Компания F6, российский разработчик технологий для борьбы с киберугрозами, зафиксировала новый сценарий мошенничества для угона учётных записей Roblox. Через короткие видео в TikTok злоумышленники распространяют ссылки на сайты под выдуманным брендом BloxTools, которые предлагают «генерировать бесплатные робуксы», «копировать игры» и «взламывать аккаунты». Под этим предлогом пользователям предлагают скопировать на сайте Roblox определённый код и ввести его на фишинговом сайте. Благодаря этому киберпреступники перехватывают сессию и получают доступ к аккаунту геймера без ввода пароля и двухфакторной аутентификации. По обращению CERT F6 пять фишинговых сайтов, используемых в этой схеме, уже заблокированы.
Блок-стоп
Фишинговая схема с сайтами под брендом BloxTools – одна из самых коварных и массовых мошеннических кампаний для угона учётных записей Roblox. Эта игра по-прежнему пользуется популярностью и в России, несмотря на её официальную блокировку в конце 2025 года, и в других странах. Новый сценарий мошенничества используется в международном масштабе против геймеров с базовым уровнем английского языка и с невысоким уровнем технической грамотности. Учитывая популярность Roblox среди детей в возрасте 10-14 лет, они – среди главных целей этой киберпреступной схемы.
Зачем злоумышленники угоняют аккаунты Roblox? Это зависит от целей киберпреступников. Аккаунт можно продать, и чем больше были реальные достижения пользователя в игре, чем больше настоящих денег он потратил на игровые предметы и улучшения, тем выше может быть добыча угонщика. Игровые предметы можно продавать по отдельности на сторонней площадке. Взломанный аккаунт можно использовать для распространения фишинговых ссылок другим геймерам или для целевых атак на юных пользователей, через которых мошенники пытаются похитить деньги их родителей.
Угнать учётную запись в мессенджере или компьютерной игре можно по-разному. Один из способов – заманить пользователя на сайт-двойник и предложить ввести для входа логин, пароль и код подтверждения. Другой – получить из браузера пользователя куки-файл (cookie), с которым злоумышленник может сразу войти в аккаунт, так что его владелец ничего не заметит.
Куки-файлы – это небольшие текстовые данные, которые веб-сайт сохраняет в браузере пользователя, чтобы запомнить аккаунт пользователя и его настройки (например, язык). Благодаря куки-файлам сайт может автоматически входить в аккаунт пользователя и сохранять предпочтения для его удобства при следующих посещениях.
Заполучить куки-файлы киберпреступники могут несколькими путями. Первый – с помощью вредоносного ПО, установленного под видом полезных приложений. С этой целью злоумышленники используют трояны удалённого доступа (RAT), стилеры, вредоносные расширения для браузера и другие. Второй – с помощью социальной инженерии добиться того, чтобы пользователь сам передал куки-файлы мошенникам. Это всё равно что своими руками отдать ключи от машины угонщику.
Кажется, что это слишком очевидный обман, но с помощью социальной инженерии злоумышленники стараются сделать его убедительным.
Цель преступников в новой схеме – получить куки .ROBLOSECURITY. Это файл, который используется браузером на сайте Roblox для хранения сеансов пользователей. Делиться им с посторонними ни в коем случае нельзя: это даёт злоумышленникам моментальный доступ к учётной записи пользователя – им даже не требуется вводить пароль и обходить двухфакторную аутентификацию. Если геймер этого не знает, то его аккаунт уязвим перед угонщиками.
Ещё недавно, чтобы заполучить файл .ROBLOSECURITY, злоумышленники атаковали юных геймеров предложениями через Discord протестировать игру или чит (специальный софт для использования ошибок и уязвимостей в играх для получения нечестного преимущества перед другими игроками), бесплатно получить игровую валюту, а для этого установить программу, которая позволяла получить доступ к файлам пользователя. Теперь злоумышленники развили схему: BloxTools предлагает геймерам «хакнуть» Roblox, но на самом деле взламывают самих их самих.
Как работает схема?
Реклама мошеннических сайтов под брендом BloxTools активно распространяется через короткие видео в TikTok. Десятки сайтов маскируются под «инструменты для копирования игр», «генераторы бесплатных робуксов», они предлагают «хак аккаунтов», «копирование одежды» и многое другое.
Главная страница сайта выглядит многообещающе – кнопки «Попробуй сейчас», «Скопируй игру», «Скопируй одежду», «Скопируй аксессуар» и другие обещания: «AI-технологии», «100% безопасно», «без логина», «без банов», «без нарушения ToS» (ToS – условия обслуживания на онлайн-сервисах). На самом деле единственное предназначение этих сайтов – кража сессионных куки (.ROBLOSECURITY).
Переход в любой из разделов мошеннического сайта приводят пользователя на страницу с «туториалом» (пошаговым руководством, обучающей видеозаписью с последовательностью действий), которые обычно размещён на YouTube, в TikTok или Discord. Все эти инструкции убеждают пользователей: «Хочешь скачать/скопировать любую игру, одежду, UGC или взломать аккаунт? Просто зайди на Bloxtools, вставь player file и нажми «Начать взлом!»
На самом деле эти инструкции объясняют пользователям, как им взломать самих себя и передать свои данные мошеннику.
По обращению CERT F6 пять фишинговых сайтов, используемых в этой схеме, уже заблокированы – они стали недоступны для всех пользователей интернета. Однако злоумышленники могут разместить копии фишинговых ресурсов для обмана пользователей Roblox на новых доменах.
«BloxTools маскируется под инструмент для взлома аккаунтов и копирования инструментов, но на самом деле это пример классической фишинговой схемы с перехватом сессии. Никаких «реальных взломов» или копировщиков там нет — только кража куки пользователя для дальнейшего угона аккаунта», – говорит Илья Савин, ведущий аналитик первой линии CERT департамента Digital Risk Protection компании F6.
Специалисты F6 рекомендуют: никогда не копировать как код с сайта Roblox и не указывайте свои данные (включая коды) на подозрительных сайтах.
Что делать, если доступ к аккаунт Roblox уже скомпрометирован?
Если пользователь ввёл запрашиваемые данные на подобном мошенническом сайте, следует сразу же при обнаружении компрометации учётной записи выполнить следующие действия.
Войти на Roblox.com → Настройки → Безопасность, проверить доступ к аккаунту и подключённые устройства.
Если доступ сохранился, сменить пароль и завершить все сессии / выйти со всех устройств. Если доступ к аккаунту потерян, обратиться в Roblox Support, выберите Account Hacked, обратитесь в службу поддержки и опишите ситуацию. Укажите e-mail, который использовался для регистрации, будьте готовы указать данные о покупках для подтверждения права собственности.