На проверке Платёжный фрод 2025: тренды атак на быстрые платежи и P2P-переводы

Стремительная цифровизация финансового ландшафта России провоцирует эволюцию мошеннических схем. Скорость и удобство, предоставляемые платежными инструментами, привлекают миллионы пользователей. И киберпреступников.

Масштабы угрозы в цифрах​

По данным Центробанка, в III квартале 2025 года злоумышленникам удалось совершить 460,1 тыс. мошеннических операций без добровольного согласия клиентов, что на 51% больше по сравнению со средним значением за последние 4 квартала. Общий объем украденных средств за три квартала 2025 года составил 21,4 млрд рублей, что уже на 41% больше всего прошлого года. Объем похищенных средств со счетов граждан через Систему быстрых платежей (СБП) составил 7,3 млрд рублей, через дистанционное банковское обслуживание – 7,8 млрд рублей. С банковских карт в указанный период похищено средств на 5,3 млрд рублей, с электронных кошельков – 98,6 млн рублей. У компаний украдено 712,8 млн рублей.

Российские банки отразили более 110 млн попыток совершения мошеннических операций, предотвратили хищение 11,5 трлн рублей. Получается, что на каждый украденный рубль приходится несколько сотен рублей, которые банкам удалось заблокировать. Доля мошеннических операций СБП в общем объеме операций по переводу денежных средств с использованием СБП составила около 0.01%. Стоит отметить, что благодаря совершенствованию систем банковской безопасности объем сохраненных финансов ежегодно растет на триллионы.

Согласно исследованию аналитического центра НАФИ, 94% россиян сталкивались с мошенничеством за последний год.

Топ-5 схем 2025 года в России​

1. Угрозы уголовной ответственностью: Мошенники звонят от имени банков или силовых структур, запугивают уголовной ответственностью за "финансирование терроризма" или "нарушение закона", убеждают переводить деньги на "безопасные" или "защищенные" счета.
2. Инвестиции и быстрый заработок: Предложения "гарантированной прибыли" через криптовалюту, лже-инвестиционные платформы, которые приводят к потере денег.
3. Блокировка счетов: Обман под предлогом взлома, подозрительных операциях, блокировки банковских счетов или карт с требованием срочного перевода средств на "безопасные" счета во избежание их неминуемой утраты.
4. Замена оборудования: Фейковые уведомления от снабжающих организаций о проверках инженерных систем, угрозах аварии, необходимости замены оборудования (счетчики, домофоны), а также о якобы существующих задолженностях или штрафах.
5. Выгодные условия: Предложения удаленной подработки, обещания социальных выплат от имени государственных структур и продажа лимитированных товаров по специальной цене.

Фрод через СБП: Социнженерия в паре с мгновенными переводами​

Если раньше кардинг был технологической дуэлью, то фрод через СБП – это чистой воды психология. Здесь ключевая уязвимость не в API, а в голове у пользователя. Суть в том, чтобы под кризисным прессингом ("ваш счет взламывают", "посылка не будет доставлена") заставить жертву самой, быстро и не глядя нажать кнопку подтверждения в самом надежном интерфейсе – ее же мобильном банке. Деньги улетают мгновенно и необратимо.

Основной вызов здесь – скорость проведения операций, которая практически не оставляет времени на реакцию. В 2025 году выделяются три доминирующие схемы атак.

Поддельные QR-коды: Речь не только о стикерах на кассах в магазинах и парковках. Мошенники внедряются в цепочки коммуникации, рассылают письма с QR для "оплаты доставки", "комиссии" или "налога". Пользователь сканирует код камерой, а его ведет не на легитимный платежный шлюз, а на сайт-клон, который либо сразу формирует платежку с реквизитами злодеев, либо вытягивает данные карты.

Подмена реквизитов в СБП-ссылках: Эта схема – эволюция классического фишинга. Жертва получает якобы от продавца, службы поддержки и доставки ссылку вида qr.nspk.ru/.... Платежная ссылка настоящая, ведет на легальный ресурс СБП, но с уже подставленными в параметрах реквизитами злоумышленника. Пользователь видит знакомый интерфейс своего банка и подтверждает. Работает на безусловном доверии к домену.

Мошенничество через СБП в маркетплейсах: Здесь фродеры используют инфраструктуру доверия к крупным площадкам. Покупатель получает письма о якобы оформленной доставке популярного товара с ссылкой для "подтверждения" данных. При переходе со смартфона происходит автоматическая переадресация на сайт, копирующий маркетплейс, где предлагается принять участие в розыгрыше или получить "подарок". Согласившись, жертва оказывается на другом поддельном ресурсе, визуально напоминающим интерфейс оплаты через СБП, для внесения "госпошлины" или "страхового платёжа", которые уйдут на счета мошенников.

Как примеры, известны случаи подмены QR-кодов для оплаты проезда в общественном транспорте, на афишах, парковках, в ресторанах и сервисах шеринга. Даже на доске объявлений у своего подъезда обнаруживают домовой сбор "на замену ключей от домофона". Сканирование либо приводит на фишинговые сайты для кражи данных, либо для отправки денег подставным организациям и третьим лицам.

Что противопоставить этому?

• Проверка реквизитов – автоматический скоринг в реальном времени. Система в момент формирования платежа должна проверить получателя по внутренней базе дропов, сверить с реестром ФинЦЕРТ ЦБ и оценить по графу связей: не светится ли этот счёт в подозрительных цепочках?
• Белые списки мерчантов – динамическая система репутационных меток, которая в режиме реального времени оценивает счет получателя. Легитимный ритейлер с историей – высокий скоринг доверия. А вот ИП-однодневка, которая за неделю получила 500 переводов по СБП с пометкой "за товар" и тут же обнулила счёт, – это чёткий сигнал для автоматического попадания в чёрный список и блокировки всей цепочки.

