Борьба с киберпреступностью | F6

«Мамонт» в разгар отпускного сезона: мошенники активизировались на фоне возобновления регулярных полетов в Геленджик. 🔍 Специалисты Digital Risk Protection F6 обнаружили шаблон фишинговой формы в схеме «Мамонт» на покупку или возврат билетов в Геленджик. Известно минимум о трех скам-группах, которые могут использовать подобные шаблоны. ‼️Одноразовая фейковая страница эксплуатирует бренд популярного онлайн-агрегатора авиабилетов. Перелет из Москвы до Геленджика на одного человека стоит 30–40 тыс. рублей. При оплате несуществующих билетов злоумышленники похищают данные карты и списывают все деньги. Создать поддельную страницу мошенники могут за пару кликов. CERT-F6 отправил найденные фишинговые ссылки на блокировку. 😉 Борьба с киберпреступностью

Как общаются мошенники? Демонстрируем в скринкасте 👀 Мошенническая схема Fake Date за годы существования претерпела множество изменений, но не перестала быть одной из самых популярных. Жертв зовут в театр, кино, на стендап, а в переписке используют проверенные ненавязчивые скрипты, чтобы никто ничего не заподозрил. В некоторых случаях для убедительности мошенники даже отправляют дипфейки — войсы и видео. Как выглядит стандартная переписка с мошенником по схеме Fake Date — смотрите в видео 🎥

Мошенники предлагают получить «июньские дивиденды» в размере до 290 тыс. руб. ▪️ Скамеры распространяют фейк о выплате дивидендов известной российской компанией с 1 июня. Под видом проверки прав на получение средств они собирают у пользователей личные данные. ▪️ Задача злоумышленников — убедить пользователей внести деньги на депозит, обещая быстрое увеличение капитала. За первым перечислением следует второе — и так пока пользователь не раскроет обман или не закончатся средства. ▪️ Деньги якобы можно вернуть, для этого мошенники просят фото документов, которые потом продают на теневых форумах или используют в криминальных схемах. ❗️ За первую неделю июля наши аналитики зафиксировали 47 мошеннических сайтов, обещающих «июньские дивиденды». Данные ресурсов направлены на блокировку. Всего за I полугодие 2025-го F6 обнаружила 555 доменов поддельных инвестиционных сайтов. 😉 Борьба с киберпреступностью

Кибербезопасность + Маркетинг = 💜 Как работать с ИБ через коммуникации, смыслы и доверие — рассказала Анастасия Меркулова, директор по маркетингу F6, в интервью для AM Live на PHDays. Must-watch 🎥 📺 VK Видео 📺 RuTube 📺 YouTube

Не редкие случаи, а повседневные сценарии: объясняем главные ошибки, из-за которых люди постоянно теряют деньги. Достаточно одного касания. Вы устанавливаете APK-файл — «обычное» приложение — и всё: доступ к вашему NFC, платежной системе и картам уже у атакующего. Именно так работает вирус SuperCard, и он уже в России.

Мошеннические схемы с NFC — одни из самых популярных и опасных в 2025 году. В них используют встроенный NFC-модуль смартфона, и кража данных карт и денег происходит дистанционно.

  Вы не заметите ничего странного. Всё выглядит легитимно, потому что нажатия, удаления, установки совершаются самим пользователем.   ❗️ В наших карточках — визуальный разбор действий, на которых построены атаки. Fraud Protection от F6 фиксирует подмену поведения и нестандартные паттерны, выявляя угрозу до транзакции и блокируя её.    ➡️ Читать больше о схеме с SuperCard ➡️ Получить месяц бесплатного тестирования Fraud Protection F6

😑 🎥 Половина кинопрокатных премьер утекает в интернет. Публикуем результаты большого исследования.   Аналитики Digital Risk Protection F6 подвели итоги исследования кинопиратов. Оно длилось полтора года и включало данные закрытых отчетов, которые специалисты F6 готовили совместно с «Бюллетенем кинопрокатчика». Ключевые цифры ⬇️ ▪️ За IV квартал 2023-го аналитики проверили 122 прокатных релиза — около 30% из них были слиты в сеть. ▪️ За 2024 год специалисты проверили 621 прокатный релиз — 48% фильмов оказались в сети на момент показа в кинотеатрах. ▪️ В 2025-м доля слитых в сеть фильмов выросла — 51% прокатных релизов «запремьерили» на пиратских ресурсах. ▪️ Доля слитых в сеть иностранных новинок в восемь раз выше, чем отечественных.

Эвелина Переходюк, старший аналитик первой линии CERT Digital Risk Protection F6: Отечественные кинопрокатчики активнее защищают контент от несанкционированного использования. Кроме того, после ухода из России многих иностранных онлайн-кинотеатров и кинопрокатчиков единственным доступным вариантом для просмотра зарубежного контента становится посещение пиратских ресурсов.

