Дайджест Start X № 464

Компания F6, которая занимается расследованием киберпреступлений, рассказала о необычной схеме обмана. Раньше мошенники пытались заразить телефон жертвы через ссылки и вложения в письмах. Теперь они перешли к прямой доставке: присылают человеку готовый Android-смартфон — а внутри уже сидит шпионская программа LunaSpy, которая тихо записывает всё, что происходит.

За февраль и март 2026 года специалисты насчитали около 300 таких случаев, причём почти все они направлены против клиентов российских банков. Схема начинается со звонка или сообщения в мессенджере: человека убеждают, что его деньги «под угрозой», и советуют завести «защищённый» или «секретный» телефон — якобы специально для общения с банком и входа в приложения. Устройство привозит курьер или передаёт лично «сотрудник». На телефоне уже работает программа, замаскированная под обычный системный компонент «System framework». Она умеет незаметно включать камеру и микрофон, записывать экран, читать SMS и перехватывать пароли. Больше того — если жертва попытается её удалить, программа сама нажимает кнопку «Назад» и шлёт сигнал преступникам.

На изученных устройствах специалисты нашли и предустановленный мессенджер на базе Matrix: через него хакеры держат с жертвой постоянный контакт и в нужный момент подталкивают назвать код из SMS или перевести деньги «на безопасный счёт». В целом по стране число заражённых Android-телефонов за первые три месяца 2026 года выросло на 124% по сравнению с началом 2025-го.

Для обычного человека вывод простой: любой телефон «в подарок» от людей, представившихся сотрудниками банка, службы безопасности «Госуслуг» или следователем, — это не подарок, а слежка в кармане. Как только вы введёте в такой аппарат свой логин в банковском приложении, деньги можно считать наполовину украденными.

Никогда не принимайте смартфоны от незнакомцев и не покупайте «защищённые» аппараты «по рекомендации» звонящих — настоящие банки телефоны клиентам не выдают. Для банковских приложений пользуйтесь только устройствами, купленными в официальных магазинах. Если такой подозрительный аппарат вам уже привезли, не включайте его и передайте в полицию.

Источник: F6.

21 апреля специалисты антивирусной компании ESET рассказали о новой версии опасной программы NGate для смартфонов на Android. Вирус маскируется под взломанную копию совершенно легального приложения HandyPay, которое с 2021 года лежит в Google Play и умеет работать с бесконтактной оплатой картой через чип смартфона. В руках мошенников та же функция превращается в инструмент воровства: деньги списываются с карты жертвы, даже если сама карта в этот момент спокойно лежит в кошельке дома.

Работает схема так. Мошенники заводят поддельные сайты — например, под видом государственной лотереи или страницы Google Play с «защитным приложением для банковской карты». Пользователь скачивает установочный файл (минуя официальный магазин), запускает его и соглашается сделать это приложение основным для бесконтактной оплаты. После этого программа перехватывает сигнал от настоящей карты и мгновенно передаёт его на телефон злоумышленника — тот прикладывает свой аппарат к терминалу или банкомату и расплачивается вашими деньгами. ПИН-код жертва вводит в поддельное окно сама, после чего он уходит преступникам по отдельному каналу.

Пока кампания работает в Бразилии, но схема универсальна и уже не раз переезжала в другие страны. Российские банки с похожими бесконтактными приложениями потенциально тоже под ударом. ESET отмечает ещё одну особенность: судя по характерным следам — например, эмодзи в служебных записях программы, — часть кода вредоноса написана с помощью нейросетей. Это снижает планку для злоумышленников: сложные атаки становятся доступны и не слишком технически подкованным группировкам.

Опасность для обычного пользователя: стоит установить «полезное приложение для защиты карты» или «приложение-лотерею» по ссылке из SMS, Telegram или рекламного баннера — и деньги начнут списываться без единого подтверждения с вашей стороны. Настоящее приложение HandyPay в магазине Google Play не заражено — проблема именно в тех версиях, которые раздают через поддельные сайты.

Устанавливайте приложения только из Google Play или RuStore, никогда — по прямым ссылкам на установочные файлы. Отключайте бесконтактную оплату на телефоне, если не пользуетесь ею каждый день. В мобильном банке задайте низкий суточный лимит на бесконтактные операции и включите мгновенные уведомления о каждой покупке. «Приложения-лотереи», обещающие гарантированный выигрыш, — это почти всегда ловушка.

