На какие сценарии приходится 90% атак мошенников на физлиц? В F6 всё подсчитали, систематизировали все актуальные схемы и собрали — «Матрицу фрода».

«Матрица фрода» (Fraud Matrix) — база знаний, в которой разобраны все актуальные схемы финансового мошенничества и более сотни техник, которые используют злоумышленники.

⚙️ Новый бесплатный инструмент F6 для всего антифрод-сообщества позволяет распознать начало атаки и предшествующие факторы: как злоумышленники получили чувствительные данные, планировали свои шаги и каких целей добиваются.
  
🔍 База знаний F6 Fraud Matrix содержит информацию о наиболее актуальных мошеннических схемах — в том числе реальные примеры атак с переписками мошенников и другими данными, которые позволяют детально оценить суть схемы.

Матрица будет развиваться и дополняться самими пользователями. Вот что можно сделать:

💚 добавить описание новой схемы;
💚 категоризировать ее по каналам и брендам, которые используют мошенники;
💚 разложить атаку по техникам, которые используют мошенники.

➡️ ПЕРЕЙТИ В «МАТРИЦУ ФРОДА»

‼️Регистрация только с корпоративной почты

Киберпреступники стали чаще использовать детей в своих схемах 😧 Количество таких инцидентов в месяц выросло в шесть раз с декабря 2024-го.
 
Как атакуют детей?
Младших школьников атакуют через онлайн-игры (Roblox, Minecraft и др.) — знакомятся в игровых чатах и предлагают принять участие в розыгрыше игровой валюты, скинов, бустов.

Дети постарше подвержены схеме FakeBoss — их атакуют от лица сотрудников школы, органов власти и других структур. У ребенка просят код из СМС, а потом угрожают тем, что родителям грозит обвинение в пособничестве террористам, и требуют выполнить инструкции (зайти в банковское приложение с телефона родителей, перевести деньги, сделать скриншоты, сообщить личную информацию и т.д.). Подробнее о таких схемах — в базе знаний Fraud Matrix F6.

Как ситуация выглядит в цифрах?
▪️За полгода аналитики F6 зафиксировали в России около 3500 инцидентов, в которых преступники управляли несовершеннолетними, чтобы получить доступ к счетам родителей.
▪️Ежемесячное число атак через детей увеличилось почти в 6 раз — до 580.
▪️Чаще всего мошенники атакуют детей в возрасте 10-14 лет.
▪️Средний размер ущерба с начала года вырос почти в 2,5 раза — с ₽80 тыс. до ₽190 тыс., а общий может превышать ₽600 млн.

😉 Борьба с киберпреступностью

⚡️ Кейс Sminex и F6: как обезопасить бренд девелопера элитной недвижимости.
 
Для защиты от нелигитимного использования бренда в киберпространстве Sminex использует решение F6 Digital Risk Protection. Вместе компании исследовали наиболее популярные мошеннические схемы в сфере премиального строительства.

Ключевые киберриски в сфере недвижимости:

🔴 потеря персональных данных, которые можно использовать далее в разных сценариях телефонного мошенничества;
🔴 потеря денег через, например, бронирование лота;
🔴 установка вредоносного ПО на смартфон или компьютер.

В 2024–2025 гг. F6 заблокировала 63 мошеннических ресурса, которые использовали бренд Sminex. Приводим самые популярные схемы:

1️⃣ Сайты- и аккаунты-клоны.
Злоумышленники копируют официальный сайт девелопера — дублируют оригинальный дизайн, заимствуют фото и рендеры домов и предлагают оставить заявку для получения презентации. Аналогичное мошенничество происходит и в соцсетях с фейковых аккаунтов, групп и чатов девелопера.
 
2️⃣ Фейковые партнерские программы.
Злоумышленники предлагают клиентам участие в несуществующих программах лояльности или акциях, привлекая внимание фиктивными бонусами. Также они отправляют клиентам письма или сообщения от лица девелопера, предлагая перейти по вредоносным ссылкам.
 

Станислав Гончаров, руководитель F6 Digital Risk Protection:

Наша совместная работа со Sminex — пример зрелого подхода к защите бренда в киберпространстве. Мы видим своей задачей не просто борьбу с фейками, но и создание эталонных стандартов цифровой безопасности для защиты девелоперов и их клиентов.

➡️ Детали сотрудничества и его полные результаты — читайте в «Истории успеха» на сайте.

