Эксперт Security Vision Николай Гончаров рассказал, как киберпреступники действуют в 2025 году

За первые пять месяцев 2025 года ущерб от IT-преступлений в России превысил 81 миллиард рублей. За этот период было зарегистрировано свыше 308 тысяч преступлений, связанных с информационными технологиями. Из них более 189 тысяч случаев приходится на дистанционные кражи и мошенничество, что свидетельствует о высокой активности злоумышленников в сфере киберпреступности.

В этом интервью с Директором департамента мониторинга кибербезопасности Security Vision Николаем Гончаровым обсудили, какие технологии используют современные киберпреступники для кражи личных данных и почему люди до сих пор попадаются на их «удочку».

Как злоумышленники взламывают аккаунты и пароли? Какие методы обычно они используют для кражи данных пользователя?

Кража личных данных — это не всегда хакерские взломы. Кибермошенники используют не только технологии, но психологические приёмы социальной инженерии. Схемы обмана и их реализация становятся все более продуманными. Мошенники сейчас действуют более умно и подготовленно — подбирают легенды, подделывают сайты и тщательно готовят, и прорабатывают скрипты общения с жертвами. Для своих задач они стали применять технологии машинного обучения и искусственного интеллекта. Чаще всего человек сам отдаёт свои данные, поддавшись ситуации, давлению, эмоциям или незнанию. Для большей эффективности используются различные комбинации, состоящие из:

• Фишинга — мошенники рассылают письма, SMS или сообщения в мессенджерах, маскируясь под банки, госорганы или известные бренды. Как правило в тексте есть ссылка, которая ведет на вредоносный или поддельный сайт. Пользователь переходит по ссылке и сам вводит свои данные — логин, пароль, карту, паспорт или загружает вредоносное ПО на своё устройство.
• Спуфинга – мошенник прикидывается кем-то другим, чтобы вызвать доверие у жертвы.
• Использования вредоносного ПО — трояны, шпионские программы и кейлоггеры, которые устанавливаются на устройство незаметно: через фальшивые приложения, взломанные сайты или по ссылке в мессенджере. Эти программы могут считывать нажатия клавиш, делать скриншоты и отправлять данные злоумышленникам.
• Сбора данных через фейковые онлайн-сервисы — сайты под видом доставки, курсов, онлайн магазины, регистрации на мероприятия, розыгрышей и аналогичных вещей. Вы оставляете имя, телефон, почту, иногда даже фото паспорта — и это сразу попадает в руки мошенников.
• Различные утечки баз данных — если ваш пароль где-то уже «утёк», злоумышленники могут подобрать его к другим сервисам, особенно, если вы используете один и тот же пароль повсюду.
• Данные из социальных сетей — люди сами публикуют фото паспортов, посадочных талонов, ответы на «викторины», раскрывающие контрольные вопросы, которыми в последствии может воспользоваться злоумышленник.
• Использование ИИ и дипфейков – это технология создания поддельного видео или аудио, в котором человек якобы что-то говорит или делает, хотя на самом деле этого не происходило. Дипфейк создает иллюзию личного обращения. Даже опытные люди поддаются, потому что «сами видят и слышат» знакомого человека.

Как выглядит типичная схема мошенничества с использованием нескольких комбинаций?

Вот один из ярких примеров: мошенники создают рекламную компанию, например по розыгрышу авиабилетов, в популярной соцсети или мессенджере. Красивая подача и визуальный стиль совпадают с официальным стилем авиакомпании. В публикации есть ссылка на поддельный сайт, где проходит розыгрыш. На нём необходимо ввести контактные данные, чтобы получить билет. Пользователи сами передают свои личные паспортные данные злоумышленникам.

После регистрации и ввода данных пользователь видит сообщение, в котором его поздравляют и просят по ссылке установить приложение, где будут отображаться билеты. Затем он сам устанавливает вредоносное приложение, которое может самостоятельно собирать и передавать личную информацию злоумышленникам.

Полученные сведения используются уже для подбора паролей от почты, банковских приложений и прочих сервисов, т.к. многие используют один и тот же пароль для доступа к разным сервисам и кабинетам.

Людям, которые сделали вышеописанные шаги, в дальнейшем могут поступать звонки в мессенджерах с подменными именами и якобы от представителей авиакомпании. Могут приходить поддельные видеообращения с сотрудниками авиакомпании. Мошенники могут также запросить дополнительные сведения, попросить назвать код из сообщения или выполнить какие-либо действия, например, переводы или снятие наличных и передачу их курьеру.

Таких примеров множество. Аналогичный вариант может включать использование данных о человеке, которые были получены злоумышленниками в рамках массовых утечек. Затем под видом какой-то акции от популярного сервиса, например от маркетплейса, связываются с потенциальной жертвой, заставляют перейти на фейковый сайт, установить вредоносное приложение и далее по аналогичной схеме. Параллельно могут поступать сообщения с поддельными голосовыми и видеосообщениями от друзей с различными просьбами о переводах на незнакомые номера.