Источник: ESET, 21 апреля 2026

22 апреля Управление по борьбе с киберпреступностью МВД России разослало предупреждение о том, что мошенники принялись массово охотиться на домашние Wi-Fi-роутеры — те самые коробочки, через которые интернет попадает к нам в квартиру. Если злоумышленник получает контроль над таким устройством, под его наблюдением оказывается буквально всё, что подключено к домашней сети: смартфоны, ноутбуки, телевизоры, умные колонки, камеры и даже детские планшеты.

По данным полиции, работает это так. Преступники меняют в настройках роутера адреса так называемых DNS-серверов — проще говоря, «справочной службы», которая по вашей команде «открой сайт банка» подсказывает компьютеру, куда именно идти. Вместо адреса настоящего банка роутер начинает отправлять вас на сайт-двойник, неотличимый от оригинала. Человек сам вводит там логин, пароль и код из SMS — и отдаёт их прямо в руки мошенникам. Помимо этого, взломанные роутеры объединяют в огромные сети и используют для рассылки спама, атак на чужие сервисы и подбора паролей.

В МВД подчёркивают: в девяти случаях из десяти причина взлома — сам владелец. На роутере стоит заводская связка «admin/admin», прошивка не обновлялась с момента покупки, а панель управления открыта из интернета. Особенно уязвимы дешёвые модели, которые многие годами держат в квартире «как есть», и устройства, где включено удалённое управление «на всякий случай».

Для обычной семьи заражённый роутер — это прямой путь к потере денег с карт, к угону аккаунтов в мессенджерах, к чтению переписки и даже слежке через домашние камеры. Самое неприятное — заметить взлом почти невозможно: интернет работает как обычно, сайты-двойники часто выглядят ровно как настоящие, а единственным «сигналом» становится списание денег с карты.

Как защититься: откройте панель управления роутером (обычно адрес 192.168.0.1 или 192.168.1.1), смените пароль администратора на длинный и уникальный, отключите удалённый вход из интернета и обновите прошивку. Проверьте, чтобы DNS-серверы в настройках принадлежали вашему провайдеру или крупному сервису — а не неизвестному набору цифр. Домашний Wi-Fi закройте паролем в режиме WPA2 или WPA3.

Источник: РБК и УБК МВД России, 22 апреля 2026

20 апреля прямую трансляцию заседания правительства Курской области пришлось экстренно прервать: на инфраструктуру администрации обрушилась DDoS-атака. Это когда злоумышленники одновременно с десятков тысяч компьютеров отправляют на сайт или сервис гигантский поток бессмысленных запросов — и он не выдерживает нагрузки, превращаясь в «чёрный экран» для обычных пользователей. Правительство региона инцидент официально подтвердило.

По уточнению пресс-службы, удар пришёлся не по сайту самой администрации, а по каналу связи магистрального оператора, через который шла трансляция. Жители, пытавшиеся следить за заседанием через интернет, увидели бесконечно крутящийся значок загрузки вместо видео. В итоге часть встречи смогли показать лишь на официальной странице во «ВКонтакте», а затем резервный канал удалось запустить, и работа сервисов восстановилась.

Курская область уже давно находится в эпицентре цифрового противостояния: региональные сайты и сервисы регулярно становятся целью массовых атак. По оценке специалистов, в 2026 году мощность таких атак на российские государственные ресурсы продолжает расти, и всё чаще удар приходится не по федеральным порталам, а именно по региональным, где защита традиционно слабее.

Для обычного жителя региона это бьёт по повседневным делам: перестаёт открываться сайт местных госуслуг, не работает портал здравоохранения, не проходит запись в детский сад или передача показаний счётчиков. А параллельно мошенники охотно используют шумиху вокруг громкой атаки как прикрытие: в «тёмные часы» рассылают фишинговые письма от имени «местной администрации» и заманивают людей на поддельные страницы «пособий» и «компенсаций».

