Разбор · июль 2026

MAX стал каналом доставки кодов подтверждения вместо СМС — и это немедленно привлекло мошенников. Основной инструмент у них один: социальная инженерия. Разбираем, как выглядят типовые сценарии, по каким признакам развод виден за минуту и что делать, если код уже назвали.

📅 Актуально · июль 2026 📖 ~9 мин чтения 🔄 Источники: iXBT, РИА Новости, Роскомнадзор
Почему это работает

Мессенджер стал каналом доставки кодов —
и мошенники пришли следом

MAX используется как канал доставки кодов подтверждения вместо СМС: часть сервисов, включая «Госуслуги», присылает одноразовый код сообщением в мессенджер. Для пользователя это удобно — код приходит туда же, где переписка, и не теряется среди рекламных рассылок. Для злоумышленника это новая точка приложения усилий: там, где появляется код, появляется и желающий его выманить.

Важно понимать границу. ФСБ не разрешила полноценное подключение мессенджера к «Госуслугам» из-за рисков безопасности — речь идёт именно о доставке кодов, а не о переносе учётной записи. Никакой «сотрудник MAX» не может управлять вашим профилем на портале, «перевыпустить» его или «продлить регистрацию». Разговор, где собеседник заявляет обратное, — уже разговор с мошенником.

📱
120 млн
Установок мессенджера
👥
85 млн
Ежедневных пользователей
💬
1,5 млрд
Сообщений в сутки
🎭
100%
Атак строится на разговоре

Масштаб аудитории делает схему рентабельной: мошеннику достаточно, чтобы сценарий срабатывал у одного человека из сотни. Техническая уязвимость для этого не нужна — взламывают не приложение, а внимание собеседника.

Суть схемы

Все сценарии сводятся
к одной просьбе

Как бы длинно ни разворачивался разговор — про перевыпуск сим-карты, про блокировку профиля, про подозрительную заявку на кредит, — финал всегда одинаковый. Собеседнику нужен код, который придёт вам в мессенджер или СМС. Всё остальное в диалоге существует ради одной минуты, когда вы прочитаете шесть цифр вслух.

🎯 Анатомия разговора 🎭
Четыре обязательных элемента любого развода
Авторитет. Собеседник представляется тем, кому не принято возражать: сотрудником поддержки мессенджера, службы безопасности банка, оператора связи, реже — сотрудником госоргана.
Угроза. Вводится событие, которое вот-вот произойдёт без вашего участия: аккаунт удалят, кредит оформят, номер отвяжут, доступ к «Госуслугам» потеряется навсегда.
Спешка. На решение даётся минута-две. Спешка нужна не для драматизма — она мешает положить трубку и перезвонить по официальному номеру.
Секретность. Просьба не обсуждать разговор с родственниками, коллегами или сотрудниками банка «до окончания проверки». Это прямой маркер: любой настоящий процесс выдерживает паузу и чужой взгляд.
⚠️Правило, которое закрывает почти все сценарии
Одноразовый код — это подтверждение действия, которое совершаете вы. Если действие начали не вы, код называть незачем ни при каких обстоятельствах. Ни поддержка мессенджера, ни банк, ни «Госуслуги» никогда не запрашивают код в разговоре — ни голосом, ни в переписке, ни «для сверки», ни «чтобы отменить заявку».
Типовые сценарии

Как выглядят разговоры
на практике

Сценарии переписываются, но опорные конструкции повторяются годами. Ниже — обобщённые схемы, о которых регулярно предупреждают операторы связи и банки. Читать их стоит не ради формулировок, а чтобы узнавать структуру: авторитет, угроза, спешка, код.

