Так вышло, что за последние двадцать лет Россия стала полигоном, на котором интернет-мошенники тестировали новые схемы и сценарии обмана, чтобы вывести их затем на международный уровень. Так, наиболее масштабной экспансией за рубеж последних лет стала схема «Мамонт» — популярный сценарий с оплатой доставки несуществующего товара. Мошеннические группы, похищавшие деньги и данные банковских карт пользователей с помощью фейковых сайтов популярных курьерских служб и маркетплейсов, весной 2020 года начали массовую миграцию в страны СНГ и Европы, а позже принялись за пользователей в США и на Ближнем Востоке. Вслед за «Мамонтом» вышла за пределы России схема с фейковыми знакомствами, FakeDate, и многочисленные сценарии с розыгрышами призов, «коробочками», инвестскамом или трудоустройством.
Выход злоумышленников на новые площадки преследовал несколько целей: увеличить капитализацию за счет новых рынков и повысить эффективность атак. Активное противодействие мошенникам в России привело к тому, что организаторы криминального бизнеса стали присматриваться к странам, где пользователи, как считают злоумышленники, доверчивее и тоже при деньгах.
Беларусь одной из первых встретила нашествие мошеннических схем, заимствованных киберпреступниками из России. В апреле 2020 года аналитики нашей компании впервые зафиксировали применение схемы «Мамонт» под популярный белорусский сервис бесплатных объявлений, а также фишинг под национальную почтовую службу и сервис доставки.
За последующие пять лет в Беларусь из России перекочевали многие мошеннические схемы. Но «Мамонт» в республике не прижился, и в этом – первое отличие в ландшафте скама между двумя странами.
Сейчас мошеннические группы, которые работают по этой схеме на международном уровне, обходят Беларусь стороной по причине слаженной работой банковского сообщества и правоохранительных органов. В то же время пользователей из России группировки, работающие по «Мамонту», атакуют в круглосуточном режиме. Достаточно назвать одну цифру. Только за первое полугодие 2025 года по инициативе аналитиков F6 с помощью решения Digital Risk Protection обнаружено и заблокировано 2604 уникальных домена, связанных со схемой «Мамонт». И это только домены, маскировавшиеся под бренды, которые защищает наша компания.
Второе отличие – для мошеннических атак, нацеленных на пользователей в Беларуси, злоумышленники практически не используют домены в национальной зоне .by. В России ситуация обратная: доля фишинговых доменов, зарегистрированных в зоне .ru, остаётся высокой, несмотря на её уменьшение с 95% в 2024 году до 49% в 2025-м. В обоих случаях мошенники предпочитают создание сайтов в других доменных зонах для того, чтобы продлить срок «жизни» своих ресурсов и увеличить время их блокировки.
Защита доменной зоны .by от мошеннических ресурсов продолжает укрепляться. В августе этого года F6 и белорусский провайдер IT-инфраструктуры hoster.by подписали соглашение о сотрудничестве. Теперь при обнаружении нарушений, в том числе фишинга и скама, в доменных зонах .by и .бел F6 и hoster.by будут оперативно взаимодействовать для их устранения.
Большинство популярных схем интернет-мошенничества в России и Беларуси развиваются параллельно. Но есть и уникальные сценарии обмана, которые используются только в Беларуси – такие как как угон доступа к личным кабинетам банков через Telegram-боты, и это – третье отличие.
Как и в атаках на Россию, в которых около 80% мошеннических ресурсов эксплуатируют бренды известных компаний, в большинстве схем, нацеленных на Беларусь, для привлечения потенциальных жертв также часто используют реальные местные бренды. Скамеры делают это, чтобы привлечь трафик на свои ресурсы и вызвать доверие к ним, создать видимость их легитимности.
Специалисты департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 разобрали 8 самых популярных схем скама, которые злоумышленники используют против пользователей из Беларуси, и сравнили их с российскими аналогами.
Инвестиционное мошенничество
Инвестскам – один из самых распространённых видов интернет-мошенничества, который активно применяется против пользователей как России, так и Беларуси. Адаптация схемы под другую страну не требует от организаторов криминального бизнеса серьёзных затрат: достаточно подстроить шаблоны, используемые в России, под местные новости и региональную специфику. Приёмы привлечения потенциальных жертв – те же самые. Среди лидеров – фейковые новости со ссылкой на несуществующие заявления главы государства, обещания дивидендов от продажи природных ресурсов.