Всё это, как правило, в дальнейшем приводит к краже денежных средств со счетов жертв.

Поэтому, чтобы не стать жертвами мошенников, необходимо:

• Перепроверять любую срочную или «выгодную» информацию. Мошенники всегда давят на срочность или эксклюзивность.
• Использовать сложные уникальные пароли и включать двухфакторную аутентификацию на всех важных аккаунтах (банки, почта, соцсети).
• Проверять адреса сайтов (особенно похожих на Госуслуги, банковские ресурсы) и не переходить по ссылкам из подозрительных писем, SMS, мессенджеров.
• Не сообщать конфиденциальные данные по телефону и в сообщениях, даже если звонящий/пишущий представляется «сотрудником банка» или «представителем госоргана».
• Следить за обновлениями системы и антивируса, не устанавливать программы из сомнительных источников.
• Повышать свою киберграмотность и кибергигену родственников.

Как отличаются атаки злоумышленников?

Хакерские атаки можно разделить на несколько категорий в зависимости от цели, метода и уровня воздействия. Помимо уже вышеперечисленных видов и типов можно выделить следующие:

• Атаки на учётные записи – заключаются в том, чтобы получить доступ к аккаунтам пользователя или администратора путем подбор пароля по словарю или по базе утёкших паролей. Как пример после утечки пароля с популярного сервиса или сайта его пробуют, чтобы получить доступ к почте и к банковскому личному кабинету жертвы.
• Атаки на web-приложения – основная цель заключается в получении доступа к данным, путем взлома учётных записей, подбора паролей или используя уязвимости, а также нарушить работу сайта. Например, частым примером является, когда злоумышленник через уязвимость в форме обратной связи получает доступ к базе клиентов.
• DDoS-атаки – основная цель заключается в том, чтобы сделать сайт или сервис недоступным путем создания ежемоментного огромного количества запросов в адрес сервера, которые он не может сразу обработать и перестаёт отвечать. Частые примеры атак на сайты банков, операторов или онлайн-голосования.
• Атаки на сети и инфраструктуру – заключаются в том, чтобы проникнуть в корпоративную сеть, перехватить данные или внедриться в неё. Используются следующие методы: перехват трафика между двумя сторонами (Man-In-The-Middle), подмена MAC-адресов в локальной сети (ARP-spoofing), подмена адреса сайта (DNS-spoofing), пассивное прослушивание сети (Sniffing). В качестве яркого примера можно привести неправильно настроенную Wi-Fi сеть с открытым доступом, в которой злоумышленник может перехватить логины и пароли путем применения вышеописанных методов.
• Атаки через уязвимости ПО и эксплойты – суть заключается в использовании уязвимостей в программном обеспечении, например в операционных системах, браузерах, почтовых клиентах и серверах, средствах удаленного доступа до момента их устранения. В качестве примера тут можно привести уязвимость в одном популярном почтовом сервисе, которая использовалась для массового взлома.
• Целенаправленные и таргетированные атаки (APT) – направлены на долгосрочное скрытное проникновение в инфраструктуру определённой компании или ведомства. Злоумышленники могут долго находиться внутри сети организации без обнаружения, собирая конфиденциальную информацию или готовить масштабные действия по выводу из строя инфраструктуры организации. В последнее время стали распространены атаки через уязвимые сети подрядчиков.

Какие шаги важно предпринимать для защиты от современных угроз?

Хакерские атаки становятся всё более сложными и комбинированными. Сегодня один инцидент может включать сразу несколько видов атак. Одна крупица данных из прошлой утечки в дополнении с нашей сегодняшней публичной информацией – это готовый скелет для целой цепочки атак.

Хорошая защита — это не только использование антивирусов или прочих СЗИ, но и критическое мышление, привычка перепроверять информацию, минимизация своих цифровых следов и двухфакторная аутентификация. Стоит использовать не только один из способов защиты, а сочетать технологические средства с правилами поведения и здравым смыслом.

В качестве основных мер защиты стоит не забывать про личную цифровую гигиену — не переходить по подозрительным ссылкам из писем, SMS и мессенджеров, проверять адрес отправителя, проверять видео и аудио сообщение на наличие дипфейков, не публиковать лишнюю информацию в социальных сетях, не пересылать паспорта и банковские данные в открытых чатах, использовать надёжные пароли и многофакторную аутентификацию. Проверять свою почту, номера телефонов, аккаунты от сервисов на наличие утечек через специальные сервисы.

В качестве защиты самих устройств стоит использовать антивирусное ПО, регулярно обновлять как операционную систему, так и стороннее ПО, не устанавливать приложение и прочее ПО из непроверенных источников.

Для организации защиты внутри компании не стоит забывать про правильно выстроенную архитектуру самой сети и использование специализированных СЗИ и центров мониторинга кибербезопасности (SOC). Проводить регулярные аудиты безопасности и пентесты. Также надо должное внимание уделять обучению сотрудников кибергигиене. Как правило даже базовая защита отсекает 90% атак.