Компания F6, российский разработчик технологий для борьбы с киберугрозами, назвала самые актуальные схемы финансового мошенничества в цифровых каналах — совокупный ущерб от него за последние полтора года составил более 600 млрд рублей. Более 94% таких инцидентов по-прежнему связаны с социальной инженерией, при этом растёт доля атак с использованием вредоносного ПО. Около 1,5 млн Android-устройств российских пользователей скомпрометированы различными вредоносными приложениями, причём 85% заражений приходится на трояны Mamont, SpyNote и его различные версии.
Спящая угроза
Специалисты департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 представили итоги первого исследования актуальных схем мошенничества в цифровых каналах. Используя данные 10 ведущих российских банков за 2025-2026 годы, а также статистику Центробанка и МВД России, эксперты проанализировали атаки киберпреступников с целью хищения денег пользователей. Исследование проводили на основе «Матрицы фрода» (F6 Fraud Matrix) – базы знаний, которая описывает схемы финансового мошенничества и техники, применяемые злоумышленниками.
По оценкам аналитиков F6, совокупный ущерб российских пользователей от действий мошенников в цифровых каналах в 2025-2026 годах превысил 600 млрд рублей. Доля инцидентов, связанных с использованием социальной инженерии для хищения денег клиентов финансовых организаций, на протяжении последних полутора лет остаётся примерно на одном уровне и составляет более 94%. Чаще всего злоумышленники похищают сбережения пользователей в результате телефонного мошенничества, применения схемы «Мамонт» с покупкой и продажей товаров через сервисы бесплатных объявлений, а также инвестиционного мошенничества.
Ещё 4% инцидентов приходится на фишинговые атаки, когда злоумышленники, используя мошеннические сайты либо вредоносные приложения, похищают у пользователей данные банковских карт, а затем пользуются ими для кражи денег с банковских счетов. Доля атак с использованием вредоносного ПО (ВПО) за 2025 год увеличилась вдвое (с 0,1% до 0,2%) и продолжает расти.
На общем фоне эти цифры могут показаться незначительными, однако потенциальная угроза атак на пользователей мобильных устройств с использованием ВПО значительно выше. По данным F6, примерно 1,5% всех Android-устройств пользователей в России скомпрометированы – на этих устройствах присутствуют следы различных вредоносных приложений. Как правило, такое ВПО устанавливают под видом полезных программ. При общей выборке в 100 млн смартфонов это указывает на компрометацию приблизительно 1,5 млн устройств. Анализ показывает, что пока что атакам подвергается малая часть заражённых устройств, однако каждая такая потенциальная угроза может стать реальной в любой момент.
Вас снимают вашей камерой
По итогам исследования аналитики компании составили топ самых актуальных схем финансового мошенничества в цифровых каналах. В этот список вошли схемы, которые чаще всего детектируются решениями F6 Fraud Protection и/или наносят пользователям наибольший финансовый ущерб. Среди шести схем с использованием вредоносного ПО, которые включены в топ, пять применяются против пользователей Android-устройств.
«Прямой» NFCGate. При установке такого приложения на устройство под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести ПИН-код, данные сразу же передаются на устройство преступников и позволяют им обналичить деньги со счёта пользователя в банкомате.
«Обратный» NFCGate. При использовании «прямого» NFCGate сообщники преступников, дропы, приходят к банкомату, чтобы снять деньги жертвы. «Обратная» версия позволяет пропустить этот шаг: мошенники под разными предлогами направляют пользователя к банкомату, чтобы зачислить деньги якобы самому себе, но на самом деле – преступникам.
В мае 2026 года на обе схемы с использованием вредоносных версий легитимного приложения NFCGate пришлось 5% от всех впервые выявленных скомпрометированных Android-устройств.
Mamont. Этот троян удалённого доступа – одна из главных угроз для клиентов ведущих российских банков. В мае 2026 года доля впервые скомпрометированных Android-устройств с этим ВПО составила около 40%.
Функционал Mamont позволяет злоумышленникам получить доступ к информации, которая позволяет им выполнять от имени пользователя незаконные финансовые операции – входить в личные кабинеты банков, кредитных и микрофинансовых организаций, получать кредиты и займы, совершать незаконные денежные переводы.
Falcon. Android-троян образца 2026 года действует как универсальная отмычка, с помощью которой злоумышленники могут получить доступ к учётным записям пользователей для работы в более чем 30 популярных сервисах, включая банковские и другие приложения. Отличительная особенность – может удалять антивирусы с устройства сразу после собственной установки. В мае 2026 года на долю Falcon пришлось более 2% впервые выявленных скомпрометированных Android-устройств.
LunaSpy. Шпионское вредоносное программное обеспечение для операционной системы Android, выполняет перехват камер и микрофонов устройства, запись экрана и сбор чувствительных данных. Может маскироваться под антивирусные программы. Доля такого ВПО на скомпрометированных Android-устройствах составила около 2%.
Ещё 45% среди впервые выявленных в мае 2026 года скомпрометированных Android-устройств приходится на долю шпионского ВПО SpyNote и его разновидностей. Этот троян проникает на мобильные устройства под видом легитимных приложений и позволяет злоумышленникам похищать конфиденциальные данные пользователя, включая платёжную информацию.
Кроме того, в число самых опасных эксперты F6 включили схему финансового мошенничества с использованием ВПО DarkWatchman, которую используют в атаках на бухгалтеров компаний в России, Беларуси, Казахстане и Узбекистане. С начала 2026 года злоумышленники из киберпреступной группы Hive0117 совершили по этой схеме более 400 успешных атак на финансовые подразделения организаций, средняя сумма ущерба составляет около 10 млн рублей.
«Год назад мы запустили базу знаний F6 Fraud Matrix для того, чтобы предоставить всему антифрод-сообществу возможность четко и глубоко анализировать мошеннические схемы, используемые для обмана клиентов, выявлять уязвимости в процессах и создавать проактивные средства защиты. Фрод-матрица постоянно наполняется новыми данными по мере того, как злоумышленники адаптируются к защитным решениям и меняют ландшафт угроз», – говорит Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6.
Чтобы защититься от большинства известных схем финансового мошенничества, специалисты компании F6 рекомендуют.
Не устанавливайте приложения по рекомендациям незнакомцев, по ссылкам из СМС, сообщений в мессенджерах и писем, сомнительных сайтов. Устанавливайте программы только из официальных магазинов приложений.
Не сообщайте чувствительную информацию, любые коды по телефону и в мессенджерах неизвестным, кем бы они ни представлялись.
Не переходите по ссылкам из СМС, писем и сообщений в мессенджерах, о которых вы не просили. Даже если внешне эти СМС, письма и сообщения в мессенджерах похожи на сообщения от банков и других официальных структур.
Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на обороте банковской карты, и уточните, действительно ли полученное вами предложение исходит от банка.
Не сообщайте посторонним CVV и ПИН-коды банковских карт, логины и пароли для входа в онлайн-банк. Не вводите эти данные на незнакомых сайтах, платежных формах и в приложениях, которые устанавливаете впервые.
Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка, или с использованием банковского приложения.