Рисунки 1-2. Примеры мошеннических ресурсов с фейковыми новостями, которые маскируются под сайт государственного информационного агентства республики и направляют пользователей на мошеннические ресурсы
Рисунки 1-2. Примеры мошеннических ресурсов с фейковыми новостями, которые маскируются под сайт государственного информационного агентства республики и направляют пользователей на мошеннические ресурсы
Инвестиционное мошенничество – вид финансового обмана с последующим хищением денег пользователя под предлогом получения прибыли от инвестиций. Для реализации таких схем киберпреступники создают поддельные веб-ресурсы, аккаунты в социальных сетях и мессенджерах, разрабатывают приложения, имитирующие инвестиционные проекты и биржи. Задача злоумышленников – убедить пользователей внести деньги на депозит, привлекая обещанием быстрого увеличения инвестиций. После первого перечисления жертву убеждают вложить ещё больше денег до тех пор, как пользователь не раскроет обман или у него не закончатся средства.
Как и в других популярных мошеннических схемах, для привлечения трафика на скам-ресурсы зачастую используются известные бренды или публичные личности. Реклама мошеннических проектов запускается, где только возможно: от социальных сетей, мессенджеров и видеохостингов до рассылок спама по электронной почте, «холодные» звонки и продвижение сайтов в поисковой выдаче на популярных сайтах.
Рисунок 3. Сайт-приманка, используемый в схеме инвестиционного мошенничества против пользователей из Беларуси
Зачастую такие сайты распространяются с помощью участников мошеннических инвестиционных программ. На ресурсах программ размещают «предложения» по привлечению трафика на мошеннические сайты с использованием различных брендов, а за привлечённую жертву, которая внесёт депозит на итоговом сайте, предлагают в среднем 300$.
Рисунок 4. Скриншот страницы мошеннической партнёрской программы
Есть и другой вариант инвестскама, который применяется как в России, так и в Беларуси. В этом варианте ничего лишнего: нет дополнительного сайта трейдинг-платформы, а на первоначальной странице не указан бренд. На такой сайт пользователь попадает, как правило, через рекламу мошенников, а на платформе ему предлагают зарегистрироваться самостоятельно.
Рисунок 5. Страница авторизации на сайте, используемом в схеме инвестиционного мошенничества
После регистрации пользователь сразу же, пропуская этап ввода контактных данных и звонка от сотрудника мошеннического колл-центра, попадает на сайт, где уже присутствует логотип бренда, под который маскируются злоумышленники. Затем под предлогом инвестиций пользователю предлагается внести депозит переводом на криптовалютный кошелёк или на банковскую карту.
Рисунок 6. Пример оформления мошеннического сайта, используемого в схеме инвестиционного мошенничества
В ходе исследования аналитики F6 обнаружили 203 мошеннических сайта, которые были зарегистрированы за последний год и связаны со схемами инвестскама, нацеленными на пользователей в Беларуси. В основном эти домены регистрировались в зонах .top, .xyz, .click и .com. Использование национальной доменной зоны .by в структуре инвестиционного мошенничества зафиксировано не было.
Рисунок 7. Распределение по зонам доменов сайтов, используемых для инвестиционного мошенничества против пользователей из Беларуси
Для реализации схем инвестиционного мошенничества, направленных против пользователей в России, злоумышленники не скупятся на домены, расположенные в самой «дорогой» и «респектабельной» зоне .com. – они меньше отпугивают потенциальных жертв, в отличие от сайтов, зарегистрированных, например, в зонах .top или .xyz. По итогам первой половины 2025 года домены 46% всех заблокированных в России сайтов, связанных со схемами инвестскама, приходились на зону .com, ещё 22% — на зону .ru. С экономической точки зрения действия киберпреступников объясняются следующим: так как инвестиционное мошенничество не считается фишингом, блокировка таких сайтов занимает больше времени. Поэтому мошенники могут себе позволить использовать в атаках против пользователей в России более дорогостоящие домены.