Мошенничество с P2P-переводами​

P2P – это прямо, быстро и необратимо. Когда "от физлица физлицу" становится проблемой банка. P2P-переводы стали стандартом для клиентов благодаря своей скорости и удобству. Человеческий фактор и скорость платежей играют на руку мошенникам. Разберем основные схемы, которые сейчас в топе.

Как работает схема "Перевели по ошибке, верните": Распространенная схема, использующая порядочность жертвы и естественное желание помочь в затруднительной ситуации. Жертва получает на свой счет деньги от "реального" фродера (часто с использованием украденных карт или счетов). Затем дроп или сам фродер, используя подставной номер, звонит жертве – владельцу счета, на который только что пришли деньги: "Ой, я вам по ошибке перевел 5/10/20 тысяч рублей, верните, пожалуйста, у меня лимиты горят/ребенок в больнице/жена пилит/деньги последние. Вы же не хотите понести ответственность за незаконное обогащение". Создается sense of urgency (чувство срочности). Жертва видит реальный входящий перевод. Она, будучи добропорядочным гражданином, быстро переводит такую же сумму на указанные мошенником реквизиты (свой, чистый, авторизованный перевод). Итог для жертвы: свои собственные деньги отправлены мошеннику, входящий перевод банк позже (когда его источник вскроется) отзовет или заблокирует, жертва теряет всю сумму.

Account Takeover (ATO) через SIM-своп, фишинг OTP: Здесь все жестче – мошенники просто захватывают контроль над банковскими учетными записями жертвы. Сначала собирают данные (фишинг, малварь, утечки, да и в OSINT умеют не хуже нас). Звонят от имени банка и под предлогом "подозрительной активности" выманивают все: логины, пароли, и заветные OTP (One-Time Passwords): "Для защиты от мошенников мы высылаем вам OTP, просто продиктуйте его мне".

SIM-swap: Более технологичный вариант. Несмотря на усилия операторов, схема жива. Мошенник убеждает оператора связи перевыпустить SIM-карту жертвы (социнженерия против саппорта оператора). Или без лишних разговоров прибегает к услугам по перевыпуску SIM-карт через инсайдеров в даркнете. Получив контроль над номером, он получает все СМС с OTP для входа в онлайн-банк, сброса паролей и подтверждения транзакций. Дальше дело техники: быстрый вход в аккаунт и вывод всех доступных средств через P2P/СБП на подставные счета. В 2025 добавились атаки на eSIM.

Для фишинга OTP применяют поддельные приложения банков (установленные с сомнительных сайтов), которые просто пересылают введённые логин/пароль/OTP злоумышленнику.

Денежные мулы. Вербовка через Telegram/VK: Бизнес на потоке, как HR-агентства. Рекрутинг идет конвейером, ищут легкие деньги. Рынком труда являются Telegram-каналы, VK-группы с объявлениями о "быстром заработке", "работе курьером с ежедневной оплатой" или "помощью в финансовых операциях", о подработке "оператором платежей", "менеджером по зачислениям". Привлекают студентов, людей в сложном финансовом положении, мигрантов. Работа не пыльная – принять на карту деньги от "бизнес-партнера", "работодателя", "криптобиржи", обналичить и передать курьеру или перевести дальше, оставив себе процент (обычно 5-10%). Люди осознанно или по наивности становятся звеньями цепи отмывания. Это не просто клиенты-жертвы, это пособники. "Мулы" являются полноценными соучастниками преступления и несут уголовную ответственность, в то время как настоящие организаторы остаются в тени. Эволюция 2025: Мулов вербуют даже не для перевода, а для аренды аккаунта (доступа к интернет-банку) на несколько часов за фиксированную плату.

Дроп-счета – базовая инфраструктура для любого фрода. Схема обнала через P2P – это использование этих счетов для "размазывания" украденных средств (фактически выполняют функцию P2P-миксера). Деньги, полученные от жертвы, летят сначала на первый дроп-счет. Затем быстро, часто автоматизированными скриптами, дробятся на мелкие суммы и отправляются на N-е количество других дроп-счетов через P2P-переводы. Это повышает сложность отслеживания первоисточника среди этого каскада мелких транзакций. Конечная точка – это либо обнал через банкоматы, либо вывод в крипту (P2P-платформы на криптобиржах – отдельная боль).

Что можем этому противопоставить?

• Внедряйте жесткие velocity limits (лимиты по скорости): Ограничения на количество и сумму транзакций в час/сутки/месяц, в том числе динамические. Помогают замедлить вывод денег при ATO и дроблении средств.
• Используйте behavioral biometrics (поведенческая биометрия): анализируем, как клиент держит телефон, как печатает, с какой скоростью кликает. Мошенник, даже имея логин/пароль, будет вести себя иначе, чем легитимный пользователь. Это позволяет детектировать ATO в реальном времени, еще до подтверждения платежа.
• Ужесточайте KYC (Know Your Customer): На этапе онбординга (открытия счета/карты) и в процессе мониторинга. Нужно качественное подтверждение личности. Усиление процедур верификации при смене номера телефона, перевыпуске SIM-карт, обновлении данных, всплеске активности "мертвого" аккаунта. Также важно мониторить дроп-аккаунты, выявлять их сети, схемы и блокировать их при выявлении подозрительной активности.

