Расскажем о новых сценариях атак, которые используют злоумышленники в первом полугодии 2026.
Даниил БориславскийВ этом дайджесте мы говорим об атаках, связанных с пользователями, а не с технологиями, потому что больше 80% случаев утечек данных начинается с ошибки пользователя. Также мы говорим об атаках, рассчитанных на конечного пользователя, казалось бы, что они не всегда напрямую угрожают бизнесу. Но любой бизнес состоит из людей. Часто организацию «ломают» через сотрудника, которого смогли «взломать» с помощью схемы. И кроме этого когда человек начинает понимать, как защитить от мошенников себя, он начинает понимать, как защищать свою организацию.
Теперь об атаках.
В этом сезоне мошеннические схемы эволюционировали в двухходовую комбинацию. Сначала жертву втягивают в схему, но быстро бросают, не прикладывая много усилий. В результате человек понимает, что его действительно пытались вовлечь в мошенническую схему.
Затем те же мошенники снова выходят на контакт, но уже прикрываются тем, что представляют службу восстановления доступа или следственные органы, которые хотят поймать мошенников. Они манипулируют эмоциональным состоянием жертвы и вызывают доверие, потому что якобы помогают решить прошлую проблему. Так жертву втягивают уже в настоящую схему.
При этом старые схемы тоже продолжат использоваться, пусть и с меньшей эффективностью. Плюс за окном потеплело, через две недели начнется первый летний месяц, поэтому ожидается всплеск схем с переклеенными QR-кодами на прокатных самокатах и велосипедах.
Что делать с этим обычному человеку?
Рекомендуем обращать внимание, куда ведут QR-коды. Они должны вести не на сайты с подозрительными файлами, а в легитимное приложение, Play Market или App Store.
Также важно помнить: если с вами вышли на контакт и представились сотрудниками техподдержки или следственных органов сразу после якобы начатой мошеннической схемы, это должно вызвать подозрение. Такая скорость работы и то, что вами моментально заинтересовались и вышли на контакт, тоже выглядит подозрительно.
Небезопасные пароли от LLM
В ходе эксперимента выяснилось, что пароли, сгенерированные LLM можно взломать за несколько часов. Исследователи просил три модели (Claude, ChatGPT и Gemini) сгенерировать пароль из 16 символов, содержащий заглавные и строчные буквы, цифры и спецсимволы. Они повторили действие 50 раз. Сервисы анализа надежности паролей дали паролям высокую оценку. Но при анализе оказалось, что ИИ выдают лишь 20-30 уникальных паролей из 50. У большинства совпадали первые и последние символы.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Письмо продавцу на Авито
Мошенники связываются с «жертвой», которая продает товары на Авито. В мессенджере приходит сообщение от «покупателя» с ссылкой на Авито, которая ведет на поддельный сайт «Госуслуг». «Жертва» кликает, но попадая на странный сайт уходит с него.
Через некоторое время «жертве» пишут и сообщают, что украли через Госуслуги все документы, чтобы взять кредиты. Это блеф, чтобы создать панику.
После этого приходит СМС: «обнаружена авторизация учетной записи Госуслуги, срочно свяжитесь по номерам...». Если «жертва» не звонит, ей перезванивает «девушка из Роскомнадзора» с претензиями и давлением. В этом последнем шаге и заключается основное воздействие на «жертву».
Смартфоны с установленным шпионом
Мошенники звонят или пишут в мессенджере и убеждают «жертву», что его деньги «под угрозой». Курьер привозит «защищенный» Android-смартфон якобы для общения с банком. На телефоне уже установлена шпионская программа LunaSpy, записывающая все действия пользователя. Программа незаметно включает камеру, микрофон, записывает экран, читает СМС, перехватывает пароли. По данным F6 по стране число заражённых Android-телефонов за первые три месяца 2026 года выросло на 124% по сравнению с началом 2025-го.
Перерасчет ЖКХ
«Жертва» получает сообщение о перерасчете платеже за электричество. Для этого нужно назвать личные данные, в том числе коды из СМС. Эти данные потом используют для новых атак: спама, звонков и попыток влезть в другие аккаунты.