Розыгрыши от имени банков
«Дарим нашим клиентам Х рублей на карту» – такую рекламу-приманку с одинаковой вероятностью могут увидеть пользователи как в России, так и в Беларуси. Различие – только в суммах «подарка», которым завлекают злоумышленники. Пользователям в России от имени банков обычно обещают перевести на карту 3000 рублей, а белорусским пользователям – в 5 раз больше: 600 белорусских рублей (в переводе на российскую валюту – свыше 16 000). Под этим предлогом предлагается пройти опрос или принять участие в розыгрыше.
Дальнейший механизм обмана идентичен для обеих стран. После прохождения небольшого опроса или сразу жертве предлагают получить деньги, а для этого – авторизоваться в личном кабинете своего банка.
Рисунок 8. Фишинговый сайт, посетителям которого предлагают получить денежный подарок от имени банка
Cтраница авторизации лишь похожа на настоящую, но на самом деле создана мошенниками. После ввода учётных данных на такой странице злоумышленники получают полный доступ к банковскому счёту пользователя и вместо пополнения счёта деньги с него исчезнут.
Фишинг банковских аккаунтов через Telegram-боты
Среди мошеннических схем, по которым атакуют пользователей в Беларуси, аналитики F6 обнаружили и уникальные – те, которые в России не встречались или не получили широкого распространения. Возможно, что в таких случаях Беларусь становится той самой тестовой площадкой, на которой киберпреступники испытывают новые виды интернет-мошенничества. Такие, как фишинг (угон) банковских аккаунтов через Telegram-боты.
Как это работает? Реклама мошеннических ботов размещается, как правило, в соцсетях корпорации Meta (признана в России экстремистской и запрещена) или может рассылаться через мессенджеры.
Фишинговые боты маскируются под официальные сервисы крупных банков. Позиционируются они как инструмент управления банковскими приложениями прямо в Telegram.
Рисунок 9. Мошеннический бот, который маскируется под официальный сервис банка
Под предлогом получения доступа к личному кабинету банка пользователю бота предлагают ввести логин и пароль от него.
Рисунки 10-12. Этапы «авторизации» в фишинговом боте
Рисунки 10-12. Этапы «авторизации» в фишинговом боте
Рисунки 10-12. Этапы «авторизации» в фишинговом боте
В случае, если пользователь введёт запрашиваемые данные, злоумышленники используют их для реальной авторизации и могут получить доступ к личным финансам жертвы.
Угон аккаунтов Telegram и WhatsApp
Киберпреступники ведут охоту на пользователей иностранных мессенджеров в России и Беларуси по одним и тем же сценариям.
Ловушки, которые злоумышленники расставляют для угона аккаунтов Telegram и WhatsApp пользователей в Беларуси, можно разделить на два типа, оба активно применяются также и в России.
- Угон через мессенджер. Фишинговые боты – отличительная особенность Telegram. Приманкой для пользователей служат фейковые розыгрыши от известных брендов. Для участия в розыгрыше пользователю предлагают поделиться номером телефона и авторизоваться через бот. Номер даже не нужно писать – достаточно нажать на кнопку. Затем бот запрашивает код, на этот раз – тот, который приходит от Telegram. Если у пользователя не установлен облачный пароль, мошенники сразу же получают доступ к аккаунту. Если установлен, то злоумышленники запрашивают и облачный пароль тоже.
- Угон через фишинговые сайты – так уводят аккаунты и в Telegram, и в WhatsApp. Ссылки на такие сайты обычно распространяют через те же мессенджеры, нередко – через другие взломанные аккаунты по списку контактов.
Рисунок 13. Пример фишингового бота, предназначенного для угона Telegram-аккаунтов пользователей в Беларуси
Одна из самых популярных приманок для угона аккаунтов мессенджера в Беларуси, как и в России – фейковое голосование. Пользователю направляют сообщение от взломанного контакта, например «У меня дочка в конкурсе участвует, проголосуй, пожалуйста» со ссылкой на сторонний ресурс. Для участия голосования предлагается авторизоваться в WhatsApp или Telegram через данный сайт, что ведёт к потере доступа к аккаунту.
