ЦАСИ проанализировал, какие сценарии чаще всего использовали кибермошенники в прошлом году
Центр аналитики социальной инженерии и искусственного интеллекта в кибермошенничестве (ЦАСИ), созданный на базе Кибердома, представил отчет по итогам IV квартала и в целом за 2025 год. Специалисты провели анализ[1] агрегированных данных от операторов связи, банков, бизнеса, ИБ-компаний. В отчете рассмотрены наиболее распространенные сценарии мошенничества, ключевые тренды и прогнозы развития угроз в 2026 году.
Структура инцидентов
В IV квартале 2025 года продолжали доминировать мошеннические схемы, основанные на социальной инженерии. Ключевые каналы — мессенджеры, онлайн-игры, социальные сети, онлайн-сообщества. Мошенники стали концентрироваться на ограниченном наборе наиболее успешных сценариев. Из 50 тыс. инцидентов, зафиксированных в IV квартале 2025 года, 37% пришлись на ложные инвестиционные предложения от «сотрудников банка». Еще 17% составили звонки от имени госорганов и официальных служб. В каждом десятом инциденте были задействованы поддельные аудио- и видеосообщения от руководителей и коллег. Широко использовался фишинг с имитацией сайтов брендов — такие схемы составили 23%.
В 2024–2025 гг. государственное регулирование стало одним из ключевых структурных факторов, влияющих на динамику и характер мошеннических угроз. Реализуемые меры в сфере связи, финансового рынка и цифровых платформ уже привели к снижению эффективности массовых и инфраструктурных схем. Второй пакет антифрод-мер должен усилить этот тренд. Уже начата разработка третьего пакета мер противодействия кибермошенникам. Эти законодательные инициативы, предположительно, затронут противоправное использование технологий искусственного интеллекта, в частности детекцию и маркировку дипфейков.
«Большинство мошеннических схем по-прежнему основаны на социальной инженерии, но при этом злоумышленники всё активнее используют инструменты искусственного интеллекта — дипфейки, генеративные модели, автоматизированные боты, что выводит угрозы на качественно новый уровень. Важно отметить, что государство продолжает предпринимать меры против телефонных и интернет-мошенников. Например, второй пакет антифрод-инициатив должен внести существенный вклад в кибербезопасность, однако на этом останавливаться нельзя, ведь ущерб по-прежнему остается значительным, а инструменты аферистов становятся более технологичными и персонализированными. В связи с этим уже сейчас требуются выработка механизмов пресечения использования нейросетей в мошеннических целях и проведение нормативной донастройки в области ИИ в целом. В преддверии крупных общественно-политических событий и выборных кампаний это особенно актуально: необходимо заранее выстроить правовые рамки, которые позволят минимизировать риски злоупотребления ИИ в информационной среде», — сказал Артём Геннадьевич Шейкин, сенатор Российской Федерации.
Оперативные законодательные меры постепенно начинают давать результат, но параллельно остается большой пласт работы с начальной схемой мошенничества — психологическо-поведенческие уловки, манипуляция неосведомленностью, важные информационные поводы.
«Мошенники активно пользуются социальной инженерией: они закладывают неосведомленность в основу своих сценариев для убеждения перевода денег или раскрытия данных. Исследованием этих сценариев, их эволюцией и прогнозированием занимается созданный нами Центр аналитики социальной инженерии и ИИ. Входящие в него партнеры-участники за счет взаимообмена данными совершенствуют свои антифрод-системы и помогают гражданам и бизнесу защищаться от мошенничества, быстрее реагировать на новые схемы, получать данные о новых схемах, применяемых мошенниками. В итоге это весомый вклад бизнеса в свою безопасность и снижение рисков для людей», — поделилась Александра Шадюк, заместитель генерального директора Кибердома и основатель ЦАСИ.
«Для нашей компании кибербезопасность является жизненно важной, так как от бесперебойности поставок и работы предприятий зависят десятки тысяч торговых точек, где продается наша молочная продукция, и доступность нашей продукции для миллионов потребителей по всей России. Поэтому мы уделяем цифровой безопасности первоочередное внимание, и наше тесное сотрудничество с Центром аналитики социальной инженерии и ИИ позволяет своевременно выявлять новые виды мошенничества и прорабатывать меры для предотвращения угроз», — сказал Андрей Сумцов, директор IT & DATA компании «Логика молока».
Ключевые сценарии мошенников
Одной из наиболее опасных мошеннических схем в 2025 году стала массовая кража денег через NFC-перехват, ущерб составил 1,6 млрд руб. за 10 месяцев 2025 года. Опасность этого метода в том, что операции выглядят добровольными, поэтому их сложно выявлять. Жертву убеждают установить на смартфон приложение или направляют к банкомату, где он выполняет инструкции мошенника.
«В ближайшие годы, помимо перехвата NFC, ожидается новый вектор атаки: злоумышленники будут чаще пытаться украсть базы данных с различной биометрической информацией (сканами отпечатков пальцев, лица и т. д.), с помощью которой пользователи подтверждают свою личность или совершают другие действия в различных сервисах и приложениях. А с эволюцией банковской отрасли мошенники начнут охотиться за новыми ценными активами — например, за цифровым рублем, когда тот станет повсеместно использоваться. Понимая это, надо уже сегодня прорабатывать адекватные угрозе защитные меры», — отметил Александр Вураско, директор центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар».