  ▪️ Несмотря на снижение доходов интернет-пиратов последние шесть лет с $87 млн до $36 млн, количество распространяемого пиратского контента растет.

Мария Огнева, руководитель первой линии CERT Digital Risk Protection F6:

Интернет-пиратство сейчас — это не отдельные пользователи, распространившие контент, а устойчивые CAMRip-группировки, крупные пиратские CDN и бесчисленное количество нелегальных онлайн-кинотеатров с «зеркалами», через которые распространяются пиратские копии. Если копия прокатного релиза сливается в сеть, то она быстро появляется на всех пиратских площадках.

😉 Борьба с киберпреступностью

F6 выявила всплеск мошенничества с оплатой проезда по российским автомагистралям и скоростным дорогам. Специалисты F6 Threat Intelligence обнаружили разветвленную инфраструктуру вредоносных доменов, выдающих себя за официальные сервисы оплаты транспортных услуг. Одна из сетей злоумышленников включала 39 доменов, в том числе для оплаты проезда по Московскому скоростному диаметру, платным дорогам Санкт-Петербурга, Вознесенскому тракту в Казани и скоростным автодорогам России. Сайты визуально похожи на официальные и свободно индексируются в поиске. Один из вредоносных доменов оказался даже на верхних строках выдачи. Как работает схема ⬇️ 1️⃣ Пользователь вводит данные авто (госномер или номер транспортной карты). 2️⃣ Система показывает якобы имеющуюся «задолженность». 3️⃣ Ресурс запрашивает данные карты, а при вводе данных направляет запрос на СМС-подтверждение — всё выглядит очень убедительно! 4️⃣ Деньги списываются, а данные карты остаются в руках у мошенников и могут использоваться повторно. Максимальный ущерб от этого вида фишинга превысил 22 тыс. рублей. С помощью графа сетевой инфраструктуры эксперты обнаружили целую инфраструктуру доменов, принадлежащую одному и тому же злоумышленнику. Большинство из опасных ресурсов уже заблокированы. 😉 Борьба с киберпреступностью

📢«Киберпреступник, управляющий рабочим устройством, — как волк в овечьей шкуре: действует в инфраструктуре, не вызывая подозрений» Каждое устройство компании — мишень для хакеров. EDR (Endpoint Detection and Response) — решение, которое обнаруживает угрозы на конечных станциях (ПК и серверах) и помогает в реагировании. Оно собирает данные для расследования инцидентов, а также позволяет: 💚 изолировать зараженные устройства; 💚 нейтрализовать вредоносную активность; 💚 собирать криминалистические данные; 💚 проводить мероприятия по восстановлению. 👍 EDR эффективнее традиционных средств защиты, так как обнаруживает новые методы киберпреступников, выявляет нестандартную опасность и ведет проактивный поиск недетектируемых угроз. ➡️ Как работает EDR в деталях и что выбрать компании — XDR или EDR — читайте в статье.

😧 Завтра, 5 июля, десятки тысяч пользователей банковских карт в России могут превратиться в подозреваемых — вступит в силу закон об уголовной ответственности для дропов (или «дропперов»). Кто это такие, в чем их опасность и как порядочному человеку по незнанию не оказаться частью преступной сети — рассказывают эксперты F6 Сергей Золотухин и Дмитрий Дудков в нашей свежей «Кибершпаргалке».

Что объединяет экстравагантного магната, ищущего террористов криптографа и офисного тихоню? Все они — главные герои наиболее часто копируемых пиратами фильмов за июнь. Возможно, выбор преступников связан с громкими именами. Пираты сделали ставку, что кино с Орландо Блумом и Рами Малеком однозначно будут искать и смотреть. Вот как топ-10 выглядит полностью: 1️⃣ «Под прикрытием» 2️⃣ «Новичок» 3️⃣ «Финикийская схема» 4️⃣ «Расплата 2» 5️⃣ «Грешники» 6️⃣ «Пункт назначения: Узы крови» 7️⃣ «Источник вечной молодости» 8️⃣ «До безумия» 9️⃣ «Долина Эха» 1️⃣0️⃣ «Легенды наших предков» Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составляет список фильмов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено в этом месяце. 😉 Борьба с киберпреступностью

KION и F6 объединились для защиты контента. Разбираем реальный кейс. 🎥 Несмотря на развитие стримингов, нелегальное распространение контента продолжает расти. Только за 2024-й выявили 100 000+ новых пиратских доменов. Чтобы противостоять этой угрозе, онлайн-кинотеатр KION внедрил решение F6 Digital Risk Protection — Anti-Piracy. Вот чего удалось достичь ⬇️ 💚 Мониторинг 24/7 — наши системы отслеживают нелегальные ресурсы по всему миру на разных языках. 💚 Автоматическое реагирование — оперативно выявляем нарушения благодаря уникальной системе анализа и машинного обучения. 💚 Глубокий анализ — мониторинг поисковой выдачи каждые две минуты в «Яндекс» и каждые 30 минут в Google. 💚 Оперативное уведомление — связываемся с хостинг-провайдерами и администраторами ресурсов, требуя ограничить доступ к пиратскому контенту. ‼️ Опыт KION показал, что системная защита и современные технологии существенно снижают риски пиратства. Узнать детали кейса и прочитать «Историю успеха» полностью.

