасно.

Мозг экономит энергию и отключает критическое мышление. Зачем сомневаться, если «все прошли»?

Что произошло на самом деле

С технической точки зрения произошло простое действие: пользователь нажал «Поделиться контактом» и передал номер телефона боту. Никакого взлома, никакого «доступа к Госуслугам» в этот момент не было.

Так называемый «код», который просят отправить в чат, — не код доступа и не подтверждение входа. Это элемент спектакля. Реквизит, создающий ощущение процесса и контроля.

Ключевой вывод здесь неприятный: все персональные данные у мошенников были ещё до начала атаки. Этот этап был нужен не для получения информации, а для психологического переключения жертвы — из роли «сотрудника» в роль «объекта операции».

Технический капкан захлопывается тихо. И именно поэтому он работает.

Акт III. Срыв масок и шоковая терапия (время 13:42)

Этот акт — самый короткий по времени и самый разрушительный по эффекту. Сценарий, который полчаса выстраивали аккуратно и почти интеллигентно, ломается за секунды. Маски сбрасываются демонстративно. Именно так и задумано.

Мгновенная трансформация

Вежливый «кадровик», который ещё недавно писал канцелярским языком, исчезает. Его место занимает поток агрессии. Мат. Оскорбления. Троллинг, рассчитанный на максимальное эмоциональное зацепление. Сообщения летят одно за другим — быстро, без пауз, без логики.

Это выглядит как истерика. Но это не эмоции. Это инструмент.

Унижение здесь показательное: «ты уже всё потеряла», «мы всё видим», «ты сама виновата». Человека не просто пугают — его лишают опоры, статуса, роли. Он больше не «сотрудник». Он — объект давления.

Цель психологического удара

Задача этого этапа проста и цинична: вызвать панику. Не страх — именно панику. Состояние, в котором мозг перестаёт анализировать и начинает действовать рефлекторно.

В этом состоянии человек:

• не проверяет факты

• не читает мелкий текст

• не сомневается

• срочно ищет «живого человека», который скажет, что делать

Именно поэтому следующий шаг — звонок. Не чат, не бот, не сообщение. Голос. Прямая линия давления.

Фейковые «уведомления»

Параллельно в чат и личные сообщения начинают сыпаться «уведомления»:

• «Вход в Госуслуги с iPhone 16»

• «Геолокация: Украина, Днепропетровск»

• «Загружена генеральная доверенность»

Формулировки подобраны идеально. Современно, страшно, «технически». Расчёт на то, что человек не знает, как именно выглядят настоящие уведомления, но понимает общий смысл.

Когда я с мамой в 15:16 сидя уже в МФЦ узнали:

• входов в «Госуслуги» не было (на фото мой вход сразу когда я оказался рядом с мамой)

• доверенностей не оформлялось

• никаких действий не происходило

Но в 13:42 это знание недоступно. Потому что шоковая терапия работает только здесь и сейчас. И именно в этот момент система либо ломает человека — либо даёт сбой.

Акт IV. Сценарий Б: кредитная бомбардировка (время 13:53 и следующие сутки)

Когда шоковая атака не ломает человека сразу, у мошенников включается запасной план. Он менее эффектный, но куда более изматывающий. Это атака не на эмоции, а на выносливость.

Массовая подача заявок в МФО

В ход идут уже имеющиеся данные: ФИО, дата рождения и номер телефона — все эти данные были у них и до атаки. Этого достаточно, чтобы запустить автоматическую рассылку заявок в микрофинансовые организации. Никаких разговоров, никаких «подтверждений личности». Просто скрипт, который отправляет десятки заявок в разные МФО.

Важно понимать: это не точечная попытка украсть деньги. Это ковровая бомбардировка. Расчёт на то, что хотя бы где‑то система даст сбой, скоринг будет лояльным, а кредит — одобренным.

Поток СМС как оружие

Через несколько минут начинается вторая волна — СМС. Десятки сообщений подряд. Коды подтверждения. Уведомления «заявка принята», «заявка одобрена».

Представьте, что вы получаете около двадцати таких сообщений за короткое время. А теперь представьте, что вам 72 года. Телефон вибрирует без остановки, каждое сообщение — про деньги, долги, обязательства.

Количество здесь — ключевой фактор. Не важно содержание каждого отдельного сообщения. Давление создаёт сам поток. Срочность, множественность, ощущение, что процесс уже идёт и его невозможно остановить.

Почему деньги не украли

Деньги не украли не потому, что схема была слабой. А потому что в этот раз система дала сбой — с их стороны.

Мы быстро доехали до МФЦ. Был оформлен самозапрет на кредиты. Запрет на сделки с недвижимостью был установлен заранее — ещё до этой истории, как мера «на всякий случай».

