10 февраля, 2026
Заголовки

Как работают фишинговые схемы мошенников из России

Student010 минуты
фишинговые схемы мошенников из России

Фишинговые рассылки давно превратились в отлаженный криминальный механизм. Мошенники создают поддельные письма, копируют стиль государственных служб, банков или служб доставки и массово рассылают сообщения тысячам адресатов. Основная цель таких схем одна и всегда неизменна. Заставить человека перейти по ссылке и ввести свои личные данные. Именно так работает большинство российских фишинговых кампаний, направленных на пользователей Украины и Европы.

Российские схемы строятся на сочетании дешевой инфраструктуры, безнаказанности внутри доменной зоны ru и разветвленной сети спамеров. Почти любое поддельное электронное письмо из подобных кампаний создается на домене, который существует не более нескольких недель. Такие домены регистрируются через сервисы, которые не требуют реальной идентификации владельца. После этого мошенники арендуют почтовые серверы у хостингов, не реагирующих на жалобы, и начинают рассылку.

В письмах обычно используется эмоциональное давление. Уведомления о якобы неврученной посылке, блокировке банковского счета, судебной повестке или штрафе. Мошенники рассчитывают на то, что человек испугается и не будет проверять детали. Текст пишется так, чтобы вызвать тревогу и заставить адресата нажать на кнопку или ссылку. Именно этот переход приводит на поддельный сайт, созданный в точной копии реального интерфейса. Дальше пользователь вводит данные карты, логин банка, пароль или SMS код. Мошенники моментально используют эти данные для входа и вывода средств.

Сама структура таких схем хорошо просматривается по почтовым заголовкам. Несмотря на то, что в поле отправителя указано название известной службы, реальный источник письма почти всегда скрывается за одноразовым доменом ru и IP адресом, который уже фигурировал в спам активностях. Серверы маскируются через промежуточные узлы и прокси, чтобы затруднить отслеживание.

Что такое спамерские или одноразовые домены в фишинге

Использование одноразовых доменов является ключевым элементом. Такие домены создаются специально для преступной деятельности и служат недолго. Они не предназначены для легального контента. Мошенники применяют их для массовых рассылок, а после того как домен попадает в черные списки, он просто заменяется новым.

Пример кода фишингового письма от российских мошенников
Пример кода фишингового письма от российских мошенников

Обычно такие домены применяются в следующих случаях:

  • Массовые фишинговые письма о блокировке банковской карты.
  • Поддельные уведомления от служб доставки, где требуется указать данные карты для оплаты.

Примеры подобных доменов.
promeasmertios .ru
lk sud dostavka .ru
nalogi info24 .ru
mos sud online .ru
passport verify center .ru

Любой подобный домен создается по одному шаблону. Бессмысленное название вперемешку с английскими словами, чтобы создать иллюзию официальности. К этим доменам подключают почтовый сервер, который затем отправляет миллионы писем.

Как мошенники создают и запускают инфраструктуру

Подобные схемы существуют потому, что внутри России отсутствует реальный контроль над регистрацией доменов ru и su. Мошенники используют данные вымышленных лиц, покупают домены через посредников, а затем арендуют серверы в дата центрах, которые известны своей безразличной политикой к жалобам. Эта инфраструктура продолжает работать даже после многочисленных обращений в abuse службы, потому что провайдеры не заинтересованы в остановке фишинга.

Следующим шагом становится сбор базы адресов. Эти данные получают через утечки, купленные базы или автоматические программы. После начинается рассылка. Миллионы писем уходят в разные страны, и мошенники знают, что даже если один процент получателей откроет письмо, нажмет на ссылку и введет данные, схема принесет прибыль.

Сообщения создаются как копия реальных страниц. Банк, налоговая служба, почтовая компания. Элементы дизайна, логотипы и структура сайта полностью повторяются. Адрес страницы маскируется, а сам сайт работает всего несколько дней. Мошенники используют автоматизированные генераторы таких поддельных страниц, что ускоряет работу.

