Праздничные кампании все чаще становятся не только инструментом роста продаж, но и удобной средой для мошенников. В конце 2025 года в России получила распространение схема с фальшивыми онлайн-адвент-календарями: пользователей заманивали обещанием гарантированных призов, переводили через соцсети на поддельные сайты, а затем — в телеграм-боты, где уже пытались получить персональные данные или деньги. Для ритейла это важный сигнал: в сезон повышенного спроса под удар попадает не только клиент, но и доверие к бренду, вокруг которого строится поддельная акция.
Это уже не частный эпизод цифрового мошенничества, а более широкий риск для e-commerce и омниканального ритейла. Логика таких атак строится не на техническом взломе покупателя, а на управлении его поведением: человека выводят из привычного сценария покупки, заставляют действовать быстро и уводят на внешние площадки, не связанные с официальной инфраструктурой бренда. Именно поэтому подобные схемы особенно опасны в пиковые сезоны, когда промоактивность высока, а пользователь психологически готов верить в скидки, подарки и ограниченные предложения.
Кратко
- В конце 2025 года мошенники использовали формат онлайн-адвент-календарей, обещая пользователям гарантированные призы и быстрые подарки.
- Трафик заводили через TikTok: ролики публиковались с угнанных или новых аккаунтов, а ссылки вели на поддельные сайты, похожие на официальный ресурс ритейлера.
- Следующим этапом был телеграм-бот, который использовался как точка управления: он собирал аудиторию, навязывал подписки и переводил пользователя к действиям, связанным с передачей данных или платежом.
- С конца ноября 2025 года до середины января 2026 года специалисты обнаружили и заблокировали 12 поддельных сайтов, более 220 роликов в TikTok и свыше 20 телеграм-каналов и ботов.
- Для ритейла это не только вопрос информационной безопасности, но и риск потери клиентского доверия в сезоны промо-активности.
Почему именно праздничные механики становятся удобной оболочкой для атак
Формат адвент-календаря удобен для мошенников по нескольким причинам. Во-первых, он уже встроен в потребительскую культуру как игра, скидка и ежедневный бонус. Во-вторых, он предполагает быстрые повторяющиеся действия: открыть ячейку, получить подарок, перейти по ссылке. В-третьих, сам формат не вызывает у пользователя настороженности, особенно если визуально оформлен как часть промокампании известного бренда. Это позволяет злоумышленникам не ломать привычный паттерн поведения, а встраиваться в него.
Именно поэтому сезонные спецпроекты становятся особенно уязвимыми с точки зрения социальной инженерии. Пользователь ожидает увидеть розыгрыши, бонусы, подарочные карты, промокоды и эксклюзивные предложения. На этом фоне фальшивая акция выглядит не аномалией, а логичным продолжением праздничного маркетинга. В результате атакующий получает то, что в обычной ситуации стоило бы ему гораздо дороже: внимание аудитории, высокий CTR на обманную механику и готовность человека выполнить лишнее действие без полноценной проверки источника.
Как была устроена схема
Механика атаки была многоступенчатой. На первом этапе пользователей привлекали короткие видеоролики в TikTok. Для распространения использовались либо новые, либо угнанные аккаунты, что позволяло быстро масштабировать охват. В роликах анонсировалась якобы выгодная акция, а пользователь получал стандартный призыв к действию: перейти по ссылке в профиле или в комментариях.
На втором этапе человек попадал на сайт, визуально похожий на официальный ресурс ритейлера. Там ему предлагали открыть ячейки адвент-календаря и получить гарантированный приз. Важна именно эта формулировка: обещание гарантированной выгоды снижает критичность восприятия и подталкивает к следующему шагу. Дальше пользователь переводился в телеграм-бот, который фактически выступал операционным центром схемы: аккумулировал аудиторию, задавал следующие действия и подталкивал к подпискам, передаче персональных данных или платежам.
Для бизнеса эта архитектура особенно показательна. Атакующие больше не пытаются ограничиться одной фальшивой страницей. Они строят цепочку из нескольких площадок, чтобы усложнить обнаружение и блокировку, а также повысить вероятность конверсии на каждом этапе. То есть речь идет уже не о разовом фишинге, а о полноценной воронке цифрового мошенничества, собранной по правилам performance-маркетинга.
Масштаб схемы показывает, что это не единичный инцидент
По данным специалистов по кибербезопасности «Золотого Яблока» и F6, с конца ноября 2025 года до середины января 2026 года было обнаружено и заблокировано 12 поддельных веб-ресурсов, более 220 роликов в TikTok и свыше 20 телеграм-каналов и ботов, связанных с этой схемой. Для отрасли эти цифры важны не сами по себе, а как индикатор масштаба. Речь идет не об одной ложной странице, а о развернутой системе привлечения и перенаправления трафика.
С операционной точки зрения это означает, что бренд в подобных историях становится объектом паразитирования. Его визуальная узнаваемость, привычные маркетинговые механики и сезонный спрос фактически используются как чужой канал лидогенерации. Чем сильнее бренд в онлайне, тем выше вероятность, что именно его промоактивность будет скопирована и переупакована в мошеннический сценарий.
Почему социальная инженерия работает лучше прямого взлома
Ключевой элемент схемы — не технология, а психология. Пользователю предлагают не абстрактный рискованный переход, а знакомый путь: акция, подарок, ограниченное предложение. Дополнительный эффект создают два триггера — срочность и бесплатность. Если человеку обещают выгоду «прямо сейчас», он с меньшей вероятностью будет проверять источник и сопоставлять детали. Именно поэтому эксперты отдельно предупреждают: обещание бесплатного бонуса в сочетании с давлением по времени чаще всего говорит о попытке управлять действием пользователя, а не о реальной акции.
