Екатерина Тьюринг, кибердетектив: Архитектура мессенджера MAX выстроена так, чтобы максимально верифицировать пользователя

На фоне роста кибермошенничества и попыток взять цифровое пространство под больший контроль появляются новые модели онлайн-сервисов и коммуникаций. MAX задумывался как защищенная альтернатива привычным мессенджерам и одновременно — как часть государственной цифровой экосистемы. Такие платформы обещают более высокий уровень безопасности за счет верификации пользователей и интеграции с государственными сервисами, однако на практике это не всегда снижает риски, а иногда даже создает новые.

Екатерина Тьюринг, кибердетектив, в интервью для Кибер Медиа рассказала, почему социальная инженерия остается ключевым инструментом мошенников, как устроены современные схемы обмана и что на самом деле происходит с безопасностью пользователей в таких сервисах, как MAX.

Кибер Медиа: MAX — позиционируется не только, как мессенджер, но и как часть государственной цифровой экосистемы. Усиливает ли это безопасность пользователей или, наоборот, расширяет поверхность атак за счет повышенного доверия?

Екатерина Тьюринг: Нужно разделять две стадии существования MAX: этап внедрения и этап активного развития, чтобы не попасть в ловушку завышенных ожиданий. Сейчас маркетинг подает MAX как уже готовый продукт: без мошенников, с полной интеграцией с государственными сервисами, с работающими звонками «даже на парковке». В реальности мессенджер пока далек от этих условий, и есть сомнения, что он сможет выполнить все заявленные обещания.

Недавний кейс с тем, что изображения из личных сообщений были доступны по прямым ссылкам, — это как раз про недотестированность продукта.

Я считаю, что MAX в ближайшие 2 года замкнет на себе значительную часть государственных онлайн-сервисов. Но думать, что в нем не будет мошенников, — это наивно. Мошенничество появляется не там, где слабый ИТ-продукт, а там, где есть доступ к людям. Поэтому бороться нужно с преступностью, а не с инструментами.

Telegram, WhatsApp* и другие мессенджеры ограничиваются не потому, что там есть мошенники. Тогда логично было бы запрещать и Авито, и Госуслуги, и телефонную связь. Причина в другом: государство не может обеспечивать безопасность на международных платформах. Поэтому логика простая: мы не контролируем весь интернет, значит, выделяем «свой» сегмент, на который хватает ресурсов. Это MAX, Госуслуги и другие сервисы из «белого списка».

Почему тогда не оставить пользователю выбор? Причины две. Первая — экономическая. Потери от мошенничества — это удар и по людям, и по системе. Чем беднее становится население и чем больше денег уходит мошенникам, тем хуже для государства. В моей практике был показательный случай: человек специально получал зарплату в конверте и не пользовался банковскими услугами, чтобы не отдавать приставам 50% дохода. При этом он зарабатывал достаточно, чтобы закрыть долг за короткое время. Был и другой кейс: женщина взяла займ, сделала ряд пластических операций и подала на банкротство. В итоге ее «актив» фактически оказался защищен от взыскания.

Вторая причина — правоприменение. Если не ограничивать международные платформы, придется расследовать преступления, совершенные через Telegram и другие сервисы, потому что любой гражданин имеет право обратиться в полицию. Формально полиция обязана защищать права и обеспечивать безопасность. На практике — она не умеет эффективно расследовать такие дела.

Бороться нужно с преступностью, а не с инструментами

Кажется, одно из медиа год назад публиковал статистику за 2024 год, согласно которой около 53% киберпреступлений якобы успешно расследуются. Это либо манипуляция статистикой, либо некорректные данные. В реальности до наказания доходит меньше 10% случаев — и то зачастую за счет того, что спустя годы на одного человека «вешают» сразу несколько эпизодов. При этом нельзя сказать, что полиция не работает. У сотрудников МВД ограниченные ресурсы, высокая нагрузка и устаревшие показатели эффективности. Но сама природа таких преступлений делает их почти нераскрываемыми.

Основные причины, почему такие преступления сложно расследовать, довольно типовые:

• получить Telegram-аккаунт сегодня очень просто — через виртуальные номера, фишинг («проголосуй за меня») или старые номера, к которым сохраняется доступ;
• сам Telegram позволяет создавать ботов без контроля, через которые выманиваются персональные данные под видом официальных сервисов;
• деньги проходят через дропов, которые не знают конечного получателя;
• средства уходят в криптовалюту и «распыляются» по кошелькам;
• технический след практически не дает результата: номера ведут к формальным или иностранным данным, IP — к прокси-сетям в Камбодже, деньги — к «спящим» кошелькам.

