Количество дипфейков с начала года выросло вдвое по сравнению с аналогичным периодом 2025 года
Вектор мошеннических действий смещается с давления на человека к вхождению в доверие. К такому выводу пришли эксперты Центра аналитики социальной инженерии и искусственного интеллекта в кибермошенничестве (ЦАСИ), работающего на базе Кибердома. Специалисты проанализировали агрегированные данные от телеком-операторов, банков, бизнеса и ИБ-компаний и представили отчет[1] по итогам I квартала 2026 года.
ИИ для деструктивных целей
Один из возрастающих трендов — использование ИИ в мошеннических схемах. С начала 2026 года АНО «Диалог Регионы» было выявлено более 160 дипфейков — вдвое больше, чем за аналогичный период в прошлом году. Более того, на 8% увеличилось количество уникальных фейков. Доля видео, сгенерированных с помощью текстового промта, выросла с 17% в 2025 году до 51% за I квартал 2026-го. С помощью этого мошенники втираются в доверие: человек видит «живое» видео, слышит знакомый голос и не сомневается в его подлинности. Скрипты для таких видео мошенникам помогают создавать чат-боты WormGPT и FraudGPT из ИИ-даркнета.
«За два года дипфейков стало в 26 раз больше, а их качество настолько улучшилось, что созданный современными ИИ-моделями контент уже неотличим невооруженным глазом от реальных видео, — подчеркивает начальник Управления по противодействию распространению недостоверной информации АНО «Диалог Регионы» Сергей Маклаков. — Если раньше для создания дипфейков требовался качественный видеореференс, то теперь реалистичное видео можно сгенерировать по текстовому запросу за несколько минут. В этих условиях ключевой задачей становится разработка систем автоматического распознавания дипфейков. АНО “Диалог Регионы” создала и внедрила собственную систему “Зефир”, объединяющую несколько специализированных нейросетевых моделей. Однако одних технологических решений и фактчекинга сегодня недостаточно. Необходима системная просветительская работа с пользователями интернета, учитывающая особенности современного медиапотребления».
Директор по информационной безопасности цифровых активов «Газпром-Медиа Холдинга» Алексей Жуков добавляет, что компания также отмечает рост попыток кибермошенничества. «Отдельно мы отмечаем рост попыток кибермошенничества с помощью социальной инженерии и имитации сообщений от имени руководства. Это связано с активным использованием злоумышленниками технологий искусственного интеллекта, позволяющего создавать дипфейки и воссоздавать голос.», — рассказывает Алексей Жуков.
Руководитель департамента Digital Risk Protection компании F6 Станислав Гончаров подчеркивает, что мы стали свидетелями качественного перелома в использовании искусственного интеллекта в деструктивных целях. «Если еще два-три года назад дипфейки были скорее точечным инструментом, то сегодня речь идет о масштабируемой технологии, доступной практически каждому. В целом все цифровые угрозы для брендов — скам, фишинг или незаконное использование интеллектуальной собственности — демонстрируют высокую степень автоматизации и использования новых генеративных моделей для наполнения мошеннических страниц фейковым контентом. Я убежден, что для противодействия подобным киберугрозам производителям ПО нужно быть гораздо быстрее злоумышленников, в том числе использовать AI- и LLM-инструменты», — добавляет Станислав Гончаров.
Встраивание в бытовые сценарии
Всплеск кибермошенничества через фишинговые ресурсы традиционно происходит перед праздниками. По данным одного из операторов связи, накануне 23 Февраля и 8 Марта в 2026 году их количество увеличилось примерно в 1,8 раза. В основном мошенники используют поддельные цифровые сервисы. Более 40% фишинговых ресурсов имитируют соцсети и мессенджеры, 27% — финансовые и инвестиционные сервисы, 13% — распространяют фейковые новости.