Экcперты F6 и Ideco расскажут, как защитить бизнес от киберугроз в 2025 году.

28 августа в 11:00 пройдет вебинар компаний F6 и Ideco. Один из его участников — ведущий пресейл-инженер F6 Михаил Милеев.

Почему этот вебинар нельзя пропустить:

〰️Киберугрозы в 2025 году эволюционировали — классические методы фильтрации уже не спасают. Эксперты расскажут, как этому противостоять.
〰️Вы узнаете не просто о текущих вызовах, но и о превентивных технологиях, способных сохранить бизнес.
〰️Цель вебинара — помочь перейти от устаревшей защиты к современным решениям и свести к минимуму риски.

Что на повестке:

💚 Анализ угроз 2025 года: что изменилось и как защитить бизнес?
💚 Почему классическая фильтрация трафика уже не работает — и что взамен?
💚 Эволюция технологий защиты: к чему адаптироваться сегодня?
💚 Как выбрать решение, которое подходит именно вашей компании?

РЕГИСТРАЦИЯ

Хочется безопасности, а не компромиссов? Этот вебинар — ваш шанс задать нужный вектор развития ИБ-стратегии 😎

📢 Кибератака — это жестокий сценарий, а не случайность. Хакеры проникают в сеть, блокируют системы и шифруют файлы. Последствия — финансовые потери, репутационный удар и даже закрытие бизнеса.

▪️ В первом полугодии было зафиксировано 154 новые публикации баз данных российских компаний на андеграундных форумах и в Telegram-каналах.
▪️ 37% утечек пришлось на ритейл-компании — одну из главных мишеней хакеров.
▪️ 198+ млн строк данных оказались в открытом доступе.

У каждой компании есть выбор:

🔴 Игнорировать киберугрозы — потерять клиентов, получить судебные иски и банкротство.
💚 Защитить бизнес — внедрить мониторинг 24/7, оперативное реагирование, получить защищенный периметр и непрерывную работу.

Как F6 обеспечивает комплексную защиту по всем векторам атак — читайте здесь.

Мошенники угоняют Google-аккаунты предпринимателей, приглашая их в фейковый Zoom.
  
Новый сценарий зафиксировали аналитики Digital Risk Protection F6. Цель злоумышленников — руководители и владельцы малого и среднего бизнеса.

Схема работает так ⬇️

1️⃣Мошенник связывается с потенциальной жертвой в Telegram, разыгрывая роль потенциального клиента. Он просит, например, проконсультировать его по услугам компании и предлагает сделать это в Zoom.

2️⃣Ссылку на встречу злоумышленник присылает сам, объясняя это бизнес-версией сервиса, в которой удобнее общаться. Ссылка содержит «лишние» символы и немного отличается от легитимной.
 
3️⃣Перейдя по ссылке, пользователь должен пройти несколько капч, а затем — ввести данные для входа в Google-аккаунт на фишинговой странице.

‼️Капча в данном случае может использоваться для противодействия автоматизированным инструментам информационной безопасности.

4️⃣После ввода данных учетной записи Google у жертвы запрашивают код подтверждения, который приходит в Telegram и нужен злоумышленникам для угона аккаунта в мессенджере.

‼️Для дополнительного давления на пользователя мошенник может писать или звонить с просьбой поторопиться.

Мария Синицына, старший аналитик Digital Risk Protection F6:

Мы видим новую комбинированную фишинговую схему, нацеленную на пользователей в «бизнес-среде». Сценарий повторяет классические тактики мошенников. При этом явно ненастоящая ссылка на Zoom, необходимость вбивать логин и пароль, даже если они были сохранены в браузере, подозрительная капча, код Telegram — всё это должно заставить задуматься.

😉 Борьба с киберпреступностью

❗️ Звонки от «сотрудников банка», кража данных карт и конфиденциальной информации — эти и другие техники мошенничества уже собраны в едином антифрод-пространстве F6 Fraud Matrix.

В новой открытой базе знаний для всего антифрод-сообщества представлено уже более 10 актуальных схем мошенничества, и это только начало.

➡️ Регистрируйтесь в F6 Fraud Matrix с корпоративной почты

Анализируйте готовые схемы мошенничества, дополняйте матрицу новыми, боритесь с преступниками и защищайте свой бизнес 😎

Самый SOC 🔥 Как работают аналитики Центра кибербезопасности? Рассказывает команда F6!