Authorized push payment (APP) fraud: когда клиент – сам себе враг​

APP-фрод – это не взлом, это манипуляция. Жертва не просто передает данные, а осознанно, под давлением авторизует и совершает платеж в пользу преступников. Система видит идеальную транзакцию: правильный пароль, OTP, код из СМС. Риск-менеджер молчит. А деньги уходят. В 2025 году в России это абсолютный лидер по объему ущерба.

Vishing: звонки от "службы безопасности банка". Это база, коллеги. Хотя мы уже устали от этих "полковников", схема живее всех живых. Звонок, на телефоне жертвы светится правдоподобный номер, представляются СБ банка/ЦБ/МВД. Сообщают о "подозрительной активности", "попытке оформления кредита" или "списания с вашего счета". Далее по плану, для предотвращения атаки жертве необходимо перевести все средства на специальный "безопасный" счет очередного "денежного мула". Жертва в стрессе, с целью защитить свои деньги, выполняет инструкции мошенников.

Помимо "защиты счета", работают и другие сценарии:

• Упор на срочность и панику: "Действовать нужно немедленно, иначе ваши деньги уйдут навсегда". Отключают критическое мышление.
• Ошибка банка: "Мы по ошибке зачислили вам сумму, верните ее, иначе будет возбуждено уголовное дело".
• Требование госоргана/полиции: "Говорит полковник Фродов из МВД. Ваш счет используют для отмывания украденных средств". Используется авторитет и страх.
• Получение выигрыша: Требуют оплатить "налог" или "комиссию" за приз.
• Инвестиционная ловушка: Жертву постепенно склоняют к переводу денег на "проверенную инвестиционную платформу" с гарантированным доходом.
• Романтические отношения: Долгая игра. "Ты у меня единственная такая. Приеду – женюсь. Отправь денег на покупку билетов".

Схема эксплуатирует основные инстинкты:

• Страх: Потеря сбережений, арест, проблемы у близкого. Отключает рациональное мышление.
• Доверие к авторитету: Внезапный звонок от службы безопасности, знание всех персональных данных. Создает иллюзию легитимности, вызывает состояние легкого шока и подчинения.
• Срочность: Давление не оставляет времени на проверку. Паника отключает логику.
• Когнитивная перегрузка: Мошенники намеренно используют сложный профессиональный жаргон, чтобы запутать жертву.

В момент атаки жертва не считает себя жертвой. Она уверена, что совершает необходимые действия для защиты своих интересов. Банк, который пытается ее остановить, выглядит в ее глазах препятствием или даже соучастником мошенников.

Доля APP fraud: Фактически, свыше 60-70% всех финансовых потерь от мошенничества, которые несут граждане под воздействием обмана, можно отнести к APP-фроду. Средний ущерб на один успешный кейс составляет от 150 до 300 тысяч рублей.

Контрмеры для защиты:

• Customer Education (Обучение клиентов): Банально, но факт. В момент перевода новому контрагенту крупной суммы – всплывающее окно с четким текстом: "Банк НИКОГДА не просит переводить деньги на "защитные счета". Это мошенники. Вы уверены?".
• Confirmation of Payee (Верификация получателя): Это система, где при вводе реквизитов клиент видит не только номер, но и замаскированное, но узнаваемое имя владельца счета. Хотя единого федерального стандарта CoP пока нет, регуляторный тренд и рекомендации ЦБ ведут к его появлению. Ведущие банки внедряют пилотные решения.
• Refund Policies (Политики возмещения) с деликатным балансом: Если банк всегда возвращает средства при APP fraud, то клиенты окончательно потеряют бдительность. Если никогда не возвращает – репутационные риски и гнев ЦБ. Если клиент проявил явную небрежность (проигнорировал 33 предупреждения CoP, диктовал коды по телефону), возмещение частичное или нулевое. Если банк не предоставил очевидных инструментов проверки (не было CoP, не сработал триггер на аномалию), – возмещает полностью. Это стимулирует обе стороны к осторожности.

Подделка биометрических данных и дипфейки – когда твое лицо и голос работают на фрод​

Переходим к технологическому фроду, который набирает обороты и скоро станет такой же болью, как и социнженерия. Мошенники используют ИИ, чтобы создать фейковую личность на основе украденных данных.

Deepfake для обхода живого присутствия (liveness detection): Пассивный liveness – предъявить фотографию/видео на экране другого устройства. Атаки на активный liveness – новая реальность. Мошенники массово используют генеративные AI для обхода систем идентификации. Например, для прохождения видеоидентификации при регистрации в банке или восстановлении доступа. Из инструментария: всевозможные облачные сервисы по созданию дипфейков (в даркнете на любой вкус). Загружаются исходное видео и целевая "маска" – лицо подставного человека. Образцы голоса, фото и видео мошенники берут из соцсетей и мессенджеров. Нейросеть создает синтетическое видео, где подставное лицо двигается как клиент. Современные дипфейки имитируют моргание, повороты головы, мимику.

Face swap для видеоидентификации: Более простая, но не менее эффективная техника. Приложение (например, Reface, DeepFaceLab) накладывает (в реальном времени или при постобработке) лицо жертвы на видео с лицом мошенника. Используется для онлайн-идентификации, например, для одноразового прохождения KYC при открытии счета – более чем достаточно. Система KYC сверяет кадр с фото в документах и подтверждает личность. На выходе – легитимный, верифицированный аккаунт, контролируемый фродерами.

Deepfake – генерация полностью синтетического видео с нуля. Face swap – наложение лица жертвы на видео актора в реальном времени.

