80% поддельных сайтов, смена лидеров, миграция из мессенджеров. Главные тренды российского кибермошенничества

F6 фишинг скам ритейл бренды домены
80% поддельных сайтов, смена лидеров, миграция из мессенджеров. Главные тренды российского кибермошенничества
F6 фишинг скам ритейл бренды домены

Домены .ru стали «токсичными» для мошенников. Куда они теперь переезжают?

image

Компания F6 опубликовала исследование о мошеннических атаках на российские компании в первом полугодии 2025 года. По данным отчета, около 80% всех создаваемых ресурсов эксплуатируют бренды известных компаний. Лидером по числу атак стал ритейл: на его долю пришлось 50% фишинговых и 32% скам-активности.

Аналитики подсчитали, что за шесть месяцев 2025 года злоумышленники в среднем создавали по 2299 фишинговых ресурсов и 1238 скам-ресурсов на один бренд. Ежедневно запускалось около 13 фишинговых и 7 мошеннических площадок. По сравнению с аналогичным периодом 2024 года число мошеннических ресурсов увеличилось на 6,8%, фишинговых — на 7,9%.

Фишинг и скам относятся к разным видам интернет-мошенничества: в первом случае цель состоит в получении логинов, паролей и другой конфиденциальной информации, во втором — в хищении денег.

Долгое время главным объектом атак оставался финансовый сектор, но его доля снижается. В первой половине 2025 года на банки и другие финансовые организации пришлось 32% фишинговых атак и примерно столько же скам-активности. На первое место по уязвимости вышел ритейл, где разнообразие компаний позволяет преступникам постоянно добавлять новые шаблоны и бренды. В частности, в группах, действующих по схеме «Мамонт» с фальшивой доставкой товаров, задействовано 4 бренда из финансовой сферы и 15 брендов из ритейла, включая маркетплейсы, онлайн-магазины и крупные торговые сети. Эти же бренды используются для поддельных акций, розыгрышей и «подарков».

В 2025 году 57% мошеннических ресурсов приходилось на веб-сайты — на 3,5% больше, чем годом ранее. Одновременно сократилась активность в мессенджерах: с 35% в первой половине 2024 года до 20% в 2025-м. Это были поддельные аккаунты, каналы и чат-боты, созданные от имени известных брендов. При этом почти вдвое выросла доля ресурсов в соцсетях — с 8% до 17%.

Аналитики отмечают, что мессенджеры остаются более удобным инструментом для мошенников из-за медленной блокировки аккаунтов и ботов. В соцсетях, напротив, блокировка проходит быстрее, и злоумышленникам приходится создавать множество поддельных аккаунтов, чтобы успеть охватить хотя бы часть аудитории.

По выбору доменных зон традиционно лидирует .ru, однако число зарегистрированных фишинговых доменов в ней сократилось почти вдвое — с 95% до 49%. В F6 связывают это с усилением противодействия: срок жизни мошеннических сайтов в Рунете стал заметно короче. Поэтому киберпреступники всё чаще переходят на другие доменные зоны, где блокировка занимает больше времени. Наиболее заметен рост регистрации доменов в зонах .click (16%), .sa.com (13%), .pro (6%) и .info (5,5%).

По оценке специалистов компании, мошеннические схемы продолжают эволюционировать, и одним из ключевых факторов этого процесса стало внедрение инструментов искусственного интеллекта. Злоумышленники стремятся масштабировать и автоматизировать атаки, чтобы увеличивать объёмы похищенных средств. Особенно опасными остаются атаки от имени известных компаний, которые несут не только финансовые, но и репутационные риски для бизнеса и его клиентов. При этом защищённые бренды постепенно теряют привлекательность для киберпреступников: из-за быстрого обнаружения и блокировки атаковать их становится менее выгодно.