В итоге уголовные дела возбуждаются «по факту», без установленного лица. На практике ответственность часто перекладывается на дропов, потому что так дело становится «перспективным» и позволяет проводить следственные действия. Формально есть управление по борьбе с киберпреступностью, но значительная часть таких дел до него не доходит и остается на уровне участковых. В итоге расследовать — бессмысленно, отказать — нельзя.

На этом фоне в MAX таких преступлений объективно меньше — как минимум потому, что для регистрации нужен реальный номер телефона, как правило, привязанный к России или дружественным странам.

Кибер Медиа: Если все профили подтверждены через Госуслуги, почему мошенничество все равно работает, например, случай со звонком от якобы «службы доставки»? Где ломается эта логика?

Екатерина Тьюринг: Крайне маловероятно, что мошенник сможет создать анонимный аккаунт в MAX — сама архитектура сервиса выстроена так, чтобы максимально верифицировать пользователя. Но возникает логичный вопрос: зачем создавать новый аккаунт, если можно просто завладеть существующим?

Печально это признавать, но мое первое выступление о том, как у пользователей угоняют аккаунты, состоялось ровно 5 лет назад. И спустя это время я могу констатировать: люди продолжают попадаться на те же схемы, которые стары как мир.

Сценарии при этом остаются типовыми:

1. Пользователю сообщают о «взломе» и предлагают перейти по ссылке, чтобы решить проблему.
2. Просьба авторизоваться в личном кабинете на поддельном сайте.
3. Подтверждение чистоты намерений / денег / активов через сомнительный сайт-верификатор.

Как можно заметить, все эти схемы объединяет одно — степень участия самой жертвы. Человек самостоятельно выполняет действия, которые его компрометируют. Поэтому MAX сегодня уязвим для мошенников ровно так же: сервис не может «залезть в голову» пользователю и определить, что тот действует под влиянием легенды.

Один из потерпевших, который ко мне обращался, в течение одного месяца был обманут одним и тем же способом сначала в Telegram, а затем в MAX. Возможно, он просто очень любит участвовать в опросах.

Человек самостоятельно выполняет действия, которые его компрометируют

Кибер Медиа: Какие роли и сценарии сейчас чаще всего используют мошенники в MAX? Чем они отличаются от классических схем?

Екатерина Тьюринг: Мошенничество подобно воде — оно течет по пути наименьшего сопротивления. Преступные схемы усложняются ровно настолько, насколько это необходимо для их успешной реализации. Поэтому сценарии в MAX практически не отличаются от тех, что используются в других мессенджерах.

В MAX меньше фейковых аккаунтов, быстрее блокируются нарушители, меньше ботов и спама. Но ключевые уязвимости остаются. MAX не ограничивает использование аккаунта одним устройством. Не требует отключения VPN при подключении. Не позволяет полностью запретить сообщения от незнакомых пользователей. Не отслеживает подключение нескольких людей к одному аккаунту или сам факт его перехвата. В итоге система безопасности оказывается бессильной перед человеческой неосторожностью.

Был показательный случай: когда Госуслуги прислали мне в MAX код для входа, я случайно нажала кнопку «Меня попросили это сделать». При этом ничего не произошло — я все равно успешно вошла в аккаунт.

Кибер Медиа: Насколько активно используется связка «звонок + переписка в мессенджере»? Как она усиливает давление на жертву?

Екатерина Тьюринг: Мошенник всегда использует ту связку каналов, которая позволяет удерживать жертву «внутри легенды» и не дает ей возможности связаться с кем-то еще. По моему опыту, лучше всего работает длительный голосовой звонок: он постоянно держит человека в состоянии стресса и не оставляет времени на критическое осмысление происходящего. Поэтому в классическом телефонном мошенничестве переписка в мессенджере обычно играет вспомогательную роль: либо используется как входной этап, либо как способ подтвердить «консистентность» легенды, например, «сейчас вам придет сообщение от ФСБ — посмотрите чат».