Синтетический голос против голосового банкинга: Используя короткий аудио-образец голоса жертвы (интервью, голосовые сообщения, публичные выступления), мошенники с помощью отраслевых инструментов (типа ElevenLabs и аналогов) генерируют синтетический голос (synthetic voice), который звучит абсолютно естественно. С помощью него они звонят в колл-центры, проходят голосовую идентификацию в голосовых помощниках банков и получают доступ к счету или совершают операции.

Зафиксированы единичные, но успешные случаи получения онлайн кредитов с использованием дипфейк-видео. Публично известен случай с оформлением кредита под залог недвижимости на известную российскую личность с помощью технологии face swap.

Контрмеры:

• Active liveness detection с challenge-response: Переход от пассивной проверки к активной. Отказ от примитивных команд, внедрение случайных и комплексных сценариев. Генерация deepfake-видео, без задержек реагирующего на такие команды, – вычислительно сложная задача.
• Multi-modal biometrics (Мультимодальная биометрия): Комбинирование нескольких биометрических факторов, которые сложно подделать одновременно. Например, лицо + голос + поведенческая биометрия (манера держать телефон, скорость scroll).
• Внедрение AI-детекторов: обнаружение микроскопических артефактов, характерных для генеративных моделей – неидеальная работа с фоном, неестественные блики в глазах, дискретность мимики.
• Обучение операторов поддержки: Обучение сотрудников колл-центров и службы верификации, навыкам выявления подозрительного поведения или оценки качества изображения/звука.

Merchant fraud: когда продавец – мошенник или пособник​

Merchant fraud – это использование легитимных или фейковых мерчантов для отмыва денег, тестирования карт или прямой кражи средств.

Фейковые онлайн-магазины, интернет-сервисы, доски объявлений: Мошенники создают одностраничники-однодневки, имитирующие известные бренды, или подделывают страницы популярных сервисов объявлений. Клиента заманивают на этот фишинговый лендинг якобы для "безопасной сделки" или покупки дефицитного товара. Клиент вводит данные своей карты или делает перевод через "форму оплаты". Деньги уходят мгновенно, домен "сгорает" через пару дней, товар ждут неделями, клиент в пролете.

Chargeback abuse (Friendly fraud) – верните деньги, товар не доставлен: Это боль эквайеров и мерчантов, и в 2025 году тренд только усилился. Покупатель получает товар/услугу (цифровой ключ, онлайн-курс, онлайн-консультацию), обращается в банк-эмитент с заявлением на возврат (чарджбэк) по причине "Товар не получен"/ "Я не совершал покупку" и оспаривает транзакцию. Особенно распространено в digital-товарах, где доказать доставку сложно. Это приводит к росту dispute процедур, потерей денег мерчантом (при чарджбэке с продавца спишут не только сумму транзакции, но и комиссию за возврат) и расходами для банка-эквайера. В мире платежей процент принудительных возвратов – показатель риска компании для многих платежных систем.

Проверка карт через аккаунты мерчантов – фрод-лаборатория на базе цветочного: Мошенники получают базу скомпрометированных карт, которые нужно проверить на валидность. Они используют подконтрольные им мерчант-аккаунты (взломанные или купленные), прогоняют через них мелкие транзакции для отбора "живых" карт, которые потом используют для крупных покупок или вывода средств. Аккаунт мерчанта превращается в инструмент преступления и получает блокировку со стороны эквайера за подозрительную активность.

Как с этим бороться:

• Merchant risk scoring (скоринг мерчантов): Это не разовая KYC при подключении, а постоянный мониторинг нового мерчанта и анализ его транзакций на предмет аномалий. Банки-эквайеры и платежные шлюзы внедряют системы скоринга для интернет-магазинов, анализируя множество параметров: скорость наступления чарджбэков, геолокация владельца бизнеса, возраст домена, паттерны транзакций.
• 3DS Enforcement: Обязательное использование протокола 3D Secure 2.0 для новых мерчантов. В случае фейковых магазинов, банк-эмитент видит риск и может отклонить аутентификацию. Против френдли-фрода: успешное прохождение 3DS - аргумент для отклонения чарджбэка по причине "транзакция не авторизована". Против тестирования карт: 3DS добавляет фактор, физически недоступный мошеннику, блокирует массовые автоматические попытки. Нет аутентификации – нет платежа.

Crypto-fraud и P2P-обменники​

Крипта остается одним из ключевых инструментов для вывода средств, полученных нелегальным путем. Классические биржи с жёстким KYC становятся барьером в отмывании. Поэтому фокус сместился на P2P-платформы, где контроль слабее, а цепочка может быть разорвана между разными юрисдикциями. В криптофроде P2P-обменники используются как нелегальный процессинг. Идеальная среда за счет децентрализации, множества способов оплаты и высокой ликвидности.

Отмывание криптовалюты, полученной от кардинга, вымогательства или мошенничества, путем ее конвертации в "чистый" фиат, происходит по следующей цепочке:

1. Получение криптовалюты от жертвы.
2. Для запутывания следов средства могут проводиться через криптомиксеры или конвертировать в другие криптовалюты (например, из BTC в XMR – Monero, которая обеспечивает повышенную анонимность).
3. Выход на P2P-площадку в роли продавца крипты, распространение объявлений по тематическим сообществам.
4. Поиск дропов, часто через Telegram-чаты, готовых принять денежный перевод на банковскую карту или счет.
5. Невинный контрагент, желающий приобрести крипту, находит объявление и переводит ему рубли с карты на карту.
6. Фродер отпускает крипту покупателю. Разрыв цепочки.

Аналогично работает горячая схема "треугольника": кардинг → покупка криптовалюты на зарубежных биржах со слабой KYC-политикой → мгновенная продажа на P2P-платформе.