Рисунок 14. Мошенническая страница, которая маскируется под фейковое голосование и предназначена для угона Telegram-аккаунтов
Рисунок 15. Мошенническая страница, предназначенная для угона аккаунтов пользователей WhatsApp в Беларуси
Угнанные аккаунты мошенники могут использовать для продажи другим киберпреступникам, рассылки спама и вредоносного ПО, а также хищения денег у друзей и родственников жертвы.
Рисунок 16. Предложение автоскупки похищенных Telegram-аккаунтов
Аналитики департамента Digital Risk Protection компании F6 прогнозируют, что в ближайшее время масштаб фишинговых атак на пользователей Telegram в Беларуси может значительно усилиться. Причина – в изменениях, которые происходят в сфере угона Telegram-аккаунтов.
По данным F6, число краж учётных записей популярного мессенджера у российских пользователей, начиная с апреля 2025 года, постепенно снижается. Количество аккаунтов, похищенных у пользователей в июне, оказалось в 2 раза меньше, чем в апреле. Кроме того, в конце июня некоторые популярные у киберпреступников торговые площадки запретили продажу российских аккаунтов на своих ресурсах. Мошеннические группы, которые специализируются на краже учётных записей пользователей из России, оказались перед выбором: искать другие способы продаж или угонять зарубежные аккаунты. В этой ситуации белорусские пользователи первыми могут оказаться в зоне риска: для фишинговых атак на эту группу пользователей злоумышленникам не нужно менять методы работы, шаблоны сайтов и ботов.
Масштабы возможных атак на пользователей в Беларуси можно представить, исходя из следующих данных. По данным Digital Risk Protection F6, только одна из русскоязычных групп злоумышленников за январь-июнь 2025 года похитила 1 496 034 учетных записей Telegram-пользователей по всему миру. На момент исследования F6 зафиксировала не менее четырех таких групп.
Блокировка iPhone через авторизацию в iCloud злоумышленника
Этот вид интернет-мошенничества стабильно используется против владельцев айфонов как в России, так и в Беларуси без каких-либо отличий. Вот три самых популярных у злоумышленников сценария.
- Знакомства. Мошенник, чаще всего от лица девушки, ищет потенциальную жертву на сайтах знакомств или специализированных Telegram-ботах для знакомств. Вести себя злоумышленники могут по-разному: активно, отправляя сообщения всем подряд, так и более пассивно, оставляя лайки нескольким пользователям и ожидания от них ответных сообщений. В ходе общения мошенник пытается войти в доверие и параллельно выяснить, что за телефон у жертвы. Общение продолжается только в том случае, если у собеседника – IРhone. Спустя несколько часов или даже несколько дней «девушка» пишет, что у неё разбился телефон, а там очень важные фото, которые нужны именно сейчас. Под этим предлогом мошенник просит войти в его iCloud с устройства жертвы: якобы чтобы «выгрузить фото». На возражения, что в iCloud можно войти и с браузера, злоумышленник отвечает, что так нужные фото видны не будут и заходить нужно именно из настроек iPhone.
- Продажа игровых аккаунтов с привязкой через iCloud.
- Фейковые вакансии. Мошенник размещает на доступных ресурсах – в соцсетях, Telegram-чатах и на сайтах – объявление о поиске специалиста для удалённой работы: например, оператор техподдержки, тестировщик, маркетолог и другое. После формального собеседования в чате, как правило, через Telegram, мошенники требуют с личного устройства авторизоваться в якобы корпоративном iCloud.
При любом сценарии после того, как пользователь авторизуется в аккаунт мошенника, его устройство сразу же блокируют. Обычно дальнейшим общением с жертвой и вымогательством занимается уже другой злоумышленник, цель которого – требовать выкуп за разблокировку устройства. Задача мошенников на этом этапе – получить от жертвы как можно больше денег. Средняя стоимость разблокировки, которую называют злоумышленники – 113$, сумма зависит от модели телефона, но выплата этих денег киберпреступникам ничего не гарантирует: жертва может остаться и без денег, потраченных на выкуп, и без работающего устройства.
