Продолжаем серию скринкастов. Сегодня показываем, как мошенники общаются с жертвами, используя схему Fake Boss 🎥

Злоумышленники часто притворяются руководителями компании, чтобы заставить сотрудников выполнить их указания: перевести деньги или раскрыть конфиденциальную информацию.

Обычно такие сообщения приходят в мессенджеры или на электронную почту, а дальнейшее общение проходит по телефону. Всё выглядит убедительно, ведь злоумышленники буквально копируют аккаунт реального начальника, а иногда используют голосовой дипфейк.

Один из сценариев атаки по схеме Fake Boss показываем в видео. Оставайтесь в кибербезопасности❤️

Сливы подросли на CRM: специалисты F6 посчитали общее количество утечек баз данных российских компаний, впервые слитых в 2025 году.

▪️В январе-июне 2025 года аналитики Threat Intelligence F6 зафиксировали 154 новых случая публикации баз данных российских компаний, оказавшихся на андеграундных форумах и в тематических Telegram-каналах — это на 2,67% больше, чем в 2024 году.

▪️В открытом доступе оказалось 198,6 млн строк пользовательских данных, в том числе — ФИО, элекронные и физические адреса, пароли, даты рождения, паспортные данные, телефоны.

▪️Эксперты F6 отмечают, что 37% утечек приходится на ритейл-компании.

Дарья Городилова, аналитик Threat Intelligence компании F6:

Несмотря на уменьшение количества публикуемых баз данных в первом квартале 2025 года, связанное, предположительно, с активной блокировкой администрацией Telegram тематических каналов, в апреле-июне злоумышленники продолжили публиковать данные скомпрометированных ресурсов. Они повторно создают Telegram-каналы, делая их приватными. Кроме того, начиная с апреля 2025 года, эксперты зафиксировали множество случаев публикаций данных, выгруженных, предположительно, из CRM-систем различных ресурсов.

Подробнее об исследовании — читайте на сайте F6.

Берите, кто хотите: F6 обнаружила новый сценарий финансового мошенничества.

🔍 Как работает новая схема?
Злоумышленники предлагают оформить виртуальную кредитную карту с лимитом в 100 тыс. руб. под 99% годовых (или 0,27% от суммы займа в день). Ограничений по возрасту, кредитной истории и другим критериям — нет. Под предлогом оформления карты скамеры просят заплатить комиссию в 3050 руб.

😧 Кто в зоне риска?
Аналитики выяснили, что схема направлена против пенсионеров, людей в трудной жизненной ситуации и с плохой кредитной историей.

Евгений Егоров, ведущий аналитик Digital Risk Protection F6:

При определении круга потенциальных жертв киберпреступники в первую очередь ориентируются на самые уязвимые слои населения, которым будет проще «продать» приманку. В данном случае цель злоумышленников — закредитованные граждане, нуждающиеся в деньгах, но в силу плохой кредитной истории не имеющие возможности получить новый кредит.

Как выглядит мошеннический сайт?
▪️Ресурс, обнаруженный в зоне .ru, сообщает, что выдачу кредиток одобряют «почти всем», а кредитная история «не важна». При регистрации требуется указать электронный адрес и придумать пароль, а в анкете — ФИО, паспортные данные, ИНН и СНИЛС, место работы, стаж и доход.

▪️Домен зарегистрирован 7 июля 2025 года от имени реальной организации, зарегистрированной в Санкт-Петербурге. На главной странице злоумышленники предупреждают: «Остерегайтесь мошенников!».

▪️Специалисты F6 подчеркивают высокий уровень проработки фейкового сайта: на его страницах почти нет орфографических ошибок, которые раньше были типичны для мошеннических сайтов. F6 также обращает внимание на использование реквизитов действующей организации.

😉 Борьба с киберпреступностью

В жизни всегда есть место кринжу. Даже во время самых серьезных киберинцидентов.

🔍С 28 по 29 июля специалисты F6 фиксируют массовую рассылку писем якобы от имени группы Belarusian Cyber-Partisans. Напомним, что это одна из двух групп (вторая — проукраинские хактивисты из Silent Crow), которая взяла на себя ответственность за совместную атаку на «Аэрофлот».

▪Выявленная рассылка велась минимум с 6 адресов по российским компаниям из таких отраслей, как промышленность, разработка ПО, ритейл, туризм, строительство, банки. Письма не содержат вредоносных вложений и ссылок.

😧Зато само письмо якобы было отправлено от имени основателя Chronopay Павла Врублевского. Напомним, что в 2013 году он был осуждён за организацию DDoS-атаки на конкурента — платёжный сервис «Ассист», обслуживавший в том числе и «Аэрофлот». В 2022 году Врублевский снова был задержан и отправлен в СИЗО по обвинению в мошенничестве в особо крупном размере и краже организованной группой.