В итоге "грязная" крипта у фродера обменялась на "чистые" рубли на счету подконтрольного дропа, а покупатель получил желаемый актив, ничего не подозревая. Крипто-кошелек фродера и банковский счет дропа формально не связаны. Процесс занимает минуты, а высокий спрос обеспечивает быстрый вывод крупных сумм.

Цепочка "фиат - крипта - фиат" использует разницу в регулировании между странами для разрыва связи между "грязным" входным и "чистым" выходным фиатом. Схема работает в три этапа:

1. Вход в крипту: Преступные доходы в фиате конвертируются в криптовалюту через P2P-платформы и "серые" обменники в юрисдикциях со слабым AML.
2. Транзит и маскировка: Купленная крипта двигается по блокчейну для усложнения расследования. Используются миксеры, цепочки переводов между кошельками, конвертация в конфиденциальные монеты, обмены между разными платформами с противоречивым или либеральным регулированием.
3. Выход в "чистый" фиат: Крипта конвертируется через P2P-платформы обратно в фиат, но уже в другой стране или через другую платежную систему.

В 2025 году Центральный банк и Росфинмониторинг усилили давление на P2P-платформы. Основная цель – не запретить оборот криптовалюты, а разрушить инфраструктуру теневого оборота и отмывания средств. P2P-обмен формально не запрещен, но он должен быть прозрачным и соответствовать букве закона. Фродеры, использующие P2P для обнала, сталкиваются с огромными рисками блокировок счетов дропов и попаданием в черные списки банков.

Давление на P2P-сегмент через законодательные механизмы:

• 115-ФЗ. О противодействии отмыванию. Банки блокируют счета физических лиц, подозреваемых в крипто-операциях. Это главный операционный риск для дропов. Последствия: запрос документов, объяснений, а разблокировка возможна при подтверждении легитимности операций.
• 161-ФЗ. О Национальной платежной системе. Если банк выявляет мошеннические действия или участие в "треугольнике" (например, когда средства от жертвы уходят на P2P-счет), данные клиента (дропа) вносятся в этот реестр. В 2025 году механизм работает так, что этому человеку будет практически невозможно открыть счет в любом другом российском банке. Это серьезный удар по инфраструктуре фрода, которая держится на массовом использовании "дропов". Это наиболее тяжёлое последствие для участника P2P: выход из реестра сложен и требует действий от банка-инициатора.

Векторы давления на P2P:

• Усиление KYC/KYB: Обязательная верификация как продавцов, так и покупателей.
• Внедрение AML-систем: Мониторинг подозрительных операций и обязательная блокировка транзакций с признаками отмывания.
• Выдача информации: Регуляторы давят через международные каналы. Биржи, которые хотят работать легально на разных рынках, вынуждены сотрудничать.
• Мониторинг транзитных счетов: Акцент сместился с простого выявления подозрительных операций на превентивную блокировку транзитных счетов.

География и демография фрода – где горит и кто в группе риска​

В лидерах по платежному мошенничеству выделяются Москва и Санкт-Петербург. Это локомотивы по абсолютному числу инцидентов и объему похищенных средств. Под ударом также Краснодар и крупные промышленные и IT-центры, такие как Екатеринбург и Казань. Мошенники часто "атакуют" крупные города из-за высокой экономической активности и концентрации жертв, больших доходов и активного использования банковских сервисов.

Распределение жертв по возрасту в 2025 году имеет двугорбую кривую – рискуют и самые старшие, и самые молодые, но по разным причинам.

• Старшее поколение (50+) – основная и самая болезненная аудитория. Часто низкая цифровая грамотность, но высокие накопления. Упор на страх, непонимание технологий, что мешает проверить информацию, безоговорочное доверие к тому, кто представился сотрудником банка или госоргана. Канал – массовое голосовое и телефонное мошенничество.
• Молодёжь (18-30) – эта группа редко попадает под классическую СИ, но они легко становятся дропами или мулами из-за схем быстрого заработка. Их слабость – низкая финансовая грамотность, импульсивность и доверие к контенту из чатов. Атакуют через мобильные приложения и соцсети.

Основные каналы атак:

• Колл-центры (вишинг): Это по-прежнему кит, на котором держится тьма фрода. По разным оценкам, в 2025 году с данным каналом сталкивались около 87% россиян, до 90% всех мошенничеств так или иначе связаны со звонками или фейковыми обращениями. Этот канал генерирует основной ущерб. Звонки смещаются в мессенджеры, где доля атак за год выросла в 3,5 раза. Восходящий тренд – звонок финансовому директору или кассиру с голосом, синтезированным на основе публичных записей реального генерального директора. "Директор" в панике требует срочно перевести крупную сумму на новый "контрактный" счет через СБП для спасения сделки.
• Веб-банкинг (фишинг): Фишинговые ссылки, рассылки в мессенджерах (более 142 тыс. случаев за 2025 год), фейковые сайты для "безопасной сделки" (Авито, Юла и т.д.), дублирование сайтов СБП. Веб-канал используется для компрометации данных и последующих АТО-атак. Поддельные сайты банков, Госуслуг, инвест-платформ. Этот канал используется как для получения данных карт (кардинг), так и для последующей СИ.
• Мобильный банкинг: Финальный аккорд большинства схем – это заставить жертву совершить P2P-перевод или платеж через СБП в приложении. Уязвимость не в самом приложении, а в голове у клиента. Фродер через социнженерию выманивает у клиентов коды из СМС и PUSH, заставляет жертву лично сделать перевод в любимом, доверенном приложении.