Рисунок 17. Отчёт об успешном хищении денег у жертвы во внутреннем чате мошеннической группы, которая в том числе использует схему с iCloud против белорусских пользователей
Рисунок 18. Пример переписки со злоумышленником, который в рамках сценария с фейковой вакансией требует от пользователя войти в чужой iСloud
Фейковые компенсации
Ещё одна мошенническая схема, схожая с фейковыми розыгрышами и применяемая в России и Беларуси. Различия между странами минимальны и связаны с оформлением мошеннических ресурсов.
Приманкой для потенциальных жертв становится реклама мошеннических сайтов, которые предлагают получить некую «официальную компенсацию» от государства. Но есть нюанс: для получения компенсации предлагают заплатить «комиссию».
Рисунок 19. Пример страницы мошеннического сайта, посетителям которого предлагают получить «компенсацию на оплату товаров иностранного производства»
Фишинг на почтовые компании
Некоторые виды интернет-мошенничества, которые злоумышленники сейчас активно применяют против пользователей в Беларуси, в России уже почти не используются или вошли в состав других более сложных схем обмана. Как, например, фишинг от имени почтовых компаний и служб доставки.
Атаки на белорусских пользователей начинаются с того, что им поступает СМС или письмо по электронной почте с сообщением: пользователю якобы пришла посылка, но доставить её не могут, например, из-за неточного адреса. В СМС / письме указана ссылка, по которой предлагается перейти – ведёт она на мошеннический сайт. На этом ресурсе пользователя просят ввести свои данные, а сама посылка вскоре будет возвращена отправителю, так как срок её хранения заканчивается. Потенциальной жертве предлагают срочно оплатить доставку, а для этого – указать на фишинговом сайте данные банковской карты, CVV-код (трёхзначный код безопасности), код из СМС и другие конфиденциальные данные. Если пользователь укажет запрашиваемую информацию, злоумышленники как минимум получат в своё распоряжение данные его банковской карты, а максимум – могут получить доступ к его банковскому счёту и похитить деньги.
В России пик активности схемы с фишингом под почтовые компании и фальшивой оплатой пришёлся на 2022 год. В дальнейшем киберпреступники отказались от массового использования этого сценария – его включили в состав сложных схем финансового мошенничества. Звонок от мошенников, которые действуют от имени почтовых компаний и служб доставки – первый этап многоэтапного обмана с участием большого числа злоумышленников. Задача киберпреступников, которые действуют под видом сотрудников служб доставки – заставить собеседника сообщить код из СМС, который их сообщники высылают под видом кода от госсервиса.
Рисунок 20. Страница мошеннического ресурса, который маскируется под официальный сайт национального почтового оператора
Фейковые опросы
Ещё одна мошенническая схема, довольно старая для России, однако все ещё актуальная для Беларуси.
Приманка – подарок от известного бренда за прохождение опроса – нужна злоумышленникам для привлечения пользователей на мошеннические (и не только) сайты. Приглашения с приманкой доставляют потенциальным жертвам самыми разными способами: от массовой спам-рассылки СМС, сообщений в мессенджерах или писем в электронной почте до персонализированных атак. В этом случае «под цель» создаётся таргетированная ссылка. Она использует параметры потенциальной жертвы (страна, часовой пояс, язык, IP, устройство), чтобы подстроиться под конкретный бренд, под который маскируются мошенники.
После прохождения опроса пользователю предлагают отправить сообщение со ссылкой на ресурс 20 друзьям или 5 группам в WhatsApp, обещая перевести денежный подарок после рассылки, но на самом деле перенаправляет на другие ресурсы, не связанные с брендом. Это могут быть как сторонние мошеннические ресурсы, так и «серые», а иногда и легальные ресурсы.
Такое таргетированное мошенничество несет риски для пользователей, у которых могут угнать аккаунты и похитить деньги с банковского счёта при обращении к фейковым ресурсам, так и для брендов, которые нелегально эксплуатируют мошенники.
Рисунок 21. Пример страницы с фейковым опросом
Противодействие интернет-мошенничеству в Беларуси: краткая справка
Как и в России, в Беларуси борьба с кибермошенничеством – одна из приоритетных задач государственного уровня. За последние годы реализован ряд масштабных проектов, направленных на совершенствование механизмов по противодействию кибермошенничеству.
