По большому счёту: за полтора года мошенники похитили у россиян по схеме «Мамонт» более 1 млрд рублей

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, проанализировала тренды самой популярной схемы интернет-мошенничества «Мамонт», которая используется против пользователей в России. Чаще всего злоумышленники применяют сценарии с фейковой продажей товаров через сервисы бесплатных объявлений, оформлением товаров в онлайн-магазинах со скидкой, арендой квартир и мест отдыха. В атаках на россиян мошенники используют бренды 50 компаний. С июля 2024 года по декабрь 2025-го киберпреступники, работающие по схеме «Мамонт» против России, похитили у пользователей более 1 млрд руб.

Обманывают реже, но дороже

Мошенники используют схему «Мамонт» уже более 6 лет. Всё это время их главной целью остаются пользователи в России: на нашей стране скамеры отрабатывают новейшие технологии обмана, которые затем переносят на страны Европы, США и Средней Азии. По данным F6, среди самых опасных схем обмана «Мамонт» занимает второе место по количеству успешных атак на пользователей после телефонного мошенничества.

Базовый сценарий «Мамонта» почти не меняется: мошенники размещают в сервисах бесплатных объявлений предложения о продаже товаров по низким ценам и через фишинговые сайты похищают у покупателей данные их банковских карт и деньги. Новые сценарии для поиска жертв и их обмана добавляются почти каждый месяц, как и пути обхода ограничений, которые активно создают для мошенников в России в последнее время.

Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 проанализировали тенденции развития схемы «Мамонт» в России.

Самые популярные сценарии «Мамонта» по-прежнему связаны с фейковой продажей товаров через сервисы бесплатных объявлений, оформлением товаров в онлайн-магазинах со скидкой, а также арендой квартир и отелей для отдыха

За последние полтора года, с июля 2024 года по декабрь 2025-го, мошенники из 8 групп, действующих против нашей страны, похитили у пользователей более 1 млрд руб. (1 036 899 742), совершив более 100 тыс. списаний (106 292). За это время средняя сумма, которую удаётся похитить мошенникам, увеличилась почти в 2 раза – с 9603 руб. по итогам второго полугодия 2024-го до 17 223 руб. во втором полугодии 2025-го. Количество платежей в пользу злоумышленников за этот же период уменьшилось на 40%.

QR-код добавил забот

Одно из самых заметных изменений в схеме – использование новых способов хищения денег с банковских карт.

Ранее мошенники предлагали два пути оплаты фейковых товаров и услуг: ввести данные банковской карты на фишинговом сайте или совершить прямой перевод по реквизитам. В 2025 году стали появляться альтернативные варианты: перевести деньги по QR-коду или по номеру телефона.

Например, во втором полугодии 2025-го одна из мошеннических групп провела с помощью фишинга на сайте 24,2% от всех транзакций, а на долю переводов по QR-коду и номеру телефона достигла 26,6%. Остальные 49,2% пришлись на другие способы хищения денег, включая прямые переводы по реквизитам банковской карты, которые злоумышленник напрямую присылает в переписке с жертвой, не используя мошеннические сайты.

Альтернативные способы оплаты на мошеннических сайтах появились не случайно. Такие действия классифицируются как скам, а не фишинг. Вот почему блокировка подобных ресурсов занимает больше времени, чем фишинговых сайтов, и это играет на руку мошенников. По этим же причинам киберпреступники могут дольше использовать для кражи банковские карты и счета дропов. Всё это позволяет злоумышленникам снижать расходы и повышать прибыль от совершения преступлений.

Ещё одна отличительная тенденция «Мамонта» 2025 года – мошенники начали активно использовать банковские карты стран СНГ. Чаще всего похищенные деньги переводили на карты Узбекистана.

Атаки на бренды нарастают

С момента появления схема «Мамонт» строилась на использовании популярных брендов. При этом мошенники постоянно дополняют список новыми брендами и тестируют их на реальных пользователях. В случае успеха бренд используют дальше, а некоторые перестают использовать уже через несколько месяцев после первого применения.

В 2024 году на момент исследования в схеме «Мамонт» против пользователей в России использовались 42 бренда. Год спустя количество брендов, которыми прикрывались мошенники, увеличилось до 50 – почти все они относятся к российским компаниям.

Чаще всего в 2025 году мошенники использовали для создания фишинговых страниц в схеме «Мамонт» бренды сервисов доставки (18%), онлайн-магазинов (16%), сервисов банковских переводов (14%), грузоперевозок и бирж фриланса (по 12%). Также популярным прикрытием для злоумышленников остаются бренды сервисов аренды квартир и мест для отдыха (10%), маркетплейсов (8%) и сервисов бесплатных объявлений (4%).

«Большинство мошеннических групп, использующих схему «Мамонт», сейчас столкнулись с трудностями в поисках способов списания денег пользователей. Реквизиты дропов достать всё сложнее, скорость блокировки таких карт увеличивается. Маленьким группам злоумышленников стало сложно окупать свою работу, это привело к закрытию большинства из них. Также начали сворачивать криминальный бизнес некоторые крупные группы, которые работали почти с момента запуска схемы «Мамонт». Многие воркеры уходят в другие мошеннические команды, которые распространяют вредоносное ПО и работают по схеме с фальшивыми свиданиями (Fake Date)».

Мария Синицына

Старший аналитик департамента Digital Risk Protection компании F6

Уход многих мошеннических команд указывает на то, что схему «Мамонт» в России могут ожидать серьёзные перемены, но киберпреступники не собираются от неё отказываться, считают специалисты F6. В поисках снижения издержек и обхода новых ограничений мошенники стремятся к тому, чтобы каждая атака приносила им ещё больше денег, чем раньше. А значит, эти атаки уже скоро могут выйти на новый уровень.

Больше подробностей – в новом блоге на сайте F6.