По данным «Билайн» за IV квартал 2025 года, с использованием телефонных звонков было реализовано 29 тыс. мошеннических схем. При этом количество массовых обзвонов снижается — злоумышленники стали действовать прицельно. Чаще всего они представляются сотрудниками банков (46%), курьерских служб, почты, операторов связи, налоговой (33%). Еще 7% звонят от имени силовых структур.
На втором месте — схемы, связанные с фишингом. Мошенники отправляют ссылки на поддельные ресурсы через мессенджеры, социальные сети, доски объявлений. Для каждой жертвы создается отдельная ссылка — например, на оплату покупки, погашение задолженности, получение выплат. При этом в конце года, в период распродаж и праздников, эта схема становится популярнее в электронной коммерции. В IV квартале 2025 года на нее пришлось 23% инцидентов. Второе рождение переживает схема «Мамонт» — фейковая продажа товаров, аренды жилья, бронирования мест отдыха. Чаще всего используются бренды банков (33%) и служб доставки (27%). По данным F6, с июля 2024 по декабрь 2025 года мошенники похитили у россиян более 1 млрд руб.
«По оценке наших аналитиков, в 2025 году более 94% всех инцидентов, которые приводили к финансовым потерям у клиентов российских банков, были связаны с использованием социальной инженерии. Чаще всего злоумышленники похищали сбережения пользователей в результате телефонного мошенничества, применения схемы “Мамонт” с покупкой и продажей товаров через сервисы бесплатных объявлений, а также инвестиционного мошенничества, — поделился Дмитрий Ермаков, руководитель департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6. — Мы убеждены в том, что для эффективного противодействия мошенничеству с использованием социальной инженерии необходимо внедрение комплексных решений, в которых применяется продвинутый транзакционный антифрод, а также совместная работа отраслевого сообщества по оперативному обмену данными о новых мошеннических схемах, как мы это уже реализовали в нашей базе знаний F6 Fraud Matrix».
Часто мошенники играют на желании людей заработать — предлагают вложить деньги в инвестпроекты, акции и криптовалюту. По данным InfoSecurity, в IV квартале 2025 года зафиксировано 30 инцидентов, когда жертве после общения на сайте знакомств предложили вложиться в якобы прибыльный проект. Особое место занимают атаки на детей и подростков. Компания F6 за 10 месяцев 2025 года зафиксировала 6 тыс. случаев, где целью было управление действиями несовершеннолетних, ущерб превысил 850 млн руб. Часто ребенка убеждают открыть доступ к банковским приложениям родителей, передать данные и т. п.
«Преступники с помощью комбинирования методов социальной инженерии и новейших технологий прицельно воздействуют на детей разных возрастов: на младших школьников — через игровые платформы, на учеников средней и старшей школы — через чаты, соцсети и мессенджеры, предлагая различные схемы якобы быстрого и безопасного заработка. Чрезвычайно актуально проводить разъяснительную работу со школьниками, объяснять, чем грозит участие в подобных схемах — не заработком, а уголовным наказанием и сломанным будущим. Причем делать нужно это уже сейчас. Так, в марте во всех школах России прошло занятие по кибербезопасности в рамках цикла “Разговоры о важном”, материалы к которому подготовили совместно АНО “Диалог Регионы”, УБК МВД России и психологи МГППУ. Профилактику вовлечения детей в преступные схемы необходимо системно продолжать и далее», — подчеркнул Сергей Маклаков, начальник Управления по противодействию распространению недостоверной информации АНО «Диалог Регионы».
Новые уловки мошенников
В IV квартале прошлого года аналитики зафиксировали новые способы обмана. Заманивают на поддельные сайты генеративного ИИ, например ChatGPT, и заражают их компьютеры. Появились новые мошеннические схемы вокруг криптовалюты TON и экосистемы Telegram. Киберпреступники создают фейковые сайты и боты, предлагающие инвестировать или купить токены по сниженной цене, игровые боты, предлагающие ставки или игры на TON.
В конце 2025 года стали подделывать и рабочие чаты. Сначала мошенники собирают информацию о компании, анализируют структуру подразделений, роли, деловые связи. После этого создают поддельные аккаунты сотрудников, чат и добавляют в него жертву. В чате поддерживается общение, имитируется деловой процесс. На завершающем этапе жертва получает «срочную задачу»: провести платеж, подтвердить операцию, передать код подтверждения и т. п.
В даркнете тоже появились свои схемы, чат-боты на основе больших языковых моделей для киберпреступников, например WormGPT и FraudGPT. Они могут создавать фишинговые письма, вредоносный код, подсказать уязвимости в системах и т. д. Отмечаются эксперименты с полностью автоматическими чат-ботами для обмана жертв.
Тренд в кибермошенничестве — дипфейки — подделка голоса, создание фальшивых видео от имени человека. Такой цифровой двойник говорит голосом человека, воспроизводит характерные фразы, движения. Мошеннику гораздо проще убедить жертву, если с ней «разговаривает» руководитель, коллега, близкие. По данным АНО «Диалог Регионы», пока с ним сталкивались только 8% россиян, однако благодаря развитию ИИ тренд будет нарастать. Использование ИИ позволяет мошенникам создавать убедительные дипфейки, персонализировать атаки и делать их эффективнее. Киберпреступники переходят от массовых атак к таргетированным, использованию ограниченного набора наиболее эффективных сценариев.
Источник: Кибердом
[1] Данные для анализа предоставили «Билайн», F6, ГК «Солар», InfoSecurity (ГК Softline), «Логика молока» и другие, при участии АНО «Диалог Регионы».