В 2025 году эти каналы работают не как изолированные векторы, а как единый гибридный конвейер, где каждый канал обслуживает свою задачу в схеме обмана, выполняет свою функцию по доставке социальной инженерии до жертвы.

Defense in depth: Многоуровневая стратегия защиты​

Защита от современного комплексного платежного фрода – это не один инструмент, не один мощный фильтр, а глубокоэшелонированная оборона, многослойный пирог безопасности, где прорыв одного рубежа компенсируется следующим.

Layer 1: Обучение клиентов – первый и самый хрупкий: Это про создание у клиента условного рефлекса на подозрительные сценарии, так, чтобы при словах "служба безопасности", "безопасный счет" у него срабатывал красный флажок в голове.

Что делать: умные непрерывные кампании по повышению финансовой грамотности, цифровой гигиене и донесение ключевых правил безопасности, контекстные предупреждения в потоке совершения P2P-перевода или платежа по СБП, регулярные, таргетированные видео рассылки с короткими кейсами актуальных схем, распространение информационных материалов в СМИ и популярных блогах.

Цель: выработать у клиента критическое мышление и понимание триггеров фрода.

Layer 2: Технический контроль – ядро антифрода: Здесь включаются системы фрод-мониторинга, здесь живут ML-модели и сценарные анализаторы. Их задача – анализ транзакций и поведенческого паттерна клиента в реальном времени, чтобы отсечь аномалии до того, как деньги уйдут.

Методы обнаружения фрода (Fraud Detection): транзакционные антифрод-системы, анализ на базе "чёрных" или "белых" списков, на базе статических правил, проверка сведений об устройстве и программном обеспечении. Поведенческий анализ (Behavioral Analytics): построение цифрового профиля поведения, уникальной манеры использования устройства, профилирование пользователей, оценка риска, мониторинг и выявление подозрительной активности, не соответствующей нормальным паттернам в реальном времени, адаптивные меры безопасности.

На выходе из этого слоя должно быть не просто бинарное "фрод/не фрод"" а обогащенный риск-профиль операции с метками: "подозрение на социнженерию", "возможная связь с дроп-сетом", "аномалия поведения". Профиль передается дальше – в процессинг для динамического лимита или специалисту на ручной разбор.

Этот слой ловит то, что не видит человек – цифровую тень социальной инженерии.

Layer 3: Процедурный контроль – последний рубеж до списания: Если автоматика Layer 2 не смогла однозначно принять решение, но риск остается высоким, в дело вступают люди. Суть в приостановке подозрительной операции и ручной верификации операции.

Как это работает на практике:

• Триггер: Клиент пытается сделать P2P-перевод через СБП на сумму, скажем, 500 000 рублей, на счет, который помечен в системе банка как высокорисковый или новый для клиента.
• Холд (Hold): Система автоматически ставит операцию на временную блокировку. Деньги еще не ушли.
• Ручной анализ (Manual Review): Антифрод-аналитик видит эту транзакцию в своем воркфлоу и за несколько минут проводит расследование, глубокую перекрестную проверку паттерна истории клиента с внутренними и внешними БД, сопоставляет инцидент с текущими фрод-трендами: не похожа ли схема на текущую волну атак через фейковые страницы аренды жилья или манипуляции с крупными переводами самому себе через СБП?
• Верификация через звонок клиенту (Call-backs): Не просто "Вы подтверждаете платеж?", а искусство коммуникации для срыва атаки. Аналитик должен выдернуть жертву из гипнотического потока, вывести из-под влияния мошенников, которые уже проинструктировали как себя вести и что говорить. Разговор прямой и нацеленный на срыв атаки. Важны правильные вопросы, которые собьют жертву с толку, озвучивание схемы мошенников, что вызывает у клиента когнитивный диссонанс и пробуждает критическое мышление.
• Принятие решения: на основе контекста аналитик решает: отклонить, запросить дополнительную верификацию или пропустить, но пометить для наблюдения. Его главная задача – отличить сложную легитимную операцию (например, крупный перевод риелтору при покупке квартиры) от изощренного мошенничества.

Почему без этого нельзя? Мошенники специально адаптируют свои схемы под автоматические фильтры. Они изучают лимиты, используют "теплые" счета, симулируют нормальное поведение. Только человеческая логика, способная увязать воедино десятки разрозненных, неочевидных аномалий, может их остановить

Слой, где мы платим за лояльность и спасенный репутационный капитал. Да, он дорогой (содержание команды аналитиков), не масштабируется бесконечно и субъективен. Но в 2025 году, когда атаки стали кастомными, именно он спасает клиентов в самых сложных случаях.

Layer 4: Восстановление – гонка со временем: Это слой управления последствиями, damage control. Когда все предыдущие эшелоны провалены: клиент отдал деньги, автоматика пропустила, аналитики не успели дозвониться или клиент их "отшил", веря мошенникам – мы должны минимизировать ущерб, вернуть деньги (если это реально) и сохранить лояльность клиента.

Ключевые компоненты:

1. Работа с банком-получателем: Запускаем процесс возврата средств через ФинЦЕРТ ЦБ и обращаемся в банк, куда ушли украденные деньги. Если деньги еще не выведены из банка-получателя (не обналичены дропом), шансы на возврат высокие.
2. Четкая, но гибкая политика возмещения (Refund Policies): Набор правил, когда банк берет убытки на себя. Позиция "клиент всегда виноват" убивает лояльность. Нужна внутренняя политика: если в цепочке событий видна четкая работа мошенника (есть подтверждение фишингового звонка от оператора, скриншот фейковой страницы), а клиент не проявил грубой небрежности – рассматриваем возможность компенсации за счет страхования. Это инвестиция в удержание.
3. Страхование (Insurance): Разработка специальных страховых продуктов, которые покрывают риски финансового мошенничества.
4. Помощь в заявлении в правоохранительные органы: Клиент получает не просто справку, а собранный кейс-пакет с временными метками, номерами телефонов мошенников, IP-адресами. Резко снижается операционная нагрузка на контактные центры, увеличивается шанс на расследование дела правоохранительными органами.