В новом выпуске подкаста «Шестой отдел» в гостях у ведущего Дмитрия Черникова специалисты Центра кибербезопасности компании F6 — Алексей Федосеев и Владислава Смирнова.

Эксперты рассказали, как они пришли в кибербез, чем Центр кибербезопасности отличается от классического SOC и как изнутри выглядит процесс мониторинга и реагирования на ИБ-инциденты.

Хайлайты выпуска:

▪️ С какими киберугрозами приходится чаще всего сталкиваться в 2025 году?
▪️ Из каких этапов состоит реагирование на инцидент?
▪️ Мифы и легенды SOC.
▪️ Советы ребятам, которые хотели бы стать аналитиками SOC.

➡️ СМОТРЕТЬ В VK ВИДЕО
➡️ СМОТРЕТЬ НА RUTUBE
➡️ СМОТРЕТЬ НА YOUTUBE

⚡️ Папа не смог, но попытку засчитали. F6 обнаружила новый стилер — результаты исследования и индикаторы компрометации в материале.

🔍 В июне 2025 эксперты F6 Threat Intelligence зафиксировали серию вредоносных рассылок с вложениями на русском и английском языках. Внутри оказался новый стилер Phantom Stealer, основанный на коде Stealerium.

В рамках этой кампании, которую мы назвали Phantom Papa, злоумышленники нацелились на организации из сфер ритейла, промышленности, строительства и IT. Среди зараженных — устройства из 19 стран, включая Россию, Беларусь, Азербайджан. Среди зараженных устройств были найдены и виртуальные машины исследователей, что говорит об интересе специалистов к стилеру.

➡️ Анализ ВПО опубликован на платформе MDP F6 (F6 Malware Detonation Platform).

Phantom Stealer умеет:

▪️ красть пароли, криптокошельки, куки, данные мессенджеров;
▪️ записывать нажатия клавиш (кейлоггер);
▪️ обходить анализ (антианализ + поддержка обфускаторов);
▪️ запускаться при старте системы;
▪️ использовать Telegram, Discord или SMTP для передачи данных.

➡️ Эксперты F6 Threat Intelligence провели технический анализ Phantom Stealer — результаты исследования и индикаторы компрометации (IOC) уже доступны в новом блоге.

⚡️ F6 на Tech2b Conf 2025!

2 сентября в 15:30 бизнес-руководитель Департамента киберразведки F6 Евгений Чунихин примет участие в круглом столе «Практическая безопасность: ИТ и ИБ в тесной связке».

Евгений расскажет:

▪️ как злоумышленники собирают информацию о жертве;
▪️ как долго они сидят в ИТ-инфраструктуре до момента атаки;
▪️ как вовлеченность топ-менеджмента (или ее отсутствие) влияет на кибербезопасность бизнеса;
▪️ что компаниям делать сейчас для повышения своей киберустойчивости.

💚 Регистрируйтесь и приходите — поделимся прикладными советами и практическими инсайтами.

⚡️Бренды под ударом ⚡️ F6 проанализировала мошеннические атаки на российские компании — исследование.

Благодаря разнообразию бизнеса в России злоумышленники регулярно пополняют схему новыми шаблонами и брендами. Подробнее о тенденциях фишинговых и скам-атак, а также об основных угрозах для российских брендов — читайте в отчете на сайте F6.
 
Главные цифры ⬇️

▪️ За I полугодие 2025-го злоумышленники создали в среднем по 2299 фишинговых ресурсов и 1238 скам-ресурсов на один бренд.
▪️ Ежедневно в сети появлялось в среднем по 13 фишинговых и 7 мошеннических ресурсов на каждый бренд.
▪️ Число мошеннических ресурсов выросло на 6,8%, фишинговых — на 7,9% год к году.
▪️ 50% всех фишинговых и 32% скам-атак приходится на ритейл.
▪️ Число вновь зарегистрированных фишинговых доменов в зоне .ru сократилось почти вдвое — с 95% до 49%.
▪️ Резко выросла активность по регистрации фишинговых доменов в зонах .click (16%), .sa.com (13%), .pro (6%) и .info (5,5%).

Станислав Гончаров, руководитель Digital Risk Protection F6:

Мошеннические схемы постоянно эволюционируют, и в последние годы важным фактором стало активное внедрение ИИ. Цель киберпреступников остается прежней — масштабировать, автоматизировать атаки и увеличить объемы похищенных средств. Особенно опасны атаки, в которых злоумышленники действуют от имени известных компаний: это несет серьезные финансовые и репутационные риски как для бизнеса, так и для его клиентов.