▪В письме заявляется, что если Врублевского не отпустят из СИЗО до 23 августа, будут атакованы Банк России и ФСИН России.

▪В телеграм-канале "Дневник Павла Врублевского" за несколько часов до рассылки появилась запись, что у него в связи со "взломом Аэрофлота" есть "железное алиби".

▪Кстати, мимикрия под преступные группы или хактивистов довольно распространена. Весной 2025 года была обнаружена похожая массовая рассылка от имени другой хактивистской группировки BO Team — тогда злоумышленники рассылали российским компаниям письма о том, что их инфраструктура находится под контролем и требовали "упредительный" выкуп в размере $2 000, дабы избежать атаки.

😉 Борьба с киберпреступностью

Киберпреступники могут месяцами скрываться в ИТ-инфраструктуре

😧У них достаточно времени, чтобы найти уязвимости, выгрузить персональные данные и подготовиться к шифрованию или полному уничтожению данных.

Пока злоумышленники незаметны, они могут вывести бизнес из строя в любой момент: уничтожить серверы, опубликовать данные клиентов и сотрудников, полностью остановить работу.

Но большинству атак сопутствуют цифровые следы в сетевом трафике. Их можно обнаружить еще на этапе разведки, когда хакеры ищут уязвимости компании. Об этом и других сценариях — в новом блоге из двух частей «Как защитить сетевой трафик»

В первой части:

▪Как атакующие скрывают свои следы в трафике?
Приемы с примерами
▪Как защитить безопасность сети?
Особенности Firewall, NG Firewall, NTA

➡ ЧИТАТЬ ЧАСТЬ 1: Обзор угроз и решений

Во второй части детально разберем Network Traffic Analysis, скоро расскажем о ней в нашем канале⚡

😉 Борьба с киберпреступностью

Аналитики департамента киберразведки компании F6 вскрыли новую угрозу для российских организаций — программу-вымогатель Pay2Key. Зафиксировано как минимум три кампании, нацеленные на российские организации в сферах ритейла, финансов, ИТ и строительства.

🔍Шифровальщик предлагается на киберпреступных русскоязычных форумах по модели RaaS (Ransomware as a Service) с конца февраля 2025 года.

Вредоносная программа Pay2Key построена на базе Mimic – семейства ВПО с одной из самых сложных схем шифрования, которое активно используется для атак на российский малый бизнес.

❗️Для распространения вредоносной программы злоумышленники используют фишинговые рассылки. Темы разнообразные: от коммерческого предложения и подтверждения учетных данных до «забора с колючей проволокой».

🤚 Кроме фишинговых рассылок в арсенале атакующих были обнаружены самораспаковывающиеся архивы, легитимные инструменты и продвинутые способы обхода антивирусной защиты.

➡️Все детали исследования и индикаторы компрометации — читайте в новом блоге на сайте F6.

Кривой дизайн, лишние символы и сомнительная срочность. Как не попасться на фишинговый сайт — рассказываем в чек-листе.

Фишинговые сайты всё чаще копируют реальные сервисы до мелочей. Но выделить основные признаки, по которым распознается мошеннический ресурс, все-таки можно.

Вот несколько главных рекомендаций от F6⬇️

1️⃣Всегда проверяйте адрес сайта. Он должен начинаться с https://, иметь домен без подмен и без странных символов. Проверьте его дату регистрации, используя Whois-сервисы — киберпреступники часто регистрируют домены незадолго до атаки.

2️⃣Замечайте детали. Например, кривой дизайн, грамматические ошибки, отсутствие прямых контактов компании.

3️⃣Не действуйте в спешке. Фишинг давит на срочность: если предлагают быстрый заработок или уникальное предложение, действующее в течение короткого промежутка времени, необходимо засомневаться.

4️⃣Не игнорируйте предупреждения браузера. При переходе на некоторые сайты вы можете видеть сигнал о возможной вредоносности ресурса — это не просто так.

Больше рекомендаций и лайфхаков, которые уберегут вас и ваши данные от фишинга, — ищите в чек-листе F6.

😉 Борьба с киберпреступностью

🎥 Зубодробительный боевик «Балерина» с Аной де Армас, в котором ее героиня налево-направо крошит врагов с использованием всех видов огнестрельного и холодного оружия, а также огнемета, топоров и даже старых тупых коньков увлек любителей пиратских фильмов. Он на первом месте пиратского топа июля.