Не переходите по ссылкам из писем и сообщений, где срочно просят «войти в личный кабинет региональных госуслуг», «продлить пособие» или «подтвердить данные». Адреса официальных региональных порталов сохраните в закладках браузера и заходите только через них. Если сайт недоступен — подождите и попробуйте позже, а не ищите «рабочие зеркала» в чатах и Telegram-каналах: именно там чаще всего подсовывают фишинг.

Источник: РИА «Новости», 20 апреля 2026

Основатель Telegram Павел Дуров 21 апреля в своём канале резко высказался в адрес французских властей после крупной утечки из государственного оператора France Titres (бывшего ANTS). Именно он ведёт во Франции паспорта, водительские удостоверения и другие документы. По данным Дурова, из одной государственной базы наружу ушли имена, адреса, электронные почты и номера телефонов 19 миллионов человек — почти треть населения страны.

Сами французские власти утечку подтвердили: чужой доступ к данным портала ants.gouv.fr был обнаружен 15 апреля. Злоумышленники проникли в личные и профессиональные аккаунты пользователей сервиса. В France Titres уточнили, что сами сканы документов, которые граждане когда-то загружали на портал, не пострадали, — но ФИО, контактные данные и служебные записи ушли. Оценки объёма расходятся: одни источники называют 12—13 миллионов записей, другие — 18—19 миллионов, расследование продолжается. Дуров предупредил: если французские власти добьются доступа к зашифрованным чатам и цифровым удостоверениям пользователей соцсетей, следующие утечки окажутся ещё серьёзнее.

Для российского читателя эта история важна не сама по себе, а как очередной пример того, что даже государственный портал большой страны не гарантирует защиты. 19 миллионов записей уходят наружу в одно касание и почти сразу оказываются на теневых площадках, где их перепродают и дополняют базами из других утечек.

Именно из таких «слитых» данных складываются прицельные звонки и письма, которые получают жители России: мошенник на другом конце провода уверенно называет ФИО, город, возраст, тип документа и даже последние покупки. Выглядит это правдоподобно и сбивает с толку даже внимательных людей.

Исходите из того, что ваш e-mail и телефон давно утекли, и не принимайте «знание ваших данных» за доказательство, что звонит настоящий сотрудник банка или ведомства. Для критичных сервисов — банка, «Госуслуг», почты — включите подтверждение входа по коду или ключу. Время от времени проверяйте свою почту на сайтах вроде haveibeenpwned.com — они показывают, в каких утечках всплывал ваш адрес, и позволяют понять, пора ли менять пароли.

Источник: The Connexion, 20 апреля 2026

С 15 апреля 2026 года в России заработала новая схема контроля за VPN-сервисами (это программы, которые пропускают ваш интернет-трафик через зарубежный сервер — как будто вы выходите в сеть из другой страны). Теперь сервисы разделены на «белый» и «чёрный» списки. Посетителям сайтов, которые заходят через VPN из «чёрного» списка, крупнейшие российские платформы — «Яндекс», VK, Ozon, Wildberries, Сбер — обязаны выдавать экран с уведомлением об ограничении и блокировать работу своих приложений. На практике 21 апреля стало понятно: ограничения оказались заметно жёстче, чем ожидали сами пользователи.

По свежим оценкам, с начала года доля россиян, хотя бы раз включавших VPN, выросла до 39% — это на 8,3 процентных пункта больше, чем в конце 2025-го. В ответ 30 марта Минцифры провело закрытое совещание с 20 с лишним крупнейшими площадками и потребовало: к середине апреля ни одна функция их сайтов и приложений не должна открываться у посетителя с включённым VPN. Компании, которые не справятся, рискуют потерять IT-аккредитацию, налоговые льготы и место в «белом списке» сайтов, доступных при отключении мобильного интернета. Уже сейчас жалобы пользователей приходят не только на «Озон» и «ВкусВилл», но и на десятки других сервисов.

Параллельно операторам «большой четвёрки» — МТС, «Мегафону», «Билайну» и Т2 — поручено к 1 мая ввести плату за международный мобильный трафик сверх 15 ГБ в месяц. По данным источников, каждый дополнительный гигабайт обойдётся примерно в 150 рублей. Глава «Билайна» Сергей Анохин прямо признал, что технически отличить VPN-трафик от обычного зарубежного оператор не может — поэтому счёт вырастет за любое превышение, вне зависимости от того, включал ли человек VPN.