Итоги полугодия: F6 обнаружила 555 доменов поддельных инвестиционных сайтов. Инвестиционное мошенничество существует давно, но по-прежнему приносит большую прибыль злоумышленникам. 🔍 Аналитики F6 проанализировали лишь несколько шаблонов поддельных сайтов инвестиционного мошенничества, выдающих себя за известные бренды. В первом полугодии 2025 года было зарегистрировано 555 доменов — на 3.93% больше, чем во втором полугодии 2024 года (534). А реальные масштабы данной схемы намного больше. ⚙️ Также киберпреступники постоянно меняют дизайны шаблонов, используя актуальные инфоповоды для привлечения аудитории на мошеннические ресурсы. 😉 Борьба с киберпреступностью

Новые амбассадоры бизнес-клуба Кибердома Сообщество резидентов Кибердома выходит на новый этап развития: в июне 2025 года оно официально сменило название и стало бизнес-клубом Кибердома. Сегодня это активная профессиональная площадка для обмена опытом, знаниями и лучшими практиками на стыке бизнеса, технологий и информационной безопасности. Приветствуем новых амбассадоров: ➡️ Наталья Воеводина, СЕО Кибериспытание ➡️ Кирилл Мякишев, CISO Ozon ➡️ Всеслав Соленик, CISO СберТех ➡️ Валерий Баулин, СЕО F6 ➡️ Егор Богомолов, CEO CyberEd ⬆️ Каждый амбассадор в течение года будет принимать активное участие во встречах сообщества в роли спикера, модератора или участника отраслевых встреч, а также помогать бизнес-клубу Кибердома с формированием повестки, с разбором реальных кейсов из практики. Рады видеть Наталью, Кирилла, Всеслава, Валерия и Егора в комьюнити и уже готовим посты, чтобы познакомить вас с ними поближе! #бизнес_клуб 🏠 Кибердом

Видим цель — не видим препятствий 😎 На фестивале PHDays коммерческий директор F6 Егор Халилов дал блиц-интервью для AM Live. О бренде, продуктах, клиентах и амбициях стать компанией №1 в сфере кибербеза — смотрите в видео. 📺 ВК Видео 📺 YouTube 📺 RuTube

👀 Пока пользователи еще не вошли в систему, боты уже вовсю тестируют формы, атакуют API и эмулируют человеческое поведение. Объясняем, как бизнесу расширить контролируемую зону в ИБ. Традиционные инструменты защиты (WAF, антифрод, капчи) срабатывают слишком поздно и не покрывают уязвимые участки до логина. Preventive Proxy — решение, которое анализирует поведение ещё до авторизации: ▪️ отслеживает аномалии в действиях; ▪️ профилирует сессии; ▪️ выявляет автоматизацию; ▪️ принимает решения в реальном времени. Скрытую структуру атак также позволяет выявить графовый анализ. Он может установить:  ▪️ множественные входы с одного устройства под разными аккаунтами; ▪️ повторяющиеся поведенческие паттерны при различии идентификаторов; ▪️ активность из одной подсети с разными агентами и отпечатками. Подробнее о защите трафика до авторизации — рассказали в статье.

FakeDate по новым правилам: злоумышленники заманивают жертв на «киноплатформу» и похищают деньги.   В основе — адаптированная схема «Антикино». Злоумышленник под видом привлекательной девушки из крупного российского города знакомится с потенциальной жертвой в соцсетях, на сайтах знакомств или в Telegram-боте. ⬇️ Далее мошенник переводит переписку в мессенджер, где предлагает провести вечер за просмотром кино через специальное приложение. ⬇️ Оформление «подписки» на него предоставляет злоумышленникам доступ к счету жертвы. Детали новой схемы — в релизе. ‼️В новом сценарии злоумышленники используют бренд платформы (RAVE), которая позволяет совместно просматривать фильмы онлайн и обсуждать их. Они создали фишинговый сайт, который внешне напоминает оригинальный ресурс. С начала 2025 года по схеме с «кино на расстоянии» мошенники обманули более 40 человек, сумма ущерба — 340+ тыс. рублей. 😉 Борьба с киберпреступностью