А вот как выглядит весь топ-10 фильмов:

1⃣ «Балерина»
2⃣ «Кирпич»
3⃣ «Громовержцы»
4⃣ «Главы государств»
5⃣ «Финикийская схема»
6⃣ «М3ГАН 2.0»
7⃣ «Ледяной драйв 2: Возмездие»
8⃣ «Как приручить дракона»
9⃣ «Бессмертная гвардия 2»
1⃣0⃣ «Каратэ-пацан: Легенды».

Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составляет список фильмов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено в этом месяце.

😉 Борьба с киберпреступностью

📢 «Женщина каждое воскресенье закрывает ипотеку». Новости с подобным заголовком выходят в фейковых Telegram-каналах и ведут пользователей по схемам инвестскама.

F6 зафиксировала новую волну мошенничества с приманкой о выплатах молодым семьям, помощи с погашением ипотеки и др. Фейки маскируют в том числе под новости из СМИ. Хищение денег и данных происходит в мессенджере.

Примеры новостей-фейков:

▪️ «С 1 августа семьи смогут подать заявление на ежегодное пособие 35 000 на каждого ребенка до 17 лет».
▪️ «Президент поручил оказать поддержку в виде сертификата 1 000 000 рублей на жилье для молодых семей и одиноких родителей».
▪️ «Россию шокировала женщина-инвестор, которая каждое воскресенье закрывает ипотеку и кредиты своих подписчиков».

Также пользователям предлагают за деньги пройти опрос по удовлетворенности работой детских садов, проголосовать за лучшее детское питание и получить возврат денег за покупку детской одежды. Ссылки в таких сообщениях ведут на канал об удаленной работе, из которого россиян перенаправляют в другие инвестскам-каналы.

‼️На мошеннические каналы подписаны десятки тысяч человек, а некоторые из ресурсов даже имеют регистрацию РКН.

😉 Борьба с киберпреступностью

⚡️F6 и ФинЦЕРТ Банка России заключили соглашение о взаимодействии по противодействию компьютерным атакам.
 
В рамках информационного обмена F6 будет сообщать ФинЦЕРТ об угрозах и атаках в финансовой сфере, выявленных при защите клиентов.

Соглашение предусматривает:
▪️сбор, обработку и обмен информацией об инцидентах;
▪️обмен опытом по вопросам противодействия и предупреждения нарушений, связанных с фишингом и распространением ВПО;
▪️проведение консультаций, семинаров, конференций по вопросам противодействия компьютерным атакам.

💚 Всё это поможет оперативно реагировать на возникающие угрозы в финансовой сфере, не допускать их распространения, а также минимизировать потери финансовых организаций и их клиентов.

Валерий Баулин, генеральный директор компании F6:

Каждый день подразделения нашей компании, защищая клиентов от кибератак, обнаруживают новые угрозы на самых разных направлениях. Сотрудничество F6 с ФинЦЕРТ Банка России — продолжение миссии нашей компании по противодействию киберпреступности. Такое взаимодействие создает дополнительные возможности по повышению уровня ИБ финансового сектора и позволит оперативно актуализировать информацию о ландшафте угроз с учетом данных информационного обмена.

😉 Борьба с киберпреступностью

👀 Как не угодить в APK-кан? Рекомендации с опорой на топ популярных схем.

Злоумышленники могут использовать различные схемы, чтобы установить вредоносную программу на устройства пользователей. Один из распространенных вариантов компрометации — заражение Android-устройства трояном удаленного доступа (RAT) с помощью APK-файла под видом легальных приложений: банков, платежных систем, сервисов доставки, развлекательных платформ и т.д.

Совместно с RuStore разобрали, как злоумышленники устанавливают ВПО на ваш смартфон ⬇️

▪️Модификации NFCGate. Используя социальную инженерию, киберпреступники убеждают жертву установить вредоносный APK-файл под видом полезной программы и получают доступ к NFC, платежной системе и банковским картам.

▪️Предложение заработать. Злоумышленники размещают объявления о поиске сотрудников на удаленку. После отклика направляют ссылку, ведущую на сайт, замаскированный под магазин приложений Google Play. Там под видом легитимного приложения пользователю предлагают скачать вредоносный APK-файл, позволяющий перехватить данные карты, sms и пуш-уведомления.

▪️Опросы за вознаграждение. Пользователям от имени крупной организации предлагается за деньги принять участие в опросе. В основе схемы — вредоносное APK-приложение со встроенной фишинговой веб-страницей, которая запрашивает доступ к СМС и контактам мобильного устройства пользователя.