⤵️ СКАЧАТЬ ИССЛЕДОВАНИЕ

В августе россияне хотели бесплатно смотреть на мозазавра, птерозавра кетцалькоатля и титанозавра 😀

Фильм «Мир Юрского периода: Возрождение» оказался лидером по числу пиратских копий за прошедший месяц. Ему уступила даже «Миссия невыполнима» с Томом Крузом и бюджетом почти полмиллиарда долларов.

Вот как топ-10 выглядит полностью:

1️⃣ «Мир Юрского периода: Возрождение»
2️⃣ «Миссия невыполнима: Финальная расплата»
3️⃣ «Супермен»
4️⃣ «Лило и Стич»
5️⃣ «Хищник: Миссия „Осирис“»
6️⃣ F1
7️⃣ «28 лет спустя»
8️⃣ «Ограбление»
9️⃣ «Счастливчик Гилмор 2»
1️⃣0️⃣ Микаэла

Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составляет список фильмов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено в этом месяце.

😉 Борьба с киберпреступностью

Чего не хватает компаниям для эффективной защиты? Объясняем!

Даже с дорогими инструментами компании сталкиваются с инцидентами. И вот почему это происходит.

1️⃣ Процессы ИБ еще не выстроены.
Установка антивирусов и других инструментов не означает, что вопрос безопасности закрыт. Это заблуждение.

2️⃣ Есть ИБ-отдел, но времени и ресурсов не хватает.
Часто фокус смещается на рутину: команда тратит время не на расследование, а на то, чтобы распознать ложные срабатывания.

3️⃣ Отсутствует экспертиза в расследовании.
Даже заблокированная активность — это не финал атаки. Если нет должного анализа событий, никто не остановит злоумышленников — они сменят тактику и найдут лазейку.

Как выстроить эффективный мониторинг и реагирование?
Рассказываем в новой статье.

Внутри ⬇️

▪️сигналы недостаточной защиты;
▪️три кита киберзащиты;
▪️как F6 обеспечивает кибербезопасность на основе XDR.

➡️ ЧИТАТЬ СТАТЬЮ

Threat Intelligence vs. TI Platform. Что выбрать бизнесу — разбираемся.

Команды безопасности всё чаще путают два разных инструмента. В итоге получают красивую панель, но без уникальных данных, или, наоборот, аналитику, которую сложно встроить в процессы. И это 👎

🟣 Threat Intelligence (TI) — это разведка: собственные данные об угрозах, собранные аналитиками. Она отвечает на вопросы — кто атакует, зачем и как. Это качественное «топливо» для защиты.

🟣 Threat Intelligence Platform (TIP) — это инфраструктура: автоматизация, интеграции, графы и визуализации. Но без внешних источников она сама данные не создает.

‼️ TIP без TI превращается в пустую оболочку. А TI без TIP — в набор ценных, но трудно применимых сведений.

Бизнесу нужна связка: TI отвечает за глубину и контекст, а TIP — за интеграцию данных в инфраструктуру и ускорение реагирования.

💚 F6 Threat Intelligence — это уникальные данные и аналитика, собранные нашими экспертами. Их можно сразу подключить к SIEM, SOAR, XDR и другим системам.

➡️ ЧИТАТЬ СТАТЬЮ ПОЛНОСТЬЮ

❗️ Final call на наши сентябрьские курсы. Осталось несколько мест 💚

1️⃣ Сетевая криминалистика

Когда? 9–10 сентября.
Кто? Михаил Николаев, старший тренер по кибербезопасности F6.
Зачем? Чтобы эффективно собирать сетевые цифровые доказательства для расследования инцидентов; расследовать инциденты различной сложности, используя сетевые артефакты; применять данные киберразведки для повышения точности расследования.

2️⃣ Исследование атак шифровальщиков

Когда? 23–25 сентября.
Кто? Михаил Николаев, старший тренер по кибербезопасности F6.
Зачем? Чтобы разобратьтся в тактиках злоумышленников, освоить хостовую криминалистику и научиться атрибутировать атакующих на реальных кейсах.

🟣 Детали о курсах и их стоимость можно уточнить, написав на почту edu@f6.ru или заполнив форму на сайте.