Лето в этом году — точно не для пикников и прогулок. Но будем стараться брать от него всё — например, возможности после прохождения трех мощнейших курсов F6 😎 1️⃣Компьютерная криминалистика и реагирование на инциденты в ОС Linux Когда? 2–3 июля 2025. Кто? Ангелина Аникина, тренер по кибербезопасности. Зачем? Чтобы быстро и грамотно реагировать на инциденты в Linux-системах, освоив ключевые элементы Linux DFIR: сбор данных, анализ оперативной памяти и хостовую криминалистику — с практическими кейсами и отработкой навыков. 2️⃣Компьютерная криминалистика и реагирование на инциденты в ОС Windows Когда? 21-25 июля 2025. Кто? Михаил Николаев, старший тренер образовательного центра F6, Светлана Бурикова, руководитель образовательного центра F6. Зачем? Чтобы изучить методы сбора криминалистических данных, создание копий накопителей информации и анализ артефактов для восстановления хода атак. Узнать, как эффективно и наиболее полно восстанавливать картину инцидента с использованием расширенного списка криминалистических артефактов, используя инструменты и подходы, применяемые в ОС Windows. 3️⃣Тестирование на проникновение Когда? 15–17 июля 2025. Кто? Кирилл Федоренко, специалист по тестированию на проникновение. Зачем? Чтобы углубиться в методы и подходы киберпреступников и эффективно выявлять уязвимости в системах своей организации. А также чтобы освоить техники, которые значительно повысят уровень безопасности и защитят бизнес от угроз. ➡️ Детали о курсах и их стоимость можно уточнить, написав на почту edu@f6.ru или заполнив форму на сайте.

🔥 Эксклюзивная пятница 🔥 Никита Кислицин и Евгений Чунихин поделились горячими инсайдами о продуктах и планах компании на будущее. Технический директор F6 и бизнес-руководитель департамента киберразведки дали интервью для CISO CLUB. Что внутри: 💚 анонс релиза новых продуктов F6; 💚 анализ эволюции кибератак в электронной почте и способы защиты; 💚 детали о детект-системе F6; 💚 планы по развитию антифрод-решений, а также ASM F6; 💚 конкурентные преимущества нашего TI; 💚 советы компаниям, которые только начинают знакомиться с киберразведкой. Приятного просмотра 😎

Новая масштабная атака Werewolves: злоумышленники рассылают фейковые досудебные претензии с опасными вложениями, маскируясь под базу отдыха и завод спецтехники.

Werewolves — группа вымогателей, действующая с 2023 года. В арсенале инструментов — Anydesk, Netscan, CobaltStrike, Meterpreter и Lockbit. Главные цели — промышленные предприятия, телеком, IT, финансовые и страховые организации. Особенность группы: двойное давление на жертву — кроме вымогательства за расшифровку данных, злоумышленники выкладывают на сайте информацию о тех, кто отказался платить.

‼️Последняя (июньская) волна рассылок призывала оплатить задолженности. Распространяемые вложения отличались. Вариант 1️⃣: архивы, содержащие исполняемые файлы. Злоумышленники присваивают вредоносным файлам двойные расширения (например, .pdf.lnk). При стандартных настройках Windows реальные расширения могут быть скрыты, и пользователь видит только «.pdf», что снижает бдительность и увеличивает вероятность запуска вредоносного кода. ➡️ Отчет на Malware Detonation Platform от F6 Вариант 2️⃣: документы Microsoft Office, в которых эксплуатируется хорошо известная уязвимость CVE-2017-11882. Эта уязвимость в компоненте Microsoft Equation Editor позволяет злоумышленнику исполнить произвольный код с привилегиями пользователя, который открыл файл. Подробности — в блоге на Habr.

❗️Бесплатные онлайн-библиотеки стали рассадником вредоносного ПО. Специалисты Центра кибербезопасности F6 обнаружили на сайтах популярных бесплатных онлайн-библиотек вредоносный код, который заражал компьютеры жертв майнерами — вредоносным ПО для скрытой добычи криптовалют. 🔍 С помощью системы F6 Managed XDR аналитики заметили, что на одном из устройств компании-клиента вредоносный код внес исключения в настройках антивируса и запустил ряд процессов на компьютере жертвы. После локализации угрозы и исследования инцидента специалисты установили, что пользователь самостоятельно скачал файл с ресурса flibusta[.]su и запустил его. ❗️Майнер загружается только на компьютер. Если открыть сайт на смартфоне, злоумышленники только перехватят логин и пароль от учетки на инфицированном ресурсе, если жертва введет их в форму авторизации. ⚙️ Графовый анализ Graph Threat Intelligence F6 показал, что вредоносный код также содержали и другие сайты онлайн-библиотек, которые в месяц посещают около 9 млн пользователей. Тот же скрипт распознали на сайтах интернет-магазинов и онлайн-площадках для хобби. 😉 Борьба с киберпреступностью