- Создана национальная система обеспечения кибербезопасности для координации действий по обнаружению, предотвращению и минимизации последствий кибератак на объекты информационной инфраструктуры. В рамках этой системы, в том числе, создана национальная команда реагирования на киберинциденты (CERT.BY), сеть центров кибербезопасности.
- На базе Национального банка Республики Беларусь организована Автоматическая система обработки инцидентов (АСОИ) для обмена информацией между банковской системой и правоохранительными органами, оперативного реагирования на несанкционированные платежные операции.
За действия мошеннического характера, в том числе осуществляемые с использованием технических средств, белорусским законодательством установлены суровое наказание. Так, Уголовный кодекс Республики Беларусь предусмотрена ответственность за мошенничество (статья 209), хищение путем модификации компьютерной информации (статья 212). В зависимости от характера и последствий эти преступления могут повлечь за собой наказание в виде лишения свободы на срок до 12 лет. Помимо привлечения к ответственности виновных лиц также ведется активная работа по блокировке мошеннических интернет-ресурсов.
Противодействие преступлениям в сфере информационных технологий как в России, так и Беларуси привело к их снижению, но показатели стран заметно отличаются. В России, по данным МВД за семь месяцев 2025 года, количество таких преступлений уменьшилось на 2,3% (до 424,9 тысяч) по сравнению с аналогичным периодом прошлого года. В Беларуси, по данным Генпрокуратуры за шесть месяцев 2025 года, снижение составило 18,5% (до 8,2 тысяч).
Вывод
Предпринимаемые меры по противодействию и предупреждению мошенничества как в России, так и в Беларуси, несомненно, позволяют снизить риск мошенничества для пользователей и сократить их финансовые потери. В то же время цифровое мошенничество остаётся одной из наиболее актуальных глобальных угроз: злоумышленники непрерывно меняют инструменты и способы реализации мошеннических схем.
В этих условиях необходимо продолжать комплексную борьбу с кибермошенничеством: анализировать актуальные мошеннические схемы для совершенствования наиболее эффективных методов борьбы с ними и повышать уровень информированности пользователей об актуальных угрозах.
Рекомендации для пользователей России и Беларуси от специалистов F6
- Не переходите по ссылкам из сомнительных сообщений в социальных сетях и мессенджерах.
- Если вам написал даже знакомый пользователь с просьбой проголосовать или поучаствовать в конкурсе — перепроверьте эту информацию по другому каналу связи.
- Никогда ни под каким предлогом не переводите деньги незнакомцам.
- Храните свою финансовую тайну: не сообщайте никому свои персональные данные, данные своей банковской карты, коды и пароли из СМС.
- Не верьте обещаниям быстрого лёгкого гарантированного дохода. Помните, что инвестирование — всегда деятельность с повышенном риском, а реальная ожидаемая доходность будет значительно ниже той, которую обещают на сомнительных сайтах.
- Не переносите общение из чатов сервисов, через которые играете / продаёте / покупаете / знакомитесь, в мессенджеры.
- Включите все инструменты безопасности в мессенджерах, в том числе двухфакторную идентификацию и дополнительный пароль.
- Регулярно обновляйте браузеры до последних версий и устанавливайте обновления безопасности.
- Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка, или с использованием банковского приложения.
- Злоумышленники часто используют для создания фейковых сайтов созвучные известным брендам домены. Обращайте внимание на написание домена, а также дату его регистрации, используя Whois-сервисы.
- Если вы пострадали от действий мошенников, обратитесь в правоохранительные органы.
- В любой непонятной ситуации, прежде чем что-то сделать, посоветуйтесь с теми, кому доверяете.
Рекомендации для компаний России и Беларуси
- Популярные бренды всегда используются киберпреступниками для привлечения потенциальных жертв на мошеннические ресурсы. Такое использование бренда влечёт репутационные риски, а вследствие этого — и финансовые. Рекомендуем проводить непрерывный мониторинг неправомерного использования бренда компании во всех источниках распространения информации.
- Компании могут защитить себя и своих клиентов, используя автоматизированные решения класса Digital Risk Protection, сочетающие анализ данных киберразведки и возможности машинного обучения, которые позволяют обнаруживать мошеннические ресурсы ещё до того, как злоумышленники приведут туда трафик.