🛠️
«Сотрудник поддержки MAX»
Звонит человек, представляется технической поддержкой мессенджера и сообщает о «сбое привязки» или «обязательном подтверждении профиля». Просит назвать код, который придёт следом. У мессенджера нет службы, которая обзванивает пользователей и спрашивает коды.
🏛️
«Продление учётной записи Госуслуг»
Легенда о том, что запись «устарела» и её нужно подтвердить, иначе доступ закроется. Никакого регулярного «продления» учётной записи, которое делается по телефону через диктовку кода, не существует.
📞
«Замена сим-карты и переход на новый формат»
Собеседник говорит от имени оператора: старая сим-карта перестанет работать, нужно подтвердить перевыпуск кодом. Реальная замена сим-карты делается в салоне по паспорту, а не голосом в трубке.
💳
«Заявка на кредит от вашего имени»
Классика, переехавшая в мессенджеры. Вам «помогают отменить» несуществующую заявку, а код нужен якобы для отмены. Отмена чужой заявки никогда не требует вашего одноразового кода.
👤
Сообщение от «знакомого»
С аккаунта коллеги или родственника приходит просьба переслать код, который «случайно ушёл на ваш номер». Аккаунт при этом уже угнан. Проверка — позвонить человеку голосом по сохранённому номеру.
🎁
«Выплата, компенсация, подарок»
Мягкий сценарий без давления: вам якобы положена выплата, для зачисления нужно «подтвердить личность» кодом. Работает на тех, кто настороже против угроз, но не против хороших новостей.

Общий знаменатель всех шести историй — вас просят совершить действие, инициатором которого вы не были. Это и есть точка, где разговор нужно заканчивать.

Диагностика

Признаки развода,
заметные за первую минуту

Мошеннику нужен непрерывный разговор. Всё, что его прерывает — пауза, перезвон, третий человек рядом, — ломает сценарий. Поэтому признаки развода почти всегда связаны не с содержанием, а с формой общения.

⏱️Вас торопят. Реальные процедуры в банках и госсервисах не рассыпаются от того, что вы подумали десять минут. Искусственный дедлайн — самый надёжный маркер.
🤫Просят не рассказывать. Запрет обсуждать разговор с близкими или «сотрудниками отделения» не имеет ни одного законного объяснения.
🔢Звучит слово «код». Любой запрос кода, пароля, кодового слова или содержимого пришедшего сообщения — конец разговора. Без исключений и без вежливых уточнений.
📲Уводят в другой канал. Просьба продолжить в мессенджере, перейти по ссылке, установить «приложение для проверки» или включить демонстрацию экрана.
😨Работают со страхом и не дают положить трубку. Уголовное дело, блокировка счетов, «не кладите, линия защищённая». Напуганный человек хуже проверяет факты, а перезвона по официальному номеру сценарий не переживает.
💡Демонстрация экрана — отдельная красная линия
Просьба включить показ экрана или установить программу удалённого доступа «для помощи» означает, что собеседнику нужны не только коды, но и всё, что вы видите: балансы, приходящие уведомления, содержимое переписок. Ни один настоящий сотрудник поддержки банка или мессенджера этого не просит.
Порядок действий

Если код уже назвали:
что делать в первые минуты

Паника здесь работает против вас так же, как работала во время разговора. Ситуация неприятная, но управляемая: чем быстрее вы вернёте себе контроль над учётными записями и предупредите банк, тем меньше последствий. Действуйте по порядку, а не одновременно.

🚑 Первая помощь 🔐
Шесть шагов подряд, сверху вниз
Завершите разговор. Не объясняйтесь, не пытайтесь «разоблачить» собеседника и не продолжайте диалог ради выяснения деталей. Просто положите трубку.
Смените пароль на «Госуслугах». Заходите на портал самостоятельно — набирая адрес вручную или через официальное приложение, а не по ссылке из переписки. Смените пароль и завершите активные сессии.
Позвоните в банк по номеру с карты. Именно с оборота карты или с официального сайта, а не по номеру, который назвал звонивший. Сообщите о попытке и попросите проверить операции и заявки.
Проверьте, что изменилось. Привязанный телефон и почта в аккаунтах, список устройств с активным входом, новые доверенности и заявки на порталах и в банковских приложениях.
Предупредите близких. Если доступ к мессенджеру мог быть получен, от вашего имени начнут писать контактам. Короткое сообщение в общий чат экономит другим людям деньги.
Зафиксируйте и обратитесь в полицию. Сохраните номер, скриншоты переписки, время звонка. Заявление имеет смысл подавать даже если денег не потеряли — это данные для расследования по другим эпизодам.
Если код назвать не успели
Сам факт разговора не даёт злоумышленнику доступа. Достаточно завершить звонок, заблокировать номер и на всякий случай проверить активные сессии в важных аккаунтах. Специально менять номер телефона или удалять мессенджер не нужно — это лишние действия, которые ничего не защищают.
Профилактика

Настройки и привычки,
которые снижают риск

Технические меры не заменяют внимательности, но они сокращают площадь атаки: чем меньше о вас видно посторонним и чем сложнее войти в ваш аккаунт с чужого устройства, тем менее вы интересны как цель.

