Кибермошенники активно используют ажиотаж вокруг мессенджера Telegram, адаптируя старые схемы обмана под новые реалии. Теперь вместо простого «выгодного продления» подписки, пользователям предлагается якобы «разблокировка» Telegram и доступ к сервису «без ограничений». Распространяются фишинговые ссылки с кнопками активации, переход по которым чреват потерей денежных средств и персональных данных.
По данным экспертов по информационной безопасности, в первые месяцы 2026 года количество атак, связанных с «ускорением» сервисов и «разблокировкой» приложений, увеличилось примерно на 40%.
Старые схемы в новой упаковке
В апреле 2026 года схема с «подарочными» подписками получила новое развитие в связи с повышенным интересом к функции Telegram Premium. Младший аналитик исследовательской группы компании Positive Technologies Анастасия Осипова отмечает, что активное распространение информации о более стабильной работе мессенджера у пользователей с премиум-подпиской, особенно на Android-устройствах, стало триггером. К этому добавились уведомления о «последней возможности» оформить подписку, что создало ажиотаж.
В результате мошенники переработали свои сценарии. Если ранее они использовали «розыгрыши» или «бесплатный Premium», то теперь акцент сместился на «сохранение доступа», «обход блокировок» и «эксклюзивные условия». Такая подача значительно повышает доверие пользователей и снижает их критическое восприятие, подчеркнула Осипова.
Мессенджеры уже несколько лет остаются ключевым каналом для атак на частных пользователей, и в 2026 году эта тенденция усилилась. Текущая волна мошенничества напрямую связана с ограничениями в работе сервиса и информационным фоном вокруг него. Злоумышленники используют классические схемы социальной инженерии, оперативно адаптируя их под актуальную повестку.
Telegram используют более 1 млрд человек по всему миру, а в России аудитория превысила 100 млн. Это делает его привлекательным инструментом для мошенничества. С февраля 2026 года, на фоне ограничений в работе сервиса, наблюдается всплеск активности злоумышленников. Это типичная ситуация, когда сценарии строятся на страхе пользователей потерять доступ к привычному сервису. Подобная схема применялась и в 2024 году, но тогда она не получила такого масштабного распространения.
Руководитель компании «Интернет-розыск» Игорь Бедеров подтвердил кратный рост подобных атак за март-апрель 2026 года. Он выделил три основных сценария:
- Массовая продажа фейковых подписок: Пользователю приходит сообщение якобы от знакомого с предложением «подарочной» подписки на 12 месяцев Premium. При нажатии на кнопку «Активировать» открывается фишинговая страница, где жертва вводит данные аккаунта или платежную информацию. В итоге злоумышленники получают полный доступ к профилю и начинают рассылку уже от его имени, быстро масштабируя атаку.
- «Ускорители» мессенджера или «решения для обхода ограничений»: Под предлогом проверки на то, что пользователь не является роботом, его просят ввести код из СМС. Это классическая схема перехвата авторизации и захвата аккаунта.
- Модифицированные версии мессенджера: Распространяются версии с якобы встроенным VPN или доступом к «скрытым функциям». Установка такого ПО приводит либо к блокировке устройства, либо к вымогательству.
Третье направление – активный рост ботоферм, которые используются для массовых рассылок, накрутки аудитории и распространения вредоносных ссылок через чаты и комментарии. С начала года количество таких сервисов заметно выросло и активно используется в мошеннических кампаниях.
Повод для масштабирования атак
Специалисты «Лаборатории Касперского» также фиксируют схожую динамику. Эксперт Татьяна Куликова отметила, что тема премиум-подписки остается одной из самых эффективных приманок. Основная цель мошенников – получить учетные данные, коды подтверждения или платежную информацию. При этом такие сообщения все чаще рассылаются от имени уже скомпрометированных аккаунтов, что значительно повышает доверие и ускоряет распространение атак.
В InfoWatch подчеркивают, что базовая схема остаётся прежней, но её эффективность выросла за счёт адаптации под актуальную повестку. Дополнительный вектор связан с предложениями «официальных решений» для обхода ограничений, добавил директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко.
Мошенники рассылают инструкции по обходу блокировок, предлагают установить приложения или VPN-сервисы, маскируют фишинговые страницы под «решения» от операторов или госструктур. Часто они требуют предоплату за «гарантированный доступ без ограничений». В результате человек либо устанавливает вредоносное ПО, либо передает платежные и учетные данные. По данным «Информзащиты», за первые месяцы 2026 года количество атак, связанных с «ускорением» сервисов и «разблокировкой» приложений, выросло примерно на 40%.
Также злоумышленники могут проводить таргетированные атаки на конкретных пользователей, используя тему премиальной подписки, отметила ведущий аналитик департамента защиты от цифровых рисков компании F6 Евгения Егорова.
Рост мошеннической активности совпал со снижением доступности Telegram. По данным сервиса OONI Explorer, в ночь на 20 апреля 2026 года уровень недоступности мессенджера в России составил около 97%, что стало антирекордом.
Блокировки прокси и усложнение доступа подталкивают пользователей искать альтернативные решения, чем активно пользуются мошенники, полагает директор проектов АНО «Цифровые платформы» Владимир Зыков. Ведущий аналитик Mobile Research Group Эльдар Муртазин считает, что предпосылок для улучшения работы сервиса нет. Пики перебоев в работе сервиса в вечернее и ночное время объяснимы тем, что в этот период перенастраиваются технические средства противодействия угрозам (ТСПУ), которые фильтруют интернет-трафик. К утру ситуация, как правило, стабилизируется.
Эксперты сходятся во мнении, что ключевым фактором для мошенников по-прежнему остаётся поведение самих пользователей. Осведомлённость, проверка информации и отказ от поспешных действий при «выгодных» предложениях – базовые, но критически важные меры защиты. Пока ситуация с доступностью Telegram остаётся нестабильной, специалисты ожидают сохранения высокого уровня подобных атак.