Борьба с киберпреступностью | F6

⚡️Лонгрид недели ⚡️ Интереснейшая внутрянка антифрода — в блоге руководителя департамента по противодействию финансовому мошенничеству (Fraud Protection) F6 Дмитрия Ермакова. За плечами Дмитрия почти 20 лет работы в ИБ крупнейших банков. Этот опыт и помогает ему создавать технологический «купол» для защиты миллионов пользователей от мошенников. Вот что найдете в блоге ⬇️ ▪️ Куда уходят мошеннические сервисы? ▪️ Что драйвит спецов по антифроду? ▪️ Когда россияне перестанут верить мошенникам? ▪️ Как развитие технологий влияет на ИБ и на самих злоумышленников? ▪️ От чего зависит эффективность противодействия мошенничеству? ▪️ Как ловят инсайдеров и многое другое. ➡️ ЧИТАТЬ БЛОГ

❗️ Корпоративные устройства — место битвы атакующих и ИБ-команды. Чтобы обойти защиту, злоумышленники придумывают сложные методы: ▪️управляют атакой своими руками; ▪️используют уязвимости программ, которые есть в компании; ▪️разрабатывают ВПО под конкретную инфраструктуру. Бороться со сложными атаками помогает EDR, он замечает любую подозрительную активность на устройствах. 👀 Обзор решения на кейсах — в новом материале от F6: «Как защитить корпоративные устройства» Ключевые темы ⬇️ 1️⃣Сложные методы атакующих. 2️⃣Чем EDR отличается от стандартного антивируса. 3️⃣Возможности EDR на примерах из атак. 4️⃣Как EDR используется в Threat Hunting. 5️⃣Что выбрать: XDR или EDR. ➡️ СКАЧАТЬ МАТЕРИАЛ

⚡️ Группа Kinsing впервые развернула масштабное наступление на российских пользователей. Киберразведка (TI) F6 разобрала эти атаки.

Группировка Kinsing действует за рубежом с 2019 года. Она специализируется на криптоджекинге — незаконном использовании вычислительных ресурсов зараженных систем для майнинга криптовалют, преимущественно Monero (XMR), а также на создании и расширении ботнетов. Большинство атак зафиксированы в Северной Америке, Западной Европе и Азии. В 2024 году российские исследователи сообщили об обнаружении атаки Kinsing, не обозначая ее цель атаки и расположение. В 2025-м группировка впервые начала масштабное наступление против российских организаций.

🔍 Как Россия столкнулась с Kinsing? Весной один из клиентов F6 зафиксировал попытку кибератаки на свои внешние сервера. Он обратился за атрибуцией в департамент киберразведки (Threat Intelligence) F6. В результате тщательной проверки индикаторов компрометации (IoCs), анализа сетевого трафика, корреляции с внешними источниками Threat Intelligence и сопоставления выявляемых тактик, техник и процедур (TTPs) злоумышленника специалисты вышли на след Kinsing. ⚙️ Как работает группировка? Цель — заражение устройств вредоносным ПО для майнинга криптовалют. Злоумышленники сканируют инфраструктуру, чтобы выявить уязвимости, которые затем используют для выполнения вредоносного кода в системе. В случае успешной атаки на устройство жертвы загружается и запускается вредоносный скрипт, который ищет майнеры конкурентов, удаляет их и устанавливает майнер группировки. ‼️Атаки Kinsing нацелены на серверные системы компаний. Результат заражения — замедление работы, снижение производительности и ускоренный износ оборудования. ➡️ Подробности исследования и индикаторы компрометации — в новом блоге F6.

🛡 Дайджест по защите почты 🛡 Собрали полезные материалы против современных киберугроз. Злоумышленники становятся изобретательнее в атаках на почту: ▪️используют ИИ для создания писем от «коллег и партнеров»; ▪️«прячут» ВПО в архивах с паролем, добавляют QR-коды; ▪️используют социальную инженерию, создавая иллюзию доверия. Как защитить деловую переписку: четыре шага 1️⃣Проверьте ключевые настройки и процессы. Подробные рекомендации — в чек-листе. 2️⃣Протестируйте защищенность почты. В этом поможет бесплатный инструмент от F6: введите корпоративную почту, и мы отправим вам письма с обезвреженным ПО. Если письма окажутся во «Входящих», то почта уязвима и необходимо усилить ее защиту. 3️⃣Изучите правила кибербезопасности. Признаки опасного письма с примерами и советы — в нашем полезном обучающем материале. 4️⃣Используйте решение, которое защитит от сложных атак. Например, F6 Business Email Protection проверит вложения и ссылки, заблокирует нежелательные письма. Компьютерное зрение анализирует изображения и QR-коды, обнаруживает логин-формы. 💚 Как F6 BEP защищает почту: четыре сценария 💚 В 2025 году О’КЕЙ внедрил F6 BEP: как это было

Мошенники создали 140+ фейковых медсайтов с «консультациями» и поддельными лекарствами. 😧 Мошенники-«врачи» предлагают пользователям помощь в лечении буквально всего — готовы дать советы по борьбе с морщинами, давлением, запорами, простатитом и т.д. Во время консультации они навязывают покупку сомнительных препаратов и БАДов, которых нет в аптеках. 💲 Оплата — только дистанционно, состав препаратов неизвестен.