При этом существуют и другие виды скама, например, так называемое «романтическое мошенничество». Типичный сценарий выглядит так: девушка знакомится с «идеальным» кандидатом в мужья, который в процессе общения под разными предлогами убеждает ее инвестировать деньги — в бизнес, проект, обучение инвестициям и так далее. Средний ущерб в таких случаях составляет около 200 000 рублей. Здесь подход уже другой: мошенники не держат жертву на телефоне, а создают фейковый аккаунт «богатого красавца» и неделями выстраивают доверие через переписку. Используются сгенерированные сообщения, голосовые и даже видео. В этом сценарии, наоборот, задействован только мессенджер.

Я участвовала в расследовании, где преступник в течение двух недель общался с жертвой одновременно в Telegram, Instagram** и Zoom, а также делился треками своих утренних пробежек. Очень разносторонний человек.

Кибер Медиа: Как мошенники маскируют сообщения под системные уведомления и «официальные» запросы? Какие признаки чаще всего выдают подделку?

Екатерина Тьюринг: Честно говоря, человеку не нужно многого, чтобы поверить, что он получил официальный запрос. Как говорил Александр Пушкин: «Ах, обмануть меня не трудно, я сам обманываться рад».

Приведу типичный пример со «взломом Госуслуг». Сначала человеку поступает звонок — под видом любой правдоподобной легенды: доставка цветов, налоговая, деканат. В процессе разговора у него выманивают код из СМС. Как только код назван, звонок резко обрывается, и у человека появляется ощущение, что его могли взломать. Дальше он проверяет почту и видит сообщение якобы от Госуслуг: «вас взломали с Украины», «квартира переписана», «документы скачаны», «на вас оформили кредиты», «срочно звоните по этому номеру». И человек сразу же звонит, не успевая критически оценить ситуацию. В этот момент он не обращает внимания на базовые признаки подделки:

• сообщение могло быть отправлено не Госуслугами;
• сервис не будет нагнетать панику и требовать срочных действий;
• вход с украинского IP-адреса там невозможен;
• «выкачать» документы из аккаунта нельзя;
• у Госуслуг нет мобильного номера для связи.

На другом конце трубки спокойный голос дает инструкции: перевести деньги на «безопасный счет», «переписать» имущество и т. д. На этом история, как правило, заканчивается.

Нужно отдать должное мошенникам: они умеют создать ощущение взлома там, где его не было. Многие жалобы на взлом Госуслуг на деле связаны с имитацией, а не с реальным доступом к аккаунту. Сами Госуслуги сегодня достаточно хорошо защищены, поэтому злоумышленники делают ставку на панику.

Если вернуться к вопросу о маскировке, то никакой сложной имитации обычно не требуется. Если после инцидента внимательно посмотреть на сообщение, почти всегда видно подменный домен или неофициальный аккаунт, но в состоянии стресса люди этого не замечают. Системные уведомления тоже можно подделывать, например, через вредоносное ПО на устройстве, но такие случаи встречаются значительно реже, чем классические сценарии, где человек сам переходит по ссылке и вводит данные.

Я сама часто работаю с кейсами перехваченных аккаунтов, хотя, признаюсь, без особого желания — это один из самых тупиковых типов расследований. Он трудоемкий и дорогой, особенно если речь идет о попытке установить исполнителей или заказчиков.

При этом почти у всех потерпевших изначально одна и та же версия: «хакеры взломали устройство и перехватили управление». И первые встречи уходят на восстановление реальной картины, которая чаще всего оказывается гораздо проще: человек сам перешел по ссылке и ввел свои данные. Причем нередко люди даже не скрывают этого — они просто не придают значения своим действиям: «Ну авторизовался еще раз, разве это важно?».

Кибер Медиа: Можно ли выделить момент, когда жертва перестает сомневаться и начинает выполнять инструкции?

Екатерина Тьюринг: Любой человек, который продолжает отвечать мошеннику без явного сопротивления или иронии, уже допускает, что ему могут говорить правду. При этом лишь 1% тех, с кем устанавливают контакт, продолжает диалог. И даже среди них многие в какой-то момент начинают понимать, что что-то идет не так. При этом, как показывает пример с Госуслугами, жертву можно «поймать на живца» — то есть дождаться, когда она сама выйдет на контакт и позвонит.