«Активность мошенников в преддверии гендерных праздников традиционно возрастает, однако в этом году мы наблюдаем не просто увеличение числа атак, а качественное изменение самих схем. Злоумышленники уходят от прямых просьб перевести средства и внедряют многоходовые комбинации, эксплуатирующие как доверие к публичным личностям, так и невнимательность пользователей в праздничной суете. К примеру, эволюция методов фиксируется в сегменте доставки цветов и подарков. Наряду с традиционными фейковыми интернет-магазинами, созданными на доменах .top, .shop или с подменой символов в именах брендов, активно внедряется социальная инженерия в формате звонка от курьера. Злоумышленник сообщает об анонимном заказе от тайного поклонника и для подтверждения доставки просит продиктовать код из СМС. Под предлогом “номера посылки” или “подтверждения заказа” мошенник получает доступ к личному кабинету на портале госуслуг или в банковском приложении. Масштаб ущерба от подобных схем исчисляется десятками миллионов рублей ежегодно», — говорит генеральный директор Secure-T (ГК «Солар») Харитон Никишкин.
Киберпреступники встраивают свои сценарии в актуальную повестку, например в блокировку популярных цифровых платформ. Они предлагают восстановить доступ или распространяют фейковые сервисы для обхода блокировок. Пользователь вводит логины, пароли, коды подтверждения и тем самым компрометирует аккаунты и теряет средства, что приводит к компрометации аккаунтов и финансовым потерям.
Руководитель направления антифрода компании «Билайн» Александр Фадеев отмечает, что ранее основной рекомендацией по защите от мошенничества было не сообщать код из СМС‑сообщения, но сегодня этот подход утратил эффективность. «Злоумышленники перешли от прямых угроз к сложным, многоэтапным схемам обмана. Они имитируют официальные сервисы, представляются сотрудниками технической поддержки и выстраивают доверительные отношения с абонентами. В результате жертва, убежденная, что ей помогают решить проблему или предоставляют бонус, самостоятельно передает мошенникам конфиденциальные данные, — рассказывает эксперт. — Наша задача выходит за рамки блокировки спама и подозрительных звонков: необходимо в режиме реального времени выявлять ситуации, когда абонент подвергается целенаправленному воздействию мошенников. Современные злоумышленники демонстрируют высокий уровень психологической подготовки и навыков UX‑дизайна. Чтобы эффективно противостоять им, мы обязаны использовать передовые технологии, в том числе искусственный интеллект, на стороне защиты. По сути, мы применяем те же инструменты, что и мошенники, но уже для обеспечения безопасности наших клиентов».
В I квартале 2026 года также был зафиксирован рост кибермошенничества через мессенджеры, включая MAX. Пользователям приходили сообщения от знакомого с просьбой перейти по ссылке, которая ведет на фишинговый сайт. Такая ссылка не вызывает подозрений, но как только человек переходит по ней и авторизуется на сайте, мошенник получает доступ к его аккаунту. По данным Центра правовой помощи гражданам в цифровой среде ФГУП «ГРЧЦ» (ЦППГ), в I квартале 2026 года 20,8% от общего числа поступивших в ЦППГ обращений пришлось на сценарии «взлом аккаунта в мессенджере без участия заявителей» и «перешли по ссылке в мессенджере от знакомых, от госорганов (в т.ч. от портала госуслуг)».
«Актуальные тренды показывают переход к новой фазе кибермошенничества, где ключевым активом атакующего становится не технология взлома, а умение управлять доверием пользователя. Демократизация ИИ ускоряет развитие многих сфер, но, к сожалению, и преступных схем тоже. Эффективная защита требует сочетания точечных антифрод-решений с системным подходом со стороны бизнеса и регуляторов. Ключевое значение приобретают обучение граждан, осведомленность и повышение цифровой грамотности», — полагает руководитель Департамента специальных сервисов Infosecurity (ГК Softline) Константин Мельников.
