Старый новый фрод: ущерб от финансового мошенничества в 2025-2026 гг превысил 600 млрд рублей

Компания F6, российский разработчик технологий для борьбы с киберугрозами, назвала самые актуальные схемы финансового мошенничества в цифровых каналах — совокупный ущерб от него за последние полтора года составил более 600 млрд руб. Более 94% таких инцидентов по-прежнему связаны с социальной инженерией, при этом растет доля атак с использованием вредоносного ПО. Около 1,5 млн Android-устройств российских пользователей скомпрометированы различными вредоносными приложениями, причем 85% заражений приходится на трояны Mamont, SpyNote и его различные версии. Об этом CNews сообщили представители F6. Специалисты департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 представили итоги первого исследования актуальных схем мошенничества в цифровых каналах. Используя данные 10 ведущих российских банков за 2025-2026 гг, а также статистику Центробанка и МВД России, эксперты проанализировали атаки киберпреступников с целью хищения денег пользователей. Исследование проводили на основе «Матрицы фрода» (F6 Fraud Matrix) – базы знаний, которая описывает схемы финансового мошенничества и техники, применяемые злоумышленниками. По оценкам аналитиков F6, совокупный ущерб российских пользователей от действий мошенников в цифровых каналах в 2025-2026 гг превысил 600 млрд руб. Доля инцидентов, связанных с использованием социальной инженерии для хищения денег клиентов финансовых организаций, на протяжении последних полутора лет остается примерно на одном уровне и составляет более 94%. Чаще всего злоумышленники похищают сбережения пользователей в результате телефонного мошенничества, применения схемы «Мамонт» с покупкой и продажей товаров через сервисы бесплатных объявлений, а также инвестиционного мошенничества. Еще 4% инцидентов приходится на фишинговые атаки, когда злоумышленники, используя мошеннические сайты либо вредоносные приложения, похищают у пользователей данные банковских карт, а затем пользуются ими для кражи денег с банковских счетов. Доля атак с использованием вредоносного ПО (ВПО) за 2025 г. увеличилась вдвое (с 0,1% до 0,2%) и продолжает расти. На общем фоне эти цифры могут показаться незначительными, однако потенциальная угроза атак на пользователей мобильных устройств с использованием ВПО значительно выше. По данным F6, примерно 1,5% всех Android-устройств пользователей в России скомпрометированы – на этих устройствах присутствуют следы различных вредоносных приложений. Как правило, такое ВПО устанавливают под видом полезных программ. При общей выборке в 100 млн смартфонов это указывает на компрометацию приблизительно 1,5 млн устройств. Анализ показывает, что пока что атакам подвергается малая часть зараженных устройств, однако каждая такая потенциальная угроза может стать реальной в любой момент. Вас снимают вашей камерой По итогам исследования аналитики компании составили топ самых актуальных схем финансового мошенничества в цифровых каналах. В этот список вошли схемы, которые чаще всего детектируются решениями F6 Fraud Protection и/или наносят пользователям наибольший финансовый ущерб. Среди шести схем с использованием вредоносного ПО, которые включены в топ, пять применяются против пользователей Android-устройств. «Прямой» NFCGate. При установке такого приложения на устройство под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести ПИН-код, данные сразу же передаются на устройство преступников и позволяют им обналичить деньги со счета пользователя в банкомате. «Обратный» NFCGate. При использовании «прямого» NFCGate сообщники преступников, дропы, приходят к банкомату, чтобы снять деньги жертвы. «Обратная» версия позволяет пропустить этот шаг: мошенники под разными предлогами направляют пользователя к банкомату, чтобы зачислить деньги якобы самому себе, но на самом деле – преступникам. В мае 2026 г. на обе схемы с использованием вредоносных версий легитимного приложения NFCGate пришлось 5% от всех впервые выявленных скомпрометированных Android-устройств. Mamont. Этот троян удаленного доступа – одна из главных угроз для клиентов ведущих российских банков. В мае 2026 г. доля впервые скомпрометированных Android-устройств с этим ВПО составила около 40%. Функционал Mamont позволяет злоумышленникам получить доступ к информации, которая позволяет им выполнять от имени пользователя незаконные финансовые операции – входить в личные кабинеты банков, кредитных и микрофинансовых организаций, получать кредиты и займы, совершать незаконные денежные переводы. Falcon. Android-троян образца 2026 г. действует как универсальная отмычка, с помощью которой злоумышленники могут получить доступ к учетным записям пользователей для работы в более чем 30 популярных сервисах, включая банковские и другие приложения. Отличительная особенность – может удалять антивирусы с устройства сразу после собственной установки. В мае 2026 г. на долю Falcon пришлось более 2% впервые выявленных скомпрометированных Android-устройств. LunaSpy. Шпионское вредоносное программное обеспечение для операционной системы Android, выполняет перехват камер и микрофонов устройства, запись экрана и сбор чувствительных данных. Может маскироваться под антивирусные программы. Доля такого ВПО на скомпрометированных Android-устройствах составила около 2%. Еще 45% среди впервые выявленных в мае 2026 г. скомпрометированных Android-устройств приходится на долю шпионского ВПО SpyNote и его разновидностей. Этот троян проникает на мобильные устройства под видом легитимных приложений и позволяет злоумышленникам похищать конфиденциальные данные пользователя, включая платежную информацию. Кроме того, в число самых опасных эксперты F6 включили схему финансового мошенничества с использованием ВПО DarkWatchman, которую используют в атаках на бухгалтеров компаний в России, Белоруссии, Казахстане и Узбекистане. С начала 2026 г. злоумышленники из киберпреступной группы Hive0117 совершили по этой схеме более 400 успешных атак на финансовые подразделения организаций, средняя сумма ущерба составляет около 10 млн руб. «Год назад мы запустили базу знаний F6 Fraud Matrix для того, чтобы предоставить всему антифрод-сообществу возможность четко и глубоко анализировать мошеннические схемы, используемые для обмана клиентов, выявлять уязвимости в процессах и создавать проактивные средства защиты. Фрод-матрица постоянно наполняется новыми данными по мере того, как злоумышленники адаптируются к защитным решениям и меняют ландшафт угроз», – сказал Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6. Рекомендации F6 для защиты от большинства известных схем финансового мошенничества Не устанавливайте приложения по рекомендациям незнакомцев, по ссылкам из СМС, сообщений в мессенджерах и писем, сомнительных сайтов. Устанавливайте программы только из официальных магазинов приложений. Не сообщайте чувствительную информацию, любые коды по телефону и в мессенджерах неизвестным, кем бы они ни представлялись. Не переходите по ссылкам из СМС, писем и сообщений в мессенджерах, о которых вы не просили. Даже если внешне эти СМС, письма и сообщения в мессенджерах похожи на сообщения от банков и других официальных структур. Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на обороте банковской карты, и уточните, действительно ли полученное вами предложение исходит от банка. Не сообщайте посторонним CVV и ПИН-коды банковских карт, логины и пароли для входа в онлайн-банк. Не вводите эти данные на незнакомых сайтах, платежных формах и в приложениях, которые устанавливаете впервые. Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте ее, позвонив на горячую линию банка, или с использованием банковского приложения.