Сильный Recovery – конкурентное преимущество. Это сигнал рынку: "С нами безопасно не потому, что вас никогда не обманут, а потому что мы всегда будем на вашей стороне и сделаем всё, чтобы исправить ситуацию".

Регуляторные меры и compliance: новые правила игры​

Российское законодательство активно догоняет цифровые угрозы, формируя жесткие рамки для борьбы с фродом.

161-ФЗ "О национальной платежной системе"​

Один из ключевых инструментов, который регулятор дал нам для отсечения инфраструктуры мошенников. Основные изменения в 2025 году сосредоточены вокруг базы данных ФинЦЕРТ ЦБ "О случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента". Она превратилась в инструмент прямой превентивной блокировки.

Вот как это выглядит в разрезе конкретных статей:

• Банк обязан отказать в выдаче карты или открытии счета, если данные клиента есть в базе ЦБ. Мошенник или дроппер, попавший в базу, не сможет открыть новый счет в любом банке РФ, даже у нового оператора (ч. 2.1 ст. 9).
• Банк вправе приостановить использование банковской карты, онлайн-банкинга и других электронных средств платежа в том случае, если сведения о клиенте или его платежных средствах содержатся в базе данных. Для клиентов из базы данных ЦБ банк обязан установить ограничение в 100 тыс. рублей на общую сумму переводов физлицам в месяц. Это резко снижает емкость счета "дропа", делает его экономически невыгодным для мошенников (ч. 11.6 ст. 9).
• При этом банк обязан приостановить использование клиентом электронного средства платежа, если в базу данных Банка России поступила информация от МВД России. Раньше это было правом банка, теперь – директивой. Банки обязаны действовать по сигналу регулятора. Это значит, что правоохранительные органы по факту обращения пострадавшего уже занимаются расследованием факта мошенничества. Уведомлять клиента о блокировке, раскрывать клиенту причину, правовое основание и разъяснять порядок обжалования – тоже обязанность банков (ч. 11.7 ст. 9).

Если раньше требования ЦБ по предотвращению фрода были для нас в основном списком того, что нельзя делать, то в 2025 году они превратились в инструкцию о том, как делать хорошо, чтобы получить бонусы. Регулятор чётко даёт понять: эффективный антифрод – это не только про compliance, но и про конкурентное преимущество.

1. Об установлении требований к обеспечению защиты информации при осуществлении банковской деятельности (Положение № 851-П)
   Ключевой документ, который в 2025 году заменил Положение № 683-П и установил обновленные, обязательные требования к защите информации для борьбы с переводами без согласия клиента. Положение сводит воедино требования к защите информации, соответствующие ГОСТ Р 57580.1-2017. Оно устанавливает дифференцированные уровни защиты (стандартный, усиленный, минимальный) в зависимости от значимости банка и обязывает проводить регулярные пентесты. Техническая отсталость теперь тождественна комплаенс-риску.
2. О критериях оценки эффективности мероприятий по противодействию заключению договоров потребительского кредита без согласия клиента (Указание № 7108-У)
   ЦБ внедряет систему мотивации "кнута и пряника", где "пряник" – реальные бизнес-выгоды. Если банк не менее двух кварталов подряд демонстрирует эффективность борьбы с "несогласованными" кредитами, у него отсутствуют неисполненные предписания и неоднократные инциденты, он может получить от ЦБ послабления: смягчение "периода охлаждения" для кредитов (клиент быстрее получает деньги) и право использовать собственные, более гибкие методики защиты. Проще говоря: Докажи регулятору, что твоя система антифрода стабильно и результативно работает, и получи возможность давать своим клиентам более быстрый и удобный сервис. Твой эффективный антифрод становится драйвером бизнеса. Эффективная работа = лучший клиентский опыт = конкурентное преимущество.
3. Основные признаки мошеннических операций (Приказ ЦБ № ОД-2506, вступает в силу с 1 января 2026 года)
   Банки обязаны настроить свои автоматизированные системы (скоринг, сценарный анализ) на детектирование операций, соответствующих этим признакам. Фактически, это официальный чек-лист для вашего Layer 2 (Technical Controls).
4. Об информировании клиентов при ограничении операций (Информационное письмо ЦБ № ИН-01-59/98)
   Требование регулятора о прозрачности, которое напрямую влияет на fraud prevention-процессы и репутационные риски. Банк должен чётко, со ссылкой на конкретную норму закона, объяснить клиенту причину ограничения (точное разграничение 161‑ФЗ и 115‑ФЗ). Клиент, который понимает, что банк защищает его деньги от мошенников, а не "просто заблокировал", – лояльнее.

Регулятор перешел от рекомендаций к прямым директивам, которые нужно технически имплементировать. Комплаенс в 2025 году – это союзник антифрода, минимальный стандарт безопасности, который банки обязаны обеспечить. Игнорировать эти требования – значит подставлять под удар весь банк, а не только отдел антифрода. Дешевле внедрить продвинутый антифрод, чем возвращать каждый второй перевод за счет чистой прибыли банка. Работаем четко по указаниям ЦБ, обмениваемся данными с ФинЦЕРТ, процедуры соблюдаем.