🔒Двухфакторная защита везде, где есть. В мессенджере, на «Госуслугах», в почте и банковских приложениях. Один утёкший код тогда не открывает дверь целиком.
🙈Скрыть номер телефона от посторонних. В настройках приватности мессенджера ограничьте, кто видит номер и кто может писать вам первым. Меньше входящих от незнакомцев — меньше поводов для разговора.
💻Регулярно проверять активные сессии. Раз в месяц пробегитесь по списку устройств с активным входом и завершите всё незнакомое. Это занимает минуту.
👵Проговорить правило с родителями. Пожилые родственники — приоритетная цель. Одно правило «никаких кодов по телефону, всегда перезваниваем сами» защищает лучше любых настроек.
🔗Не переходить по ссылкам из входящих сообщений. Ни в мессенджере, ни в СМС. На портал и в банк — только вручную набранным адресом или через приложение.

Отдельно про шифрование: E2E-шифрования по умолчанию в MAX нет — это предмет критики со стороны специалистов по безопасности. Практический вывод универсален для любого мессенджера: то, что критично при утечке, — сканы документов, реквизиты, пароли — не пересылают сообщением.

Вопросы

Частые вопросы
о мошенничестве в MAX

Может ли настоящий сотрудник MAX позвонить и попросить код?+
Нет. Поддержка мессенджера не обзванивает пользователей с просьбой продиктовать одноразовый код и не просит «подтвердить профиль» голосом. Любой такой звонок — мошеннический, независимо от того, насколько правдоподобно выглядит номер: подмена номера технически несложна.
Значит ли переход кодов в мессенджер, что MAX управляет моими Госуслугами?+
Нет. Речь о доставке кодов подтверждения вместо СМС. ФСБ не разрешила полноценное подключение мессенджера к «Госуслугам» из-за рисков безопасности, так что учётной записью на портале мессенджер не управляет.
Я назвал код, но денег не пропало. Можно расслабиться?+
Не стоит. Доступ могут использовать не сразу: сначала закрепиться в аккаунте, потом действовать. Смените пароли, завершите чужие сессии, проверьте привязанные телефон и почту, посмотрите, не появились ли новые заявки в банковских приложениях и на портале госуслуг.
Стоит ли отключить доставку кодов в мессенджер и вернуться на СМС?+
Это вопрос удобства, а не безопасности: СМС перехватываются и выманиваются ровно теми же приёмами. Если так спокойнее — способ подтверждения меняется в настройках учётной записи на портале. Само по себе решение риск социальной инженерии не снимает.
Как отличить официальный канал банка или ведомства от подделки?+
Проверять не по названию и аватарке — их копируют за минуту, — а по ссылке, опубликованной на официальном сайте организации. Второй ориентир — история публикаций: у поддельных каналов она короткая, а аудитория набрана рывком.
Есть ли в MAX сквозное шифрование переписки?+
E2E-шифрования по умолчанию в мессенджере нет, и это предмет критики со стороны специалистов по безопасности. Практический вывод для пользователя один: не пересылать сообщениями то, что критично при утечке — сканы документов, реквизиты, пароли.
Аудитория доверяет тем,
кого легко проверить
Открытая страница канала в каталоге — простой способ показать читателям, что канал настоящий: ссылка, описание и статистика, на которые можно сослаться, когда от вашего имени начнут писать посторонние.
Страница канала в Яндекс и Google за 2–5 дней
Крупнейший каталог каналов MAX в России
VIP-блок — максимальная видимость в каталоге
Живые подписчики — реальный рост, не боты
мошенники в MAX коды от Госуслуг в MAX развод в мессенджере MAX социальная инженерия MAX сотрудник MAX просит код что делать если назвал код безопасность MAX 2026 взлом аккаунта MAX защита канала MAX фейковые каналы банков MAX