Пример фишинговой рассылки, взят с сайта kiev.ks.ua

Эмоциональное давление является обязательной частью сценария. Текст писем создается так, чтобы человек не раздумывал и действовал быстро. Нередко указываются сроки. Списания, блокировки, штрафы. Все это направлено на то, чтобы человек ввел данные немедленно. Если пользователь попадает на сайт, вводит данные карты или подтверждает кодом из SMS, мошенники получают полный доступ и снимают деньги.

Почему блокировать такие домены сложно

Механизм блокировки в России отсутствует. Домены продолжают работать, даже если на них жалуются. Мошенники постоянно создают новые сайты, поэтому каждый заблокированный адрес мгновенно заменяется. Кроме того, они используют технические методы маскировки. Промежуточные сервера, поддельные DNS записи, фальшивые abuse контакты. В результате международные службы не могут быстро закрывать такие ресурсы.

Почтовые сервисы постепенно учатся распознавать такие рассылки, но мошенники меняют шаблоны, меняют домены, меняют серверы. Это бесконечный процесс. Вся инфраструктура построена так, чтобы она была гибкой и быстрой в замене. А каждое письмо из подобных кампаний позволяет преступникам получить доступ к реальным банковским счетам.

Российские фишинговые схемы стали крупной криминальной сетью, которая использует слабый контроль над доменной зоной ru, отсутствие наказания и развитую инфраструктуру спам рассылок. Преступники используют одноразовые домены, маскировку, эмоциональное давление и поддельные сайты. Их цель всегда одна. Получить данные банка или доступ к SMS подтверждениям, а затем вывести деньги. Именно поэтому важно понимать природу таких писем, не открывать вложения и не переходить по ссылкам. Осведомленность остается лучшим способом защиты от фишинговых атак.

Разбор кода письма: что видно из технических заголовков

Технические заголовки письма позволяют понять, откуда конкретно было отправлено сообщение и кто стоит за рассылкой. В данном случае следы мошеннического происхождения заметны сразу.

Во первых, в исходном коде письма указан домен отправителя:
reply@promeasmertios .ru
Зона ru указывает на российское происхождение домена, а само имя выглядит как типичный одноразовый спамерский адрес. Такие домены создаются именно для фишинга и массовых рассылок. Подобные домены не используются легальными компаниями, не содержат реального сайта и живут несколько недель.

Во вторых, в заголовках указаны реальные параметры сервера.
client-ip=185.255.178.156
Этот IP уже применялся в спам кампаниях. Подобные IP адреса принадлежали хостингам, известным как площадки, которые игнорируют жалобы и позволяют рассылать мошеннические письма.

Третья важная деталь. Письмо прошло проверку SPF и DKIM, но только для домена мошенников.
Система видит, что сервер действительно имеет право отправлять почту от имени домена promeasmertios .ru. Это означает, что мошенники контролируют домен полностью, а рассылка делалась не через чужие ресурсы, а через собственную инфраструктуру.

Четвертая деталь. В поле From указано название украинской службы доставки, но DMARC показал несоответствие.
Указан отправитель ukrposhta.ua, но реальный домен в подписи другой. DMARC фиксирует это как подделку. То есть поле отправителя просто подменено вручную.

Пятая деталь. Письмо проходит через цепочку серверов с названиями вида fwdcdn. Это характерно для спамерских CDN, которые используются для скрытия реального источника. Легальные компании такие серверы не применяют.

Главный вывод.
В коде письма содержатся прямые признаки того, что оно отправлено через российский спамерский домен ru и хостинг, который часто применяется в мошеннических рассылках. Подмена отправителя, доменная зона ru, некорректные заголовки, подозрительная цепочка серверов и IP из списка спам активности ясно указывают, что письмо создано и отправлено российскими мошенниками.

Похожие новости