Меня часто спрашивают, существует ли определенный социально-демографический портрет или психотип человека, который поддается таким схемам. Мой ответ всегда один — нет. Ключевую роль играют текущее эмоциональное состояние и жизненный опыт. Мошенники прекрасно понимают, что наиболее уязвимы люди в нестабильном состоянии. Они ищут моменты максимального эмоционального напряжения, когда из-за страха, горя или отчаяния снижается способность к рациональному мышлению. Поэтому так распространены схемы, связанные с «быстрым банкротством», злоупотреблениями в похоронной сфере, услугами экстрасенсов и «спасением» от тяжелых заболеваний.

По этой же логике работает этап в схемах «фейковых инвестиций», когда человеку говорят: «ваши деньги арестованы, внесите такую же сумму, чтобы снять арест». Если же жертва изначально находится в стабильном состоянии, его создают искусственно: «ваши деньги в опасности», «аккаунт взломан», «вас подозревают в финансировании».

Жизненный опыт в таких ситуациях важен, но скорее как фактор, который может помочь усомниться в происходящем. Стресс подавляет критическое мышление, поэтому, если человек уже сталкивался с подобными схемами или понимает, как в реальности работают те или иные процессы, у него выше шанс вовремя заметить несоответствия.

Я имела дело с женщиной, которая трижды оплачивала мошеннику «доставку» несуществующих бриллиантов. При этом новости о том, что посылка дважды «пришла не туда», не вызывали у нее сомнений в происходящем. Единственной эмоцией в тот момент была злость на Почту России.

Кибер Медиа: Возможно, есть особенности архитектуры или пользовательского сценария в MAX, которые мошенники уже научились использовать?

Екатерина Тьюринг: Одна из ключевых возможностей — это возможность написать любому пользователю MAX, если известен его номер телефона. Но, скорее всего, речь о другом. MAX изначально позиционируется как безопасная площадка, и пользователи начинают воспринимать его именно так. Это снижает уровень бдительности — и с этим сложно спорить.

Кроме самого MAX, мошенники активно используют и общий информационный фон вокруг него. Речь о так называемой «накаленной повестке». С одной стороны активное внедрение мессенджера со стороны государственных информационных систем, с другой — сопротивление пользователей, которые хотят сами выбирать, где и с кем им общаться. Такое давление привело к тому, что многие начали покупать вторые телефоны и устанавливать MAX туда. И это создало новую проблему — рост использования устройств с уже установленными вредоносными или шпионскими приложениями. Часто в качестве второго устройства берут подержанные или кнопочные телефоны, купленные на Авито или на рынках. При этом такие устройства практически никто не проверяет перед использованием. Хотя по-хорошему это нужно делать — на предмет вредоносного ПО.

Уже неоднократно фиксировались случаи, когда в такие телефоны заранее устанавливали приложения для слежки, которые перехватывают данные для входа в MAX. В результате пользователи сталкиваются с угоном аккаунтов, после чего от их имени в мессенджере начинают обманывать других людей.

Кибер Медиа: Если преступление происходит через MAX, насколько проще его расследовать по сравнению с другими мессенджерами?

Екатерина Тьюринг: В целом все почти так же, как и в других мессенджерах. Многое зависит от того, какую цель вы перед собой ставите: найти заказчиков, исполнителей или просто кого-то, кого можно привлечь к ответственности.

Найти заказчиков методами оперативно-розыскной деятельности, по сути, нереально. Исполнителей иногда удается установить, но добиться их привлечения через российскую правовую систему крайне сложно. А вот дропов и владельцев угнанных аккаунтов выявить гораздо проще, чем на других платформах. Их можно осудить, можно через суд добиться возврата денег. Но на практике это не всегда приносит удовлетворение: если осужденный получает 15 тысяч рублей в месяц, вы будете получать выплаты годами и, скорее всего, понимать, что этот человек пошел на это из-за нехватки нескольких тысяч до зарплаты.

Я слежу за развитием MAX и обратила внимание, что только в 2026 году мессенджер начал активно набирать специалистов по антифроду. Возникает вопрос: где вы были раньше? Если расчет делался на то, что усиленная верификация при регистрации решит все проблемы, это говорит о недостатке опыта и насмотренности в защите учетных записей. Я сама в свое время занималась этим в Авито, и нашей команде удалось кратно сократить случаи перехвата аккаунтов. Поэтому, если коллегам это будет полезно, я готова обсуждать, какие меры можно применять против социальной инженерии.

Кибер Медиа: Что пользователь должен сделать в первые минуты, если понимает, что попал в мошеннический сценарий?