Вредоносные дополнения в магазине расширений Chrome
В официальном каталоге расширений Chrome обнаружили более 100 опасных дополнений. Обычные дополнения, — помощники для Telegram, игры, переводчики, — крадут данные аккаунтов и оставляют злоумышленникам лазейку для удалённого управления браузером.
Это значит, что само по себе присутствие расширения в магазине Chrome не гарантирует его безопасности. Обращайте внимание на рейтинг,количество установок и время добавления приложения в маркет.
Выход на детей
Мошенники втягивают ребенка в разговор через игровые чаты, фальшивые розыгрыши. Например, обещают бесплатные игровые предметы или валюту. Для этого просят ввести данные или пройти по ссылке. Затем в переписке появляются сообщения о якобы подозрительных входах в «Госуслуги», о микрозаймах, о «срочной проверке». Даже если деньги не украли сразу, мошенники собирают коды подтверждения, доступы к учётным записям и личные данные, чтобы использовать их потом.
Письма от госорганов
Схема, которая действует во многих странах: мошенники рассылают письма от имени городских и окружных чиновников. Жертве присылают счёт и просят оплатить его банковским переводом или через платёжный сервис. Мошенники давят на срочность, угрожая задержками в рассмотрении документов. При этом адрес отправителя обычно похож на государственный домен.
Дипфейк звонки 2.0
Раньше считалось, что дипфейк можно разоблачить — например, попросить показать три пальца, сделать странный жест. Сейчас современные системы подделки видео справляются с такими проверками всё лучше. Эксперты считают, что стоит обращать внимание на неестественные тени, расхождение звука с движением губ, слишком гладкий фон и задержки в реакции собеседника, но признают, что стопроцентного способа отличить подделку нет.
Письмо из ТСЖ
Жертве пишет «председатель ТСЖ» с запросом «Актуализирую информацию о жильцах. …. Всё верно?» Затем приходит запрос «Сейчас вам код подтверждения придёт, чтобы подтвердить, что именно вы в нашем ТСЖ». Приходит код от ГИС ЖКХ и мошенник радостно сообщает, что зашел в аккаунт жертвы.
Затем приходит сообщение от аккаунта «Госуслуги»: «Внимание, вход в портал ГосУслуг. … Если это не вы — срочно свяжитесь с горячей линией Роскомнадзора по телефонам … или в чатботе ….». «Жертву» склоняют к сотрудничеству в поимке злодеев с переводом денег на безопасный счет.
Оценим систему защиты в вашей компании
Комплексная проверка ИТ-среды компании:анализ сетевой безопасности, политик доступа, поведения пользователей, технической защиты.
Домофоны
Жертве звонит якобы техник из домофонной компании и сообщает, что в подъезде через пару дней будет замена домофонов. «На каждую квартиру выдано три, если нужно больше — то приносите 200 рублей наличкой, и я ещё вам выдам». Также сообщает, что «в новом домофоне можно заходить без ключа, если код ввести. Код для вашей квартиры привязан к адресу через ГосУслуги, сейчас коды вношу в домофон, а вам с ГосУслуг придёт 6 цифр». Жертва сообщает код 2FA от госуслуг.
Доставка
Мошенники отправляют жертвам сообщения в мессенджер или СМС о поступлении посылки через службу доставки. В сообщении ссылка по которой «можно узнать информацию о посылке». Ссылка очень похожа на почту России или Авито, а по ней — фишинговый сайт похожий на сайт почты или Авито.
Перевод: двухходовка
Жертве переводят деньги по номеру телефона, причём сумма может быть любой: от сотен рублей до десятков тысяч, и сразу звонят с просьбой вернуть. Причины какие угодно («это мне с Авито оплатили но ошиблись номером», «Это мама деньги перевела но цифры перепутала», «я за покупку переводил»). Зачастую просят вернуть по номеру карты (даже за вычетом комиссии).
Затем жертве звонит уже «генерал-полковник по делам терроризма» и говорит что вы финансируете ВСУ, есть факт перевода денег и заведено дело. Но раз жертва человек неплохой, что помогут перевести деньги на безопасный счёт на время следствия.
Код на самокатах
Мошенники заклеивают QR на самокате. Фишинговый код ведёт или на установку ransomware приложения или просто просит ввести какие-либо учётные данные, чтобы украсть их.