Для обычного пользователя это означает две вещи. Привычные VPN-приложения могут внезапно перестать открывать «Авито», «Озон» или личный кабинет банка. И сотовый счёт способен резко вырасти — например, после поездки за границу или из-за какого-нибудь иностранного сервиса, работающего в фоне. Под удар попадают и те, кто держит VPN не для обхода блокировок, а для безопасности в публичном Wi-Fi: системы фильтрации просто не умеют отличать «хороший» VPN от «плохого».

Если пользуетесь VPN по работе, уточните в IT-отделе, находится ли ваш сервис в «белом» корпоративном списке Роскомнадзора. Перед входом на крупные российские сайты VPN лучше отключать. В приложении мобильного оператора включите уведомления и ограничение по дорогому международному трафику — иначе есть риск получить счёт на несколько тысяч рублей после обычной поездки.

Источник: Известия.

23 апреля Apple выпустила внеплановое обновление безопасности — iOS 26.4.2 (вместе с такими же патчами для iPadOS и отдельной версией iOS 18.7.8 для более старых айфонов). Компания закрыла странную и неприятную ошибку: всплывающие уведомления, которые пользователь помечал как удалённые, на самом деле не стирались полностью. Их текст оседал в системных журналах iPhone — даже если человек уже вручную очистил чат или вообще удалил приложение-источник.

Поводом для срочного патча стало расследование издания 404 Media. Журналисты рассказали, как ФБР в одном из уголовных дел смогло восстановить переписку в защищённом мессенджере Signal с телефона подозреваемого, хотя сам Signal к тому моменту уже был удалён. Сам защищённый архив мессенджера спецслужбе взломать не удалось — они достали как раз те самые копии сообщений, которые остались в скрытом хранилище уведомлений iOS. Работало это только для входящих: то, что пользователь писал сам, в уведомлениях не оставалось. По данным Signal, удалённые сообщения могли храниться в этом кэше до месяца.

До системных журналов iPhone добраться заметно проще, чем до зашифрованных архивов мессенджеров: для этого существуют готовые коммерческие инструменты, которыми пользуются в том числе полиции разных стран, а в отдельных случаях — и обычные вредоносные программы. Apple признала, что уведомления «слишком подробно» сохранялись в журналы, и теперь исправила это.

Для обычного владельца iPhone это значит, что всё, что приходило всплывающими уведомлениями — сообщения из мессенджеров, письма, отчёты от банка, коды подтверждения из SMS, — могло месяцами сохраняться в скрытых файлах и было доступно тому, кто физически взял ваш телефон в руки.

Откройте «Настройки» → «Основные» → «Обновление ПО» и установите iOS 26.4.2 (или 18.7.8 — для более старых моделей). В настройках уведомлений у приватных мессенджеров (Signal, Telegram, WhatsApp, Max) переключите параметр «Содержимое уведомлений» в режим «Только имя» или «Без имени и содержимого» — тогда сам текст сообщения на экране блокировки не отображается и не копируется в системные журналы.

Источник: Apple, 22 апреля 2026

Сооснователь и технический директор компании Zengo Таль Беэри 21 апреля опубликовал результаты анализа WhatsApp: оказалось, что посторонний человек, имея только ваш номер телефона, может без вашего ведома отслеживать, когда вы бываете в сети, в какое время суток активнее переписываетесь и какой техникой пользуетесь — iPhone, Android или компьютером. Подробный доклад исследователь собирается представить на конференции Black Hat Asia 2026.

Суть проблемы не в том, что мессенджер якобы начал раскрывать содержимое чатов — сквозное шифрование, которое защищает сам текст переписки, по-прежнему работает. Уязвимыми оказались служебные данные «вокруг» сообщений. С помощью самодельного инструмента, подключённого к протоколу WhatsApp Web (это та версия мессенджера, которую открывают в браузере), Беэри показал, что можно тихо собирать сигналы о каждом пользователе: когда он «в сети», сколько устройств у него подключено, в какие часы он, вероятно, спит. Причём жертву даже не нужно добавлять в контакты — достаточно знать номер.