Схемы всё чаще начинаются с предложения выгоды. В феврале 2026 года аналитики Digital Risk Protection компании F6 обнаружили 499 сайтов-приманок для инвестиционного мошенничества. В I квартале выявлена схема с «выгодным» обменом валюты в странах Азии и Ближнего Востока. Также обнаружено 1 200 сайтов, маскирующихся под сервисы с «бесплатным» доступом к фильмам. После регистрации подключается автосписание, а просмотр обходится дороже, чем на официальных ресурсах. Компания Infosecurity (ГК Softline) зафиксировала более 150 мошенничеств, где традиционная схема фейковых знакомств была адаптирована под онлайн-казино.
Комбинация взлома и манипуляций
Эксперты Solar AURA ГК «Солар» выяснили, что мошенники используют для кражи аккаунтов в различных сервисах и мессенджерах новые способы подтверждения личности пользователя. Для этого злоумышленники встраиваются в коммуникации компаний с клиентами: уточнение заказа, запись на услугу, звонок от курьера. Они связываются с жертвой под разными предлогами и обещают перезвонить для обсуждения деталей. После этого пользователь получает звонок-сброс, а злоумышленник просит назвать последние цифры номера. Если человек это сделает, киберпреступник получает доступ к его аккаунту.
«Современные онлайн-сервисы стали чаще использовать в качестве подтверждения личности и входа в профиль анонимные звонки, а не коды доступа, которые обычно поступают в СМС. Этим и пользуются мошенники, ведь если многие россияне уже знают, что нельзя называть никакие коды из СМС, то в упоминании последних цифр со звонящего номера телефона пока не видят ничего страшного», — отмечает директор центра мониторинга внешних цифровых угроз Solar AURA Александр Вураско.
Атаки на инфраструктуру также комбинируются с воздействием на людей и операционные процессы. В I квартале 2026 года киберпреступники массово прошлись по пунктам выдачи заказов (ПВЗ). Они представляются поддержкой маркетплейса, выманивают у сотрудников ПВЗ доступы, легитимно проникают в ИТ-инфраструктуру и оформляют фиктивные возвраты дорогих товаров. В результате и товар, и деньги остаются в руках злоумышленников.
В марте компания F6 зафиксировала новый мошеннический сценарий с обратным звонком. Злоумышленники рассылают по электронной почте письма, в которых сообщают об авторизации в аккаунте с помощью электронной подписи и предлагают перезвонить по мобильному номеру. Для таких рассылок от якобы государственных ведомств используются 32 различные темы. В зоне риска — граждане, у которых есть доступ к государственным и коммерческим сервисам через электронную подпись.
Мошеннические схемы расширяются и на окружение жертвы: детей, пожилых родственников. Например, используя TikTok, игровые платформы и блогеров, мошенники предлагают детям получить бонусы в играх. Для этого ребенка просят сфотографировать экран телефона родителей с банковским приложением или СМС.
По прогнозам аналитиков ЦАСИ, в II квартале 2026 года мошенничество будет и дальше смещаться в сторону более сложных сценариев, построенных на управлении доверием пользователя. Продолжит усиливаться использование ИИ-контента — дипфейков, генерации речи. Будет расти количество сценариев через экосистемы ― связки мессенджеров, ботов, сайтов и «поддержки», создающие ощущение полноценного сервиса.
«Мы видим ЦАСИ не просто как проект по подготовке аналитических отчетов, а как центр компетенций по социальной инженерии и AI-мошенничеству. Наша цель — сформировать в России межотраслевую систему обмена знаниями и аналитикой о современных мошеннических сценариях, чтобы бизнес и государство могли действовать не разрозненно, а совместно и проактивно», — резюмирует заместитель генерального директора Кибердома и руководитель ЦАСИ Александра Шадюк.
Источник: Кибердом
[1]Данные для анализа предоставили «Билайн», F6, ГК «Солар», АНО «Диалог Регионы», Центр правовой помощи гражданам в цифровой среде (ФГУП «ГРЧЦ»), InfoSecurity (ГК Softline), «Логика молока», Rutube.