Тамара Цкиманаури, старший аналитик Digital Risk Protection F6: Обращение к подобным сайтам несет множество рисков. Пользователь может не только потерять деньги за покупку, но и подвергнуться повторной атаке под предлогом выплаты «компенсации». В разговорах со лже-врачами пользователи могут доверить им чувствительные данные о своем здоровье, которые злоумышленники позже могут использовать против них и их родственников. Наконец, прием препаратов по совету телефонного незнакомца может негативно отразиться на здоровье.

Всего аналитики F6 обнаружили 143 сайта, из них 117 (82%) были созданы в один день — 4 августа 2025 года, остальные в конце 2024-го. На страницах — реквизиты известной московской медкомпании для повышения доверия. ❗️Специалисты предполагают, что обнаружили группу ресурсов раньше полноценного запуска мошеннической кампании, так как в этот момент сайтов не было в поисковой выдаче, на них не вели ссылки из социальных сетей. 😉 Борьба с киберпреступностью

Пентестер = фриланс-хакер? Ответ на вопрос — в выступлении F6 на онлайн-конференции «ИБ — без фильтров» 😎 14 августа старший пресейл-инженер F6 Роман Черенков выступит с докладом «Свой среди чужих, чужой среди своих». Расскажет о комплексном подходе компании к защите клиентов, разберет реальные атаки и обсудит, кто такой пентестер — хакер, защитник или и то, и другое. ➡️ Зарегистрироваться Личное приглашение от Романа — в кружке выше 😎 До встречи на «ИБ — без фильтров!

F6 и hoster.by объединили усилия против киберугроз в России и Беларуси.  

hoster.by — провайдер IT-инфраструктуры и первый в Беларуси аттестованный коммерческий центр кибербезопасности. Инструменты фильтрации трафика hoster.by в среднем ежедневно блокируют по 390000 нежелательных или потенциально опасных запросов на один сайт.

💚 Цель сотрудничества — повысить защищенность бизнеса региона в условиях растущих киберугроз.    В случае обнаружения нарушений, в том числе фишинга, скама, распространения ВПО или ботнетов в доменных зонах BY и .БЕЛ, а также среди международных доменных имен, зарегистрированных через hoster.by, аналитики CERT F6 будут взаимодействовать с hoster.by для оперативного их устранения.

Сергей Повалишев, генеральный директор hoster.by: Мы нашли партнера, который разделяет нашу философию проактивной защиты и готов оперативно реагировать на реальные угрозы в режиме 24/7. Объединение усилий крупных игроков мы считаем одним из лучших инструментов борьбы. Синергия опыта обеих компаний позволит вывести проактивное противодействие киберугрозам на новый уровень и сделает интернет-пространство безопаснее. 

➡️ Подробнее — в релизе.

🎥 Как россияне получают фиш вместо Лабубу — показываем в скринкасте. Киберпреступники быстро адаптируют схемы под тренды и инфоповоды. Когда по всему миру завирусились игрушки Лабубу, злоумышленники моментально начали использовать их как приманку. Сейчас уже выявлена схема криптоскама с Лабубу, а в начале июня жертвы лишались денег и Telegram-аккаунтов, пытаясь просто купить игрушку. Подробнее — в скринкасте. 😉 Борьба с киберпреступностью

😧 Киберпреступники продолжают наживаться на Лабубу. На этот раз специалисты F6 обнаружили криптоскам с трендовой игрушкой.   В Digital Risk Protection F6 зафиксировали новый сценарий, ориентированный на владельцев криптовалюты. Аналитики обнаружили ресурс, предлагающий AirDrop (бесплатную раздачу) мем-токена Labubu. ❗️ Такой действительно существует, но найденный сайт не имеет к нему отношения. Когда пользователь пробует получить токен, фейк-ресурс открывает официальное расширение криптокошелька, установленного в браузере жертвы, после чего запрашивает разрешение на подключение кошелька к сайту.

Мария Синицына, старший аналитик Digital Risk Protection F6: Согласие пользователя позволяет злоумышленникам получить информацию о балансе и истории операций. Опираясь на эти данные, сайт либо выдаст сообщение, что аккаунт не соответствует требