Мошенничество с помощью опросов

Спамеры все время ищут новые способы достучаться до как можно более широкой аудитории и обойти почтовые фильтры, чтобы письмо с «заманчивым предложением» все-таки попало в папку «Входящие», а не в «Спам». Для этого злоумышленники все чаще пытаются использовать легитимные платформы, придумывая изощренные способы использования популярных онлайн-инструментов в своих целях.

Мы уже рассказывали о мошеннических атаках через Google Формы: в них письма злоумышленников отправлялись с почтовых серверов Google, а ссылки прятались за репутацией домена forms.gle и легко проходили через спам-фильтры. Теперь похожую механику научились реализовывать и в опросах сервиса «Яндекс Взгляд». Рассказываем, как работает новая мошенническая схема и как на нее не попасться.

На первый взгляд, все нормально…

Сервисы для создания онлайн-опросов достаточно популярны в наши дни. Маркетологи с помощью них собирают обратную связь, кадровики проводят опросы, исследователи изучают аудиторию. А как их используют мошенники?

Они создают опрос, вставляют в его тело ссылки на мошеннические сайты, а затем рассылают письма со ссылкой на этот опрос по своей базе адресатов. Базовые антиспам-фильтры рассматривают ссылки вида yandex.com/poll/… как легитимные, да и получатели, видя подобный адрес, вполне резонно полагают: «Ссылка на известный сервис, чего бояться?»

Наши эксперты зафиксировали резкий рост количества таких писем: если в январе Kaspersky Premium заблокировал чуть более 2200 подобных сообщений, то в феврале — уже свыше 32 000. Налицо агрессивное масштабирование — почти в 15 раз за месяц!

Перед вами страница опроса с мошенническим сообщением и ссылкой. В видимой части страницы — логотип известной криптобиржи и активная ссылка на сайт злоумышленников, а внизу — пара точек, о назначении которых мы расскажем ниже

Письма со ссылкой на опрос спамеры рассылают по своим каналам, зачастую используя для этого формы обратной связи на сайтах, у которых не настроена проверка отправителя. То, что сообщение отправлено через легальную инфраструктуру — еще один «зеленый флаг» для антиспам-фильтров, которые пропускают подобные письма.

Письмо с криптомошенничеством на английском языке, отправленное через форму обратной связи на греческом сайте

Наиболее популярные в настоящее время тематики для подобного спама — криптомошенничество, когда пользователю сулят выплату в криптовалюте, и спам со ссылками на сомнительные сайты знакомств.

Как мошенники эксплуатируют сервис

Для того чтобы создать опрос, который не выглядит таковым, злоумышленники используют режим создания «продвинутых опросов».

«Яндекс Взгляд» позволяет вместо вопроса добавить текстовый блок — с пояснением, картинкой или видео. Именно в этот блок мошенники и вставляют свой текст и ссылку на фишинговый сайт. Картинку с логотипом и прочие декоративные элементы они загружают через встроенную функцию «Загрузить медиа».

Чтобы пользователь не увидел кнопку «Далее» и предупреждение сервиса о том, что опросы создаются третьими лицами и «Яндекс» не несет ответственности за размещенный контент, мошенники заполняют пространство под скам-блоком невидимыми символами. Например, добавляют множество строк с обесцвеченными эмодзи — их не видно, но место они занимают. А ниже того пространства, которое помещается в экран, используют просто знаки пунктуации, по одному на строку.

Чтобы понять, как мошенники создают подобные опросы, мы попробовали воссоздать их алгоритм действий в тестовом опросе. Для создания пустого места под мошенническим блоком используются обесцвеченные эмодзи. Еще ниже — знаки пунктуации, до которых уже мало кто долистает

В итоге пользователь видит только предложение мошенников со ссылкой, а все остальное спрятано за границей экрана — точно та же техника, что злоумышленники использовали и с Google Формами.

Еще одно «преимущество» подобного способа распространения скама — помимо легитимных ссылок — в том, что создание такого опроса не стоит спамерам ни копейки. Они не платят сервису за продвижение, не используют его таргетинг, а рассылают ссылку на опрос по своей собственной базе. Сервис же применяется как «конструктор веб-страниц» на надежном домене.

Более того, в разделе «Статистика» опроса мошенники могут в реальном времени отслеживать, сколько человек перешло по ссылке, и скачивать эти данные в виде таблицы. По сути — готовая рабочая аналитика.

Статистика опроса позволяет спамерам отследить результативность своей кампании (приведены данные для нашего тестового опроса, охваты у скамеров куда выше)

Перейдя по ссылке из опроса на ресурс злоумышленников, жертва видит профессионально выглядящий сайт с популярной схемой «розыгрыша призов».

Как не попасться на удочку

• Не доверяйте «надежным доменным именам» в ссылках безоговорочно — com или forms.gle в адресной строке еще не гарантируют безопасность содержимого. По адресу может оказаться опрос, созданный кем угодно.
• Насторожитесь, получив неожиданное письмо — особенно если в нем обещают выплату, приз или предлагают срочно что-то «подтвердить». Это любимые уловки мошенников.
• Всегда прокручивайте страницу до конца. Если контент обрывается, и вы видите пустое пространство — это тревожный знак. Изучите подвал страницы — там могут быть предупреждения от сервиса и другая информация, которая поможет вам понять, что вы находитесь на странице мошеннического опроса.
• Не переходите по ссылкам из подозрительных опросов — а уж если перешли, то не вводите никакие данные на тех сайтах, куда они ведут.
• Используйте надежное защитное решение. Kaspersky Premium обнаруживает подобные мошеннические ресурсы и блокирует переход на них еще до того, как вы успеете поделиться с мошенниками своими данными или заразить свое устройство через уязвимость нулевого клика.

Напоследок хочется отметить, что мошенники не взламывали «Яндекс Взгляд», а творчески подошли к использованию этого инструмента для своих вредоносных целей. Сервис «Яндекс Взгляд» прекращает работу 6 апреля 2026 года, поэтому эта схема скоро станет неактуальной, но мошенники постоянно ищут новые способы атак. Поэтому ваша лучшая защита — здоровый скептицизм по отношению к любому неожиданному письму, даже если в нем содержатся ссылки со знакомым доменом.

Какие еще уловки используют спамеры:

• Как защититься от мошенничества в Google Формах
• Фишинг и спам: лучшие кампании 2025 года
• Защита от спама: как его распознать и как с ним бороться
• Мошенники освоили ИИ: дипфейки, поддельные сайты и письма
• Что делать, если получил письмо c секс-шантажом (sextortion)