Под маской благотворительности 😧 F6 зафиксировала новый сценарий финансового мошенничества с переводами в «Русфонд».

Что произошло?
В августе сотрудники благотворительного фонда «Русфонд» обратились в F6 за консультацией. В течение семи месяцев им поступали странные перечисления (₽13–14 тыс.) с пометкой «Платеж себе». Впоследствии пользователи просили вернуть эти пожертвования, так как перевод якобы произошел против воли.
 
Как работает схема?
〰️Злоумышленники завлекают рекламой, которая предлагает получить дивиденды от продажи природных ресурсов, участие в фейковой программе «ГосБонус» или несуществующие соцвыплаты.

〰️Откликаясь на рекламу, жертва переходит на фейковый сайт и оставляет контакты — так с ней связываются сотрудники мошеннического колл-центра.
  
〰️Преступники представляются сотрудниками инвестпроектов российских банков и сообщают, что выплаты производятся через благотворительные фонды. Для активации счета нужно сделать перевод в фонд (реквизиты реальные).
 
‼️Первая «инвестиция» действительно «растет» — положительную динамику злоумышленники показывают для укрепления доверия.

〰️В дальнейшем преступники предлагают вывести «заработанное». Пользователя просят зайти на фишинговый сайт и ввести данные паспорта, карты, СМС-код.
 
Сколько похитили? 
Только в «Русфонд» с февраля по август 2025 года поступили переводы минимум от 356 человек на общую сумму ₽4,6+ млн — эти деньги пострадавшим теперь возвращает организация. Все детали о новой схеме — в релизе.

😉 Борьба с киберпреступностью

👀Как не стать жертвой дипфейка?

Недавно киберпреступники пытались атаковать нашего эксперта Сергея Золотухина. Они взломали Telegram-аккаунт его знакомого, выгрузили реальные голосовые сообщения и пытались использовать голос для обмана всего списка контактов.

➡️ История полностью и рекомендации F6 — в новом выпуске «Кибершпаргалки».

Почему утечки данных продолжаются, несмотря на DLP и штрафы? Прямой эфир AM Live — с кейсами, практикой и экспертизой от F6.

‼️Потери от утечек становятся всё серьезнее: страдают крупные компании, госструктуры, финсектор. От внутренних факторов часто не спасают даже системы защиты.

Что не так с текущим подходом к защите конфиденциальных данных и что влияет на эффективность технологий — обсудят эксперты.

Участие в эфире примет Роман Сюбаев, руководитель отдела оценки соответствия и консалтинга F6. И вот что он подготовил:

▪️ разбор ошибок внедрения;
▪️ примеры реальных инцидентов;
▪️ рекомендации по построению системы защиты, которая не будет фикцией.

➡️ РЕГИСТРАЦИЯ

📢 «Пароль от архива отправили вам в мессенджере»

Атакующие идут на ухищрения, чтобы обойти автоматическую проверку вложений:

▪️отправляют архив в письме, а пароль к нему — в мессенджере или SMS;
▪️пишут иносказательно: «пароль — нынешний год».

Новый функционал F6 Managed XDR поможет остановить угрозу при таких сценариях. Как именно — смотрите в видео 🎥

Архив будет проверен, даже если не удалось найти пароль в письмах и соседних вложениях.

Как это работает:
1️⃣Если не удалось расшифровать вложение автоматически, оно заменяется на ссылку.
2️⃣Получатель по ссылке переходит на портал, где вводит пароль, полученный любым способом.
3️⃣Файл временно расшифровывается и передается в MDP для поведенческого анализа.
4️⃣Вредоносное ПО будет обнаружено и заблокировано.

Как настроить:
▪️UI → Настройки → Модули → NTA → Основные настройки → Почта
▪️UI → Настройки → Модули → BEP → Основные настройки → Политика и обнаружение

Оцените новый уровень работы с архивами!

➡️Узнать больше о F6 Managed XDR

⚡️Практический кейс! Как обнаружить активность и следы компрометации на ранней стадии — объясняем.

Злоумышленники часто проникают внутрь через заброшенные сервисы и уязвимый внешний периметр. Выявить такую активность на ранней стадии — ключ к защите.

В нашей новой статье на «Хабр» специалисты Центра кибербезопасности F6 на реальном кейсе подробно разбирают, как проактивный мониторинг помогает выявить и локализовать инцидент до того, как он станет проблемой.

➡️ ПРОЧИТАТЬ КЕЙС