Екатерина Тьюринг: Самая частая ошибка — начать паниковать, но уже по новому поводу. В этом состоянии пользователи совершают типичные действия, которые часто только усугубляют ситуацию:

• удаляют приложение, в котором произошел взлом;
• удаляют аккаунты;
• откатывают устройство к заводским настройкам, подозревая вирус;
• блокируют карты во всех банках.

При этом такие шаги не всегда оправданы. Удаление приложения не «выгоняет» мошенника из аккаунта — он остается активным, а сам пользователь потом может столкнуться с ограничениями при повторном входе. Удаление аккаунта — мера более радикальная, но часто преждевременная: если есть возможность восстановить доступ и сохранить данные, это предпочтительнее.

Перехваченный аккаунт — один из самых тупиковых типов расследований

Сброс устройства до заводских настроек тоже может навредить: он уничтожает возможные следы вредоносного ПО, что усложняет разбор инцидента, и может привести к потере данных, если нет резервных копий. При этом, как показывает практика, более 90% случаев «взлома устройства» — это не вирус, а авторизация на фишинговом сайте.

Блокировка банковских карт имеет смысл только при реальной компрометации. Если речь идет, например, о взломе аккаунта в Telegram или передаче кода для одной операции, данные карты у мошенников, скорее всего, отсутствуют — зато пользователю придется проходить процедуру перевыпуска. Дальнейшие действия зависят от ситуации:

1. Взлом аккаунт в MAX, Telegram или WhatsApp. Необходимо завершить активные сеансы, установить или сменить облачный пароль, а также предупредить контакты — через рассылку или сторис — чтобы никто не переводил деньги по просьбе мошенников. Если учетная запись в MAX заблокирована, можно обратиться в поддержку, но ответы, как правило, приходят не быстро.
2. Подозрение на взлом Госуслуг. Сначала стоит проверить, действительно ли был инцидент, а не его имитация. После этого — войти в аккаунт, завершить активные сеансы, сменить пароль и включить дополнительный фактор аутентификации, например, СМС или подтверждение через MAX.
3. Деньги уже переведены телефонным мошенникам. Нужно заблокировать скомпрометированные карты и счета, оформить чарджбэк и как можно быстрее подать в банк заявление о несогласии с операцией. Также важно подать заявление в полицию, например, через Госуслуги. При этом стоит игнорировать последующие звонки от «служб», которые могут пытаться снова вовлечь в сценарий.
4. Украдены личные данные и шантажируют. Необходимо прекратить любую коммуникацию, зафиксировать доказательства (скриншоты переписки, профиля), пожаловаться в платформу и обратиться в полицию с заявлением по факту вымогательства.

Важно понимать: угрозы в духе «мы сообщим вашим близким», «вы нарушили закон» или «вы общались с несовершеннолетним» — это часть давления. Сотрудничество в таких ситуациях не помогает.

Я неоднократно сталкивалась с кейсами, когда мошенники под видом девушек получали от мужчин интимные фото, а затем заявляли, что им 14 лет. В таких ситуациях важно помнить: если у человека не было возможности определить возраст собеседника и он не склонял его к каким-либо действиям, состава преступления в его действиях нет. А вот вымогательство — это статья 163 УК РФ.

Кибер Медиа: Можно ли в принципе снизить уровень мошенничества в таких платформах, как MAX, или социальная инженерия всегда будет адаптироваться быстрее защиты?

Екатерина Тьюринг: Мошенничество — это постоянное явление. Всегда будут те, у кого жажда легких денег громче совести. При этом технологии не стоят на месте, и по мере развития ИТ-продуктов в них неизбежно появляются новые уязвимости.

Важно понимать разницу между задачами: «делать, чтобы посадить мошенников» и «делать, чтобы не допустить проблем» — это принципиально разные вещи. Компании, по сути, не обязаны защищать чьи-то деньги, кроме собственных. Они делают это, чтобы сохранить репутацию и не погрязнуть в судах, но это не означает полного контроля над мошенничеством.

Что касается MAX, он со временем разовьется до уровня, при котором им можно будет комфортно пользоваться. Ситуация во многом повторяет историю с Госуслугами: когда-то сервис был непривычным и «сырым». А сейчас даже гордость берет – в Европе-то такого нет!

* WhatsAppпринадлежит корпорации Meta, деятельность которой признана в России экстремистской и запрещена
** Instagram принадлежит корпорации Meta, деятельность которой признана в России экстремистской и запрещена