Руководитель департамента Digital Risk Protection компании F6 Станислав Гончаров так описывает происходящее: «Кейс с адвент-календарями наглядно демонстрирует эволюцию мошеннических тактик». По его словам, злоумышленники используют актуальные тренды, несколько платформ для поэтапного перенаправления пользователей и тем самым усложняют оперативное обнаружение и блокировку своих ресурсов. При этом, как подчеркивает эксперт, качественный круглосуточный мониторинг и быстрое реагирование позволяют пресекать такие схемы на ранних стадиях.
Эта оценка важна для ритейла потому, что переносит разговор из плоскости «клиенты должны быть осторожнее» в плоскость «компания должна системно отслеживать злоупотребления брендом». Иначе мошенники будут использовать маркетинговую активность ритейлера как внешний слой доверия для собственных атак.
Что это значит для e-commerce и ритейла
Для онлайн-ритейла такая схема — это риск сразу по нескольким направлениям. Первое — прямой ущерб клиенту, если он передает данные или деньги злоумышленникам. Второе — репутационный удар по бренду, под который маскируется фальшивая акция. Третье — операционная нагрузка на поддержку, digital-команды и безопасность, которым приходится объяснять, что акция не имеет отношения к компании, и параллельно заниматься блокировкой ресурсов.
Для логистики и омниканального сервиса эта история тоже имеет значение, хотя и косвенное. Современный ритейл строится вокруг бесшовного клиентского пути: увидел предложение, перешел, выбрал, оплатил, получил заказ. Мошеннические схемы разрушают этот путь именно там, где он должен быть самым удобным. В результате под удар попадает не только маркетинг, но и сама управляемость клиентского опыта — а значит, и конверсия в официальных каналах.
Как брендам снижать риск таких схем
Первое, что следует из кейса, — официальный канал коммуникации должен быть максимально однозначным. Если компания запускает акции, розыгрыши или сезонные игровые механики, клиент должен заранее понимать, где именно их искать: на официальном сайте, в приложении и в подтвержденных соцсетях. Эксперты прямо рекомендуют проверять информацию о подарках и розыгрышах только на официальных площадках бренда.
Второе — нужно считать телеграм-боты и ссылки из комментариев зоной повышенного риска. Специалисты отдельно предупреждают: любые акции, которые требуют перехода в телеграм-бот или по ссылке из комментариев и личных сообщений, должны ставиться на паузу до проверки источника. Для пользователя это простое правило, но для бренда — еще и ориентир в построении коммуникации: чем меньше спорных и трудно верифицируемых переходов в официальной воронке, тем ниже пространство для подделки.
Третье — особого внимания требует псевдолегенда «я сотрудник, продам со скидкой». По оценке экспертов, это типичный мошеннический сценарий, даже если аккаунт выглядит убедительно. Для ритейлера здесь важна не только внешняя блокировка таких аккаунтов, но и заранее встроенное обучение аудитории: реальные промо не должны зависеть от неофициальных посредников.
Главное для бизнеса
Кейс с фальшивыми адвент-календарями показывает, что праздничный спрос сам по себе становится инфраструктурой риска. Чем активнее бренд работает с акциями и игровыми механиками, тем внимательнее ему нужно относиться к мониторингу внешних площадок, где может появиться подделка. На зрелом рынке доверие к бренду — это не только маркетинговый актив, но и поверхность атаки.
Для e-commerce и ритейла основной вывод выглядит так: борьба с мошенничеством больше не может быть только внутренней функцией безопасности. Это часть клиентского сервиса, управления репутацией и цифровой устойчивости бренда. Там, где компания не контролирует внешние копии своих акций и не объясняет аудитории правила безопасного взаимодействия, мошенники получают готовый канал для конверсии чужого доверия в собственный доход.
Частые вопросы по теме
Почему мошенники выбрали именно формат адвент-календаря?
Потому что это привычная для пользователя игровая механика, связанная с подарками, скидками и ежедневными бонусами. Она хорошо маскирует мошеннический сценарий под нормальную промоактивность бренда.
Какая роль у телеграм-бота в такой схеме?
Бот выступает точкой управления: собирает аудиторию, навязывает подписки и переводит пользователя к следующим действиям, включая передачу данных или платежи.
Что должно насторожить пользователя в первую очередь?
Переходы по ссылкам из комментариев, личных сообщений и телеграм-ботов, а также обещания бесплатной выгоды с требованием действовать немедленно. Эксперты считают это типичными признаками социальной инженерии.
Что важнее всего для ритейлера в такой ситуации?
Быстрое выявление поддельных ресурсов, постоянный мониторинг внешних площадок и четкая коммуникация, что реальные акции публикуются только в официальных каналах бренда.
Вывод
История с фальшивыми адвент-календарями показывает, как быстро сезонный маркетинг может превратиться в канал мошенничества. Для ритейла это не периферийная проблема, а вопрос доверия, клиентского опыта и устойчивости цифровых продаж. Когда злоумышленники используют бренд как оболочку для социальной инженерии, выигрывает уже не тот, у кого ярче акция, а тот, кто быстрее обнаруживает злоупотребление, точнее выстраивает официальные каналы и понятнее объясняет клиенту правила безопасного взаимодействия.