Как защититься от вредоносного ПО:
💚 Регулярно обновляйте операционные системы и приложения.
💚 Загружайте ПО только из официальных источников. Так, российский магазин RuStore обязательно проверяет разработчиков, разрешения приложений и отсутствие вирусов. А их ручная модерация отсекает перегруженные рекламой аппы или программы с устаревшими правилами безопасности.
💚 Будьте осторожны со входящим контентом: не открывайте подозрительные вложения и ссылки в письмах и мессенджерах.
💚 Установите антивирус.

😉 Борьба с киберпреступностью

Через 1️⃣ неделю стартует курс о персональных данных. Как взаимодействовать с ними и предотвратить утечки — научим⬇️

Основы персональных данных: законодательство, обязанности и ответственность

Когда? 13 августа 2025.
Кто? Роман Сюбаев, руководитель отдела соответствия и консалтинга F6
Зачем? Чтобы узнать о действующих нормативных актах, видах персональных данных и роли обработчиков, а также разобраться в требованиях, предъявляемых к обработке данных, и формах ответственности за их нарушение.

➡️ Детали о курсе-лекции и его стоимость можно уточнить, написав на почту edu@f6.ru или заполнив форму на сайте.

Как выследить и поймать атакующих в корпоративной сети?

Найти их следы поможет Network Traffic Analysis. Решение обнаруживает вредоносную активность, аномалии и скрытые каналы в трафике.

Как NTA «выслеживает» киберпреступников — читайте во второй части блога «Как защитить сетевой трафик».

Разбираем ключевые сценарии. Так, NTA обнаруживает опасность, когда:

▪️атакующие только ищут уязвимости на внешнем периметре инфраструктуры;
▪️злоумышленники перемещаются внутри сети;
▪️хакеры пытаются обойти защиту;

Также в статье: как NTA помогает найти теневые активы компании, собрать информацию для расследований и многое другое.

➡️ ЧИТАТЬ ЧАСТЬ 2: Обзор NTA

В первой части блога рассказали о сложных угрозах в сети.

❗️ Замена ключа от домофона может обойтись в круглую сумму. Так, недавно москвичка отдала мошенникам 5 кг золота, $200 тыс., €20 тыс. и ₽4 млн после звонка незнакомца, который сообщил о замене домофона и попросил назвать код из СМС для получения новых ключей.

Недавно мошенники попытались поймать на потере бдительности нашего эксперта Сергея Золотухина. Что произошло и какие рекомендации всем россиянам дает Сергей — читайте в новой «Кибершпаргалке».

🎙 В этом году команда топ-менеджеров банка ВТБ прошла обучение на курсе «Противодействие кибергурозам» от компании F6.

⚙️ Зачем руководителям финансовых учреждений проходить обучение по информационной безопасности и что полезного они смогли внедрить в своей работе, рассказал заместитель руководителя департамента интегрированного управления рисками — вице-президент банка ВТБ Александр Логинов.

В интервью:

▪️Три причины, по которым команда ВТБ выбрала курс от F6.
▪️Фишки и инсайды курса по противодействию мошенничеству в банковской сфере.
▪️Кому в первую очередь необходимо обучение.

Смотреть здесь ⬇️

📺 VK Видео
📺 RuTube
📺 YouTube

➡️ Узнать больше о курсах F6

😧 Киберпреступники продолжают наживаться на Лабубу. На этот раз специалисты F6 обнаружили криптоскам с трендовой игрушкой.
 
В Digital Risk Protection F6 зафиксировали новый сценарий, ориентированный на владельцев криптовалюты. Аналитики обнаружили ресурс, предлагающий AirDrop (бесплатную раздачу) мем-токена Labubu.

❗️ Такой действительно существует, но найденный сайт не имеет к нему отношения. Когда пользователь пробует получить токен, фейк-ресурс открывает официальное расширение криптокошелька, установленного в браузере жертвы, после чего запрашивает разрешение на подключение кошелька к сайту.

Мария Синицына, старший аналитик Digital Risk Protection F6:

Согласие пользователя позволяет злоумышленникам получить информацию о балансе и истории операций. Опираясь на эти данные, сайт либо выдаст сообщение, что аккаунт не соответствует требованиям, если на криптокошельке нет средств, либо попросит еще пару разрешений, после чего все или большая часть средств будут переведены на счета мошенников.

😉 Борьба с киберпреступностью

🎥 Как россияне получают фиш вместо Лабубу — показываем в скринкасте.

Киберпреступники быстро адаптируют схемы под тренды и инфоповоды. Когда по всему миру завирусились игрушки Лабубу, злоумышленники моментально начали использовать их как приманку.

Сейчас уже выявлена схема криптоскама с Лабубу, а в начале июня жертвы лишались денег и Telegram-аккаунтов, пытаясь просто купить игрушку. Подробнее — в скринкасте.

😉 Борьба с киберпреступностью