Прогноз угроз на 2026​

Пока банки латают дыры в системах платежей и воюют с дропами, фродеры уже вовсю обкатывают инструментарий, который станет общей проблемой в 2026-м.

• Автоматизированная социнженерия (AI-powered fraud): Мошенники переходят от ручной работы к ИИ-конвейеру, от использования ИИ в единичных атаках к его применению как нормы, чтобы наращивать скорость, масштаб и убедительность операций. Раньше успех зависел от человеческого фактора с обеих сторон: оператор-мошенник vs жертва. Теперь автоматизация всего цикла атаки через AI-агентов, которые заменят штат мошенников. AI может проводить тысячи звонков или вести беседы с полностью персонализированными легендами в мессенджерах, генерировать сотни тысяч уникальных обращений, анализировать ответы жертвы (скорость набора текста, интонацию голоса, выбор слов) и корректировать свою линию поведения, он не устает, не болеет и не отвлекается. Кроме того, в даркнете появляются сервисы "Fraud-as-a-Service", где один оператор управляет цепочкой AI-инструментов, что ведет к демократизации и массовой дешевой автоматизации фрода.
• Фрод на базе будущих квантовых угроз (Quantum-Resistant Fraud Schemes): Здесь имеем дело не с сиюминутной атакой, а с системным риском, который назревает прямо сейчас и переходит из разряда "теории" в разряд "обязательной подготовки". Стратегия "Harvest Now, Decrypt Later": хотя квантовые компьютеры пока не представляют непосредственной угрозы, мошенники могут собирать и хранить зашифрованные сегодня данные (логины, пароли, ключи сессий, данные авторизации), рассчитывая на скорое появление коммерческих квантовых мощностей для их расшифровки, подделки цифровых подписей и осуществления легитимных с точки зрения аутентификации транзакций. Это в первую очередь риск отложенной атаки и эксплуатации неготовности инфраструктуры к новым стандартам.
• Фрод платежи через Интернет вещей (IoT Payment Fraud): В 2026-м увидим массовые атаки на слабые звенья в цепочке IoT, несанкционированные транзакции и кражу конфиденциальной платежной информации через устройства Интернета вещей. Мошенничество с IoT-платежами в основном связано со слабыми протоколами безопасности подключенных устройств. Мир обложился умными гаджетами с привязанными картами. Мошенники будут красть сессии и токены подключённых устройств (умные колонки, ТВ, автомобили), чтобы инициировать легитимные для платёжных систем, но мошеннические по сути транзакции. Для банка это легитимные recurring-платежи. Ботнет из "умных" девайсов генерит микротранзакции, которые идеально мимикрируют под легитимное потребление. По отдельности – копейки, в масштабе сети – миллионы.

Фокус на 2026​

2025-й стал годом, когда атаки через социнженерию стали абсолютной нормой, а мошенники показали рекордную активность. Эпоха реактивного антифрода заканчивается. Выиграет тот, кто построит проактивную и адаптивную систему.

Дорожная карта на 2026:

1. Инвестируйте в AI и поведенческую аналитику. Классические правила (rule-based системы) уже не справляются с динамичными и персонализированными атаками. Против AI-мошенников нужны AI-же средства. Нужны самообучающиеся системы, работающие на принципах Graph AI и Network Analysis, чтобы видеть аномалии в цепочках событий и связях между аккаунтами. В 2026-м каждый перевод нужно оценивать не изолированно, а в контексте цифрового поведения (digital footprint) клиента: паттерны набора текста, привычное время операций, "цифровой почерк".
2. Трансформируйте роль клиента – из слабого звена в часть защиты. Самый совершенный технический контроль ломается об умелую социнженерию. Клиент – ваш первый и главный союзник в борьбе с фродом. Встраивайте в парадигму обучения интерактивные форматы, создавайте контекстные предупреждения в потоке операций, персонализируйте защиту для групп риска, внедряйте концепцию "персонального антифрода" и индивидуальные сценарии безопасности.
3. Обучайте сотрудников. Операторы поддержки, специалисты офисов – первые, кто слышит панику клиента. Их нужно регулярно тренировать распознавать признаки психологического воздействия на клиента и иметь чёткие регламенты действий.
4. Интегрируйтесь в экосистему защиты. Сотрудничайте с ЦБ, НСПК, другими банками и мобильными операторами. Подготовьтесь к подключению к ГИС "Антифрод". Обмен данными в режиме реального времени о мошеннических схемах, индикаторах компрометации и подозрительной активности абонента повысит защиту всей экосистемы. Требуйте от партнеров передачи расширенной телеметрии (device fingerprint) об IoT-инициаторе платежа. Без этих данных вы слепы к новому классу IoT-рисков.
5. Готовьтесь к ужесточению регулирования. Требования ЦБ РФ будут только ужесточаться. И это необходимый ответ на вызовы цифровой эпохи. Проактивный подход к compliance позволит не только избежать штрафов, но и выстроить более надежную защиту.

Мошенники не стоят на месте, и их методы становятся все более изощренными и технологичными. Задача антифрода – сделать атаку на банк максимально сложной, дорогой и невыгодной. Только комплексный, упреждающий и адаптивный подход позволит банкам и их клиентам оставаться в безопасности. В 2026 году эффективный антифрод – это конкурентное преимущество и щит репутации. Банк, который вложится в AI-аналитику поведения, глубокую интеграцию с государственными и отраслевыми системами и проактивную работу с клиентом, не просто снизит потери. Он получит лояльность клиентов и реальные регуляторные преференции.