Троянский VPN: как 11 рублей превратились в 15 миллионов, анатомия идеального фишинга

11 рублей за подписку стали приманкой, которая принесла мошенникам около 15 миллионов рублей. Почему сработала эта схема и какие ошибки пользователей, платёжной инфраструктуры и разработчиков сделали её почти идеальной?

1. 1. Введение
2. 2. Первый акт драмы. Слив
3. 3. Второй акт. «Ромашка Сервис» и архитектура обмана
4. 4. Механика гравитационного коллапса
5. 5. Экономика преступления
6. 6. Эпилог. Бессилие системы
7. 7. Кто заплатил за банкет
8. 8. Выводы

Введение

В начале 2025 года ландшафт мобильного интернета пополнился очередным утилитарным инструментом — приложением «Бесплатный VPN с обходом блокировок». Продукт не хватал звёзд с неба: посредственный рейтинг в App Store и Google Play, минималистичный интерфейс, отсутствие уникальных функций. Однако со своей главной задачей — предоставлением стабильного доступа к заблокированным ресурсам без каких-либо денежных затрат — он справлялся. Пользователи охотно закрывали глаза на шероховатости UX/UI ради основной цели.

Регистрация была примитивной: связка email и пароль. Ни паспортных данных, ни верификации по СМС. Именно эта нарочитая простота и стала ядром будущей финансовой катастрофы.

Первый акт драмы. Слив

В феврале 2026 года приложение бесследно исчезло из официальных магазинов. Причины делистинга до сих пор остаются неясными — вероятно, даже для самого разработчика. Казалось бы, история закончилась, но это был лишь антракт. Вскоре один из сотрудников, имевших доступ к бэкенду, выставил пользовательскую базу на теневых форумах по цене, стремящейся к нулю.

База, содержащая сотни тысяч актуальных email-адресов и паролей, перешла в руки злоумышленников. Адреса были «живые», а их владельцы — уже подогреты доверием к исчезнувшему сервису.

Второй акт. «Ромашка Сервис» и архитектура обмана

В марте 2026 года в юрисдикции СНГ регистрируется организация с безобидным названием «Ромашка Сервис». Компания оперативно подключает эквайринг, отличающийся поразительной лояльностью к высокорисковым транзакциям и подписочной модели. Техническая обвязка была настроена так, чтобы пропускать разовую верификацию карты с последующими итерационными списаниями практически без пауз.

В апреле 2026 года срабатывает триггер. На заранее сохранённые адреса пользователей «Бесплатного VPN» уходит email-рассылка от имени «Ромашка Сервис». Текст был филигранен в своей манипулятивной простоте: «Мы вернулись! Теперь мы „Ромашка Сервис“. Приложение доступно для Android, скоро будет в App Store. Бесплатный доступ утрачен, но вы можете поддержать разработку, оформив подписку всего за 11 рублей в месяц».

Психологический крючок сработал моментально. Цифра в 11 рублей служила триггером к импульсному действию, снижая бдительность. Мало кто из тысяч пользователей перешёл по ссылке на оферту, где сухим юридическим языком было прописано: 11 рублей — это верификационный платёж, а стоимость подписки составляет 999 рублей со списанием каждый час.

Механика гравитационного коллапса

Эквайринг-сервис, не усмотревший в этой модели структурных рисков, дал зелёный свет рекуррентным платежам. В полночь следующего дня началось неконтролируемое списание средств. Алгоритм работал безжалостно: 999 рублей ежечасно до тех пор, пока на счёте жертвы не образовывался ноль или пока банк-эмитент принудительно не разрывал транзакционную цепочку.

Пользователи, обнаружив утром пустые карты, обратились в кол-центры банков. Однако архитектура подписочной модели в том виде, в котором её реализовали злоумышленники, практически не предусматривала простого способа отказа от услуги. Информация о том, как остановить списания, на сайте «Ромашка Сервис» отсутствовала.

Экономика преступления

За первую неделю активной фазы, по приблизительным оценкам, совокупные потери пользователей составили около 15 миллионов рублей. Финансовый поток через эквайринг на счета «Ромашка Сервис» шёл непрерывно. Средства практически мгновенно выводились через сложную цепочку обнальных сервисов и переводов на счета физических лиц.

Эпилог. Бессилие системы

В правоохранительные органы хлынул поток заявлений. Однако оперативно отреагировать на цифровой инцидент оказалось практически невозможно. Привычные механизмы МВД столкнулись с классической схемой ухода от ответственности: «Ромашка Сервис» была оформлена на гражданина без определённого места жительства — номинального директора без какой-либо связи с реальными бенефициарами.

Пока следствие нарабатывало базу, финансовые потоки оставались активными. Блокировка счетов организации и отзыв эквайринга произошли лишь спустя месяц, когда основная масса средств уже растворилась в теневых кошельках.

Кто заплатил за банкет

Формально удар должен принять банк-эквайер: KYC не проведён, подозрительная подписочная модель не отсечена, а когда начались чарджбэки, счета «Ромашка Сервис» уже были пусты. Взыскивать нечего: организация оформлена на человека без определённого места жительства, деньги выведены в первые дни через каскад дроп-карт и обнальных сервисов.

Выводы

Данный кейс — хрестоматийный пример того, как утечка простого email вкупе с отсутствием скоринга на стороне эквайера и цифровой беспечностью пользователей позволяет выстроить криминальную бизнес-модель с рентабельностью в тысячи процентов.

История подчёркивает, что за копеечным платежом может скрываться серьёзный финансовый риск, а ранее сформированное доверие к исчезнувшим сервисам может быть использовано против пользователей, ищущих бесплатные VPN.