Ещё одна неприятная деталь: когда вы впервые пишете новому собеседнику, WhatsApp передаёт технические данные для согласования шифрования. По характерным особенностям этих данных можно понять, на каком устройстве установлен мессенджер — iPhone, Android-смартфон, планшет или настольный компьютер. Это открывает дорогу точечным атакам: для айфона и для дешёвого Android-смартфона мошеннику нужны разные поддельные страницы и разные приёмы взлома, и теперь их можно подбирать заранее. Теоретически ту же «тихую» переписку можно использовать ещё и для ускоренного разряда чужой батареи.

Для обычного пользователя это значит вот что: ваш номер телефона, который вы оставляете в объявлениях на «Авито», вводите при оплате на маркетплейсах и сообщаете в салоне связи, на самом деле раскрывает мошенникам довольно многое. Ваш распорядок дня, удобное время для звонка «из банка», модель смартфона — всё это подстраивается под конкретного человека. Именно поэтому звонки в последние месяцы становятся такими правдоподобными.

Чтобы защититься, заведите второй, «публичный» номер (или eSIM) — для объявлений, маркетплейсов и сомнительных регистраций, а «настоящий» оставьте только для близких и банков. В настройках WhatsApp ограничьте круг тех, кто видит статус «в сети», фото профиля и время последнего визита, — только для контактов. Не отвечайте на сообщения с незнакомых номеров в мессенджерах, даже если собеседник сразу называет вас по имени.

Источник: Dark Reading, 20 апреля 2026

Компания AppSec Solutions 21 апреля представила исследование 90 мобильных приложений российского финансового сектора — банков, микрофинансовых организаций и страховых компаний. Результаты оказались тревожными: число критических ошибок в безопасности за год выросло примерно в десять раз. Всего аналитики нашли 3 555 уязвимостей, из которых 2 006 относятся к высокому или критическому уровню, — то есть таким, что позволяют злоумышленнику выполнить в приложении свой код, перехватить данные или обойти защиту.

По словам исследователей, основные проблемы — слабая проверка сертификатов безопасности (тех самых «замочков», которые подтверждают, что вы общаетесь именно с сервером банка), хранение паролей и токенов в легкодоступных местах внутри приложения, а также устаревшие чужие библиотеки, которые переезжают из версии в версию. На этом фоне банки активно добавляют новые возможности — оплату по биометрии, «умные» переводы, подключение подписок, инвестпродукты. Каждое новое окно — потенциальная новая дыра.

Особенно аналитики обеспокоены МФО и небольшими страховыми компаниями: бюджеты у них на безопасность скромнее, а данных о клиентах они собирают не меньше, чем крупные банки, — паспорт, СНИЛС, адрес, фотографии. Именно через такие приложения нередко и утекают базы, которые потом используют мошенники для звонков «из службы безопасности» и «от сотрудника Центробанка».

Для пользователя это значит, что дыра в любимом приложении банка или страховой — уже не редкость, а норма, с которой приходится жить. А поскольку большинство людей хранят там скан паспорта, банковскую карту и селфи для подтверждения личности, цена ошибки — не только списанные деньги, но и кража цифровой личности: на вас могут оформить микрозаём или новый договор связи.

Обновляйте банковские приложения до последней версии — именно в них закрывают критические ошибки. Никогда не устанавливайте банковские программы по ссылкам из SMS, писем или мессенджеров, только через официальные магазины — Google Play, App Store или RuStore. Для Android-смартфона не давайте банковскому приложению права на чтение SMS или на «Специальные возможности», если оно само их не попросило при первом запуске. И не держите банк-клиент на том же устройстве, которое вам «подарил» незнакомый «помощник».

Источник: Ведомости, 21 апреля 2026

22 апреля Роскомнадзор отдельно уточнил свою позицию по VPN, и она напрямую касается миллионов работающих россиян. Использование VPN для внутренних рабочих задач — для связи между офисами, подключения сотрудников к корпоративной сети и защиты служебного трафика — ограничиваться не будет. «Использование сетевых протоколов шифрования (VPN) для корпоративного взаимодействия в сетях связи внутри страны не ограничивается», — дословная формулировка из заявления ведомства.