Сценарий Б рассчитан на то, что человек устанет раньше, чем разберётся. И именно поэтому он опасен. Он не пугает — он давит до тех пор, пока не сломает.

Чёрный список: технические следы атаки

Этот раздел — для поисковых роботов, специалистов по безопасности и тех, кто прямо сейчас гуглит подозрительный номер или ссылку. Я оставляю эти «цифровые отпечатки» здесь, чтобы разорвать цепь анонимности. Скрипты меняются, но паттерны и идентификаторы часто живут дольше, чем фальшивые аккаунты.

Технические артефакты атаки:

1. Фейковый бот «Госуслуг»: внешне он копирует дизайн, но его username выдает подделку: @Di24gubBot (ID: 8279304015). Обратите внимание на механику: ссылка содержала start=aladin… — это реферальный «хвост», по которому скрипт понимает, какую именно жертву нужно обрабатывать.

2. Аккаунты-кукловоды: имена и фото украдены у реальных людей. Но Telegram ID — это уникальный цифровой паспорт аккаунта, который не подделать.

   • ID 8571326145 — координатор атаки. Сначала втирается в доверие, затем оказывает давление, в финале — глумится над жертвой.

   • ID 8279304015 (Бот) — фальшивые «Госуслуги». Собирает номер телефона и перехватывает код авторизации Telegram.

   • ID 5081257726 (Группа) — создана исключительно для спектакля.

   • ID 8593742198 и 8578455336 — отыгрывают роль коллег, которые «уже всё прошли». После взлома жертвы мгновенно меняют тон на издевательский («доверенность загружу», «паспорт выгружу»).

   • ID 8438081199 — аккаунт‑скрипт, который молча добавил жертву в группу в самом начале (действие invite_members).

Если вы видите эти ID в своих логах или черных списках — блокируйте.

Серые лидогенераторы: похоже большая часть сайтов из списка ниже — это не сами кредиторы, а агрегаторы. Они собирают персональные данные и перепродают их реальным МФО, создавая лавинообразный эффект спама.

Ниже приведен список доменов и отправителей — их системы были использованы в автоматизированной рассылке заявок без согласия жертвы. Если вам пришло СМС от этих сервисов без вашего запроса — ваши данные уже «прогоняют» по скрипту. Хотя некоторые из сайтов (например, nadodeneg.ru) — легальные МФО, зарегистрированные в реестре ЦБ.

Эту таблицу создал я, чтобы обзванивать все организации в день сразу после атаки. Чтобы написать официальные письма или нанять юриста для взаимодействия по мошенничеству.

Но как оказалось многие из них даже не имеют телефона на сайте.
1. Адрес из SMS: nadodeneg
Сайт: nadodeneg.ru/
Телефон с сайта: 8 800 222-02-24

2. Адрес из SMS: 0-cash.ru
Сайт: 0-cash.ru/
ИНН: 645322546902

3. Адрес из SMS: denginadom
Сайт: denginadom.ru/
Телефон с сайта: 8 (800) 770-05-40

4. Адрес из SMS: bistrodengi
Сайт: bistrodengi.ru/
Телефон с сайта: +7 495 725-25-25

5. Адрес из SMS: webbankirru
Сайт: webbankir.com/
Телефон с сайта: 8 800 775-54-54

6. Адрес из SMS: budgett.ru
Сайт: budgett.ru/
Телефон с сайта: 8 (800) 555-99-80

7. Адрес из SMS: you-zaimru
Сайт: youzaym.ru/
Телефон с сайта: +7 (499) 340-02-42

8. Адрес из SMS: valupro.ru
Сайт: valupro.ru/
ИНН: 770100251210

9. Адрес из SMS: sravniza.ru
Сайт: sravniza.ru/
Телефон с сайта: +7 (999) 999-99-99

10. Адрес из SMS: denga4u
Сайт: denga4u.ru/
ИНН: 7816728534

11. Адрес из SMS: finmanyru
Сайт: finmany.ru/
ИНН: 645322546902

12. Адрес из SMS: top5-mfo.ru
Сайт: top5mfo.ru/
Контакты: нет информации

13. Адрес из SMS: mfonly-ru
Сайт: mfonly.ru/
ИНН: 645322546902

14. Адрес из SMS: pyblidom
Сайт: pyblidom.ru/
ИНН: 645322546902

15. Адрес из SMS: bugetut
Сайт: bugettut.ru/
ИНН: 645322546902

16. Адрес из SMS: na-schetru
Сайт: www.na-schet.ru/
ИНН: 645322546902

Многие имеют юридическую привязку к ИП, зарегистрированному менее года назад.

