«Письмо от руководства», которого не существует: как компании попадаются на фейковую доставку

Злоумышленники подстроились под отчетный сезон в России.

В начале 2026 года специалисты Positive Technologies выявили новую фишинговую кампанию, нацеленную на бизнес. В ней мошенники одновременно маскируются под государственное ведомство и сервис доставки, вынуждая получателей оплачивать якобы обязательную пересылку документов. Расчёт делается на эффект срочности: официальный стиль, ссылки на законодательство и формальные формулировки подталкивают адресата быстро выполнить требование, не проверяя подлинность сообщения.

Как выглядит атака

В отличие от сложного подмены настоящих доменов, злоумышленники используют более простой, но действенный подход — регистрируют домены, визуально схожие с официальными адресами, например, имитирующие домен Росфинмониторинга. На таких доменах настраивается собственная почтовая система с корректными MX-записями, что позволяет письмам проходить базовые проверки и не сразу попадать в спам.

Получателю приходит письмо с PDF-вложением, стилизованным под официальное уведомление. В документе используется строгий канцелярский язык, упоминаются нормативные акты и некое выявленное нарушение. Далее предлагается получить документы через доставку — для этого нужно отсканировать QR-код, перейти по ссылке, указать имя и номер телефона и оплатить услугу. На случай проблем указан контакт «службы поддержки» в Telegram.

Что происходит дальше

Характерная особенность подобных схем — кратковременная жизнь фишинговых страниц. В исследуемом случае ссылка из QR-кода уже не работала, поэтому аналитики связались с «поддержкой» в Telegram и получили новый адрес для оплаты. По мнению исследователей, собираемые персональные данные используются для автоматического создания индивидуальных платежных страниц — под конкретного адресата и конкретное «уведомление».

Сами страницы оплаты выглядят убедительно: дизайн и интерфейс копируют известные службы доставки и платёжные сервисы, а часть ссылок действительно ведёт на реальные сайты. Однако ключевой элемент — платёжная форма — настроен так, чтобы деньги уходили напрямую мошенникам.

Масштаб кампании

После анализа инфраструктуры специалисты составили поисковый шаблон по доменным именам и техническим признакам и проверили данные через пассивный DNS. Результаты показали значительный масштаб: более тысячи связанных доменов, размещённых на пятидесяти с лишним узлах. Однотипная структура страниц и большое количество уникальных ссылок указывают на автоматизацию — URL-адреса генерируются скриптами для массовых рассылок.

Отдельное внимание привлёк Telegram-аккаунт @cdek_tech. По косвенным данным, он был создан в первой половине 2025 года, а первые публичные следы активности появились осенью того же года. Учитывая сроки регистрации доменов, исследователи считают, что активная фаза кампании началась примерно в сентябре 2025 года и продолжается до настоящего времени.

Кто в зоне риска

По тематике писем и стилю общения видно, что основная цель — малый и средний бизнес. Формулировки про проверки, отчетность и обязательные процедуры хорошо вписываются в повседневную работу компаний. Время рассылки тоже выбрано неслучайно: конец января — период закрытия года и сдачи отчетов, когда у сотрудников меньше возможностей для тщательной проверки входящих писем.

Как защититься

Базовая защита начинается с внимательности. Стоит проверять домен отправителя и адреса ссылок или QR-кодов: лишние символы, дефисы, необычные зоны или региональные приставки должны вызывать подозрение. Важно сопоставлять содержание письма и ресурс, на который оно ведёт — «официальные уведомления» не должны отправлять на сторонние сайты, не связанные с инфраструктурой ведомства.

Также полезно помнить о формате коммуникации: государственные органы, как правило, не решают рабочие вопросы через мессенджеры. При малейших сомнениях безопаснее самостоятельно зайти на официальный сайт ведомства и проверить информацию по контактам из независимых источников, не переходя по ссылкам и QR-кодам из письма.