Для доступа к зарубежным сервисам в рамках «производственной деятельности» — например, к облачным системам управления проектами, банковским терминалам или серверам разработки — Роскомнадзор уже сделал исключения более чем для 57 тысяч IP-адресов и подсетей, принадлежащих 1 730 организациям. Каждая компания подаёт заявление через свой личный кабинет и указывает, для каких именно задач нужен зарубежный ресурс. К апрелю 2026 года в корпоративном «белом списке» накопилось около 75 тысяч адресов — за полтора года цифра выросла в шесть раз. Параллельно ведомство рекомендует переходить на отечественные средства шифрования по ГОСТам, хотя на практике у международного бизнеса с этим пока проблемы совместимости.

В тот же день Роскомнадзор сообщил и о «чистке» телеком-рынка: аннулировано 1 967 лицензий операторов связи. Формальная причина — компании либо не сдавали обязательную отчётность, либо передавали неполные или недостоверные данные. Речь в основном о небольших региональных провайдерах, но часть клиентов это заденет напрямую: где-то сменятся реквизиты, где-то придётся искать нового оператора.

Для обычного сотрудника и индивидуального предпринимателя важно: если вы подключаетесь к рабочему VPN, чтобы открыть «1С», корпоративную почту или CRM, паниковать не нужно — эта дорога по-прежнему законна. А вот если вы сами настраиваете удалённый доступ для сотрудников, стоит заранее проверить, внесены ли ваши IP-адреса в «белый список» РКН, — без этого часть иностранных сервисов может внезапно перестать работать.

Уточните у своего IT-отдела или подрядчика, входит ли корпоративный VPN в «белый список» и какие зарубежные ресурсы у вас в заявке. Если вдруг окажется, что лицензия у вашего местного интернет-провайдера аннулирована, не бегите платить по входящему звонку «за новый тариф» — сверяйте информацию только на сайте оператора и в его личном кабинете. На всякий случай держите вторую SIM-карту другого оператора, чтобы не остаться без связи.

Источник: РИА «Новости», 22 апреля 2026

«Яндекс.Облако» 22 апреля разослало клиентам уведомление: с 28 апреля вступает в силу новая редакция публичной оферты — того договора, который автоматически принимает каждый, кто пользуется сервисом. Главное изменение касается пунктов 7.2.1 и 7.2.2. Теперь провайдер сможет блокировать клиенту доступ к его же информации, удалять контент и останавливать работу сервисов просто «на основании указания уполномоченного государственного органа». Раньше для такого шага требовался судебный акт или документ от правоохранителей.

Кроме того, «Яндекс» получит право приостанавливать услуги «при обнаружении признаков подозрительной активности» — до тех пор, пока клиент не внесёт «верификационный платёж» по требованию компании. Источник «ComNews» на облачном рынке связывает поправки с готовящейся борьбой против хостинга VPN-сервисов: по слухам, российским облачным провайдерам могут запретить предоставлять ресурсы сайтам, помогающим обходить блокировки. Пресс-служба «Яндекса» это отрицает и уверяет, что «речь не идёт о произвольных блокировках», а только об уточнении уже существующей практики.

На практике «Яндекс.Облаком» пользуется заметная часть российского малого и среднего бизнеса: там хостятся сайты-визитки, интернет-магазины, корпоративные почты, чат-боты, рабочие файлы и базы клиентов. Риск в том, что основанием для блокировки аккаунта теперь может стать простой запрос ведомства — без публичного обоснования и без возможности заранее оспорить решение.

Для обычного человека это не абстракция. Если любимая кофейня, онлайн-школа или служба доставки арендует мощности в «Яндекс.Облаке», её сайт и приложение могут внезапно перестать открываться, а ваши заказы, записи и платежи — зависнуть в воздухе. А если вы сами держите в облаке блог, рабочие документы или архив фотографий, с 28 апреля их доступность фактически начинает зависеть от того, не попадёте ли вы в поле зрения какого-либо ведомства.

Если храните в облаке важные файлы, заведите параллельную копию на внешнем диске или домашнем сетевом хранилище и регулярно её обновляйте. Бизнесу имеет смысл держать резервную копию сайта и базы у другого провайдера и настроить автоматическое сохранение не реже раза в неделю. Перед подписанием нового облачного тарифа внимательно читайте раздел оферты о приостановке и блокировке — именно там прописаны границы ответственности провайдера.

Источник: ComNews, 22 апреля 2026