Мошенник из адвент-календаря: как «Золотое Яблоко» боролось с мошенниками перед Новым годом

«Золотое Яблоко» регулярно сталкивается с попытками мошенничества от имени компании. Так, в конце 2025 года появились тысячи объявлений про «бесплатный новогодний онлайн-адвент-календарь с гарантированными призами». Сценарий выглядел как безобидная игра, но был собран по логике социальной инженерии: быстрый охват в TikTok, сайт-клон «Золотого Яблока», а затем увод в телеграм-бот. Рассказываем, как была устроена схема, что предприняла компания, чтобы защитить пользователей, и какие признаки помогут распознать подобные атаки.

Содержание статьи:

У мошенников простой принцип: не придумывать новую эмоцию, а использовать уже существующую. Предновогодний период дает две вещи сразу: высокий трафик и сниженное внимание к деталям. Адвент-механика, «ячейки», «подарки», «успей сейчас» создают ощущение игры, где хочется кликать быстрее, чем проверять источники.

Эта история укладывается в более широкий тренд: одна из ключевых угроз онлайн-безопасности сегодня — социальная инженерия, когда человека убеждают сделать действие самому. В такой модели атаки бренд, узнаваемый дизайн и обещание выгоды работают как ускоритель доверия, а реальная цель — вывести пользователя за пределы привычного сценария покупки и переключить его на «инструкции» мошенников.

Схема конца 2025-го выглядела как «акция от бренда», но строилась на цепочке внешних площадок.

Через новые или взломанные аккаунты распространялись видео про «бесплатные подарки» и «онлайн-календарь». Дальше включалась классическая механика: сначала человек видит обещание выгоды, затем его ведут по ссылке из комментариев или профиля.

По ссылке пользователь попадал на поддельный веб-ресурс, визуально имитирующий бренд. На странице предлагали «открывать ячейки» календаря и получать «гарантированный приз». Логика простая: дать быстрый дофамин и закрепить ощущение, что все «официально».

Чтобы «получить доступ» или «открыть все сразу», пользователей переводили в телеграм-бот. В подобных схемах бот работает как точка управления: он собирает аудиторию, раздает инструкции, навязывает подписки, показывает «проверки» вроде капчи и направляет на следующие шаги.

С этого момента история перестает быть про «адвент». Бот становится инструментом, который может вести пользователя к разным сценариям мошенничества — от сбора персональных данных до попыток списаний и других способов монетизации. «Адвент» здесь не продукт, а упаковка для завоевания доверия.

В таких кейсах решает раннее обнаружение и быстрая реакция. В департаменте безопасности электронной торговли «Золотого Яблока» есть направление DRP (Digital Risk Protection — защита от цифровых рисков): команда отслеживает нелегитимное использование бренда, фишинг и мошеннические сценарии, собирает паттерны и закрывает угрозы до того, как они станут массовыми.

В этом кейсе команда DRP вместе с партнером — компанией F6, российским разработчиком технологий для борьбы с киберугрозами — отработала цепочку «ролики → домены → боты/каналы»: запустила блокировки, параллельно контролируя появление зеркал и копий.

В истории с фейковыми адвент-календарями с конца ноября 2025 года до середины января 2026-го удалось обнаружить и заблокировать:

— 12 фейковых веб-ресурсов,

— более 220 видео в TikTok,

— свыше 20 телеграм-каналов и ботов, связанных со схемой.

А в более широком контуре компания анализировала десятки тысяч попыток мошенничества под именем бренда — и в большинстве случаев предотвращала масштабирование или срабатывала превентивно. При этом все усложнялось тем, что после первых блокировок мошенники начали публиковать новые домены и перезаливать ролики с других аккаунтов, поэтому команда мониторила появление зеркал. Всего в течение года команда анализировала и устраняла десятки тысяч попыток злоупотребления брендом — от фишинговых сайтов до телеграм-ботов и мошеннических объявлений.