Было ещё несколько, уже на следующий день пришли.

Что делать, если вы попали в такую ситуацию

В информационной безопасности есть понятие — план реагирования на инциденты. Когда атака уже началась, эмоции — ваш враг. Действуйте по сухому алгоритму. Это чек‑лист для минимизации ущерба.

1. Не кормите тролля

Как только вежливый тон сменился на угрозы, мат или требования — немедленно прекращайте диалог. Не пытайтесь оправдываться, не шутите в ответ, не угрожайте полицией. Любая ваша реакция дает злоумышленникам время и информацию.
Ваша задача — разорвать соединение. Блокируйте пользователя, выходите из группы, удаляйте себя из чата.

2. Изоляция периметра: не звоните «в поддержку»
Номера телефонов, которые вам подсовывает фейковый бот или присылают «коллеги» в чате — это SIP‑телефония мошенников. Позвонив туда, вы попадёте не в службу безопасности, а на второй уровень социальной инженерии, где вас «дожмут» голосом.
Настоящая поддержка Госуслуг или банка никогда не звонит через мессенджеры и не просит диктовать коды.

3. Поход в МФЦ
Если вы передали код или перешли по ссылке, считайте, что ваша цифровая личность скомпрометирована.

• Срочно идите в МФЦ. Ваше физическое присутствие с паспортом — это «мастер‑ключ», который перекрывает любой удаленный доступ.

• В МФЦ сбросьте пароль, настройте вход по TOTP и, главное, запросите историю входов. Убедитесь, что там нет посторонних устройств.

4. Превентивные патчи безопасности
Эти действия нужно выполнить всем, не дожидаясь атаки. Это ваша «цифровая прививка»:

• Самозапрет на кредиты. Оформляется через реальные Госуслуги. Даже если мошенники украдут ваши данные, автоматический скоринг отклонит заявку.

• Запрет на сделки с недвижимостью без личного присутствия. Это закрывает уязвимость с продажей квартиры через украденную или поддельную ЭЦП электронную подпись.

5. Аудит и мониторинг (проверка БКИ)
Закажите выписку из Бюро кредитных историй (через Госуслуги это бесплатно дважды в год).

• Смотрите не только на выданные кредиты, но и на запросы.

• Если видите лавину запросов от МФО (как в списке выше) — значит, ваши данные попали в бомбер. Сами по себе запросы денег не крадут, но это сигнал: нужно мониторить ситуацию.

6. Цифровая криминалистика.
Прежде чем удалять чат у себя, сделайте экспорт истории или скриншоты.
В Telegram Desktop есть функция Export Chat History. Сохраните всё: ID ботов, никнеймы, номера телефонов, время сообщений. Возможно эти логи — единственное доказательство если дело дойдет до реального финансового ущерба. Факты лучше эмоций.

Заключение: почему это важно

Это не история о «глупости» или «доверчивости».
И точно не про «пожилых людей, которые плохо разбираются в технологиях». В этой истории нет ни одного примитивного хода. Здесь нет «переведи деньги», «назови код» или «безопасного счёта» в лоб. Здесь работает профессионально выстроенная цифровая атака, в которой человек — не слабое звено, а цель.

Это история о том, как ломают не через уязвимости в софте, а через уязвимости в привычках.
Через то, что для нас кажется нормальным и безопасным:

• рабочий чат

• знакомые фамилии

• служебный тон

• «приказ сверху»

• формальные процедуры

• цифровые сервисы государства

С точки зрения IT это не взлом.
Это профессональная социальная инженерия: сценарий, роли, тайминги, резервные планы, автоматизация. Настоящая модель, где пользователь — конечная точка, а его психика — интерфейс.

Сегодня это врач.

Завтра — бухгалтер с доступом к счетам.

Послезавтра — учитель с данными учеников.

Инженер. Кадровик. Айтишник. Любой, кто привык выполнять рабочие процессы и доверять «системе».

Важно понять главное: мошенники больше не атакуют «человека вне социальной системы» — они атакуют человека внутри системы.
Они не просят выйти из роли. Они используют её.

Единственный реальный барьер — знание сценария.

Если вы один раз увидели эту схему целиком:
рабочий чат → доверие → «техника» → шок → давление → изматывание
и она больше не работает так, как задумано. Магия исчезает.

Именно поэтому такие истории нужно фиксировать, разбирать и публиковать.
Не ради хайпа. Не ради жалости.

А ради того, чтобы в следующий раз — увидев знакомый шаблон — вы просто закрыли чат и прекратили диалог.

Автор: Михаил Шардин
🔗 Моя онлайн‑визитка
📢 Telegram «Умный Дом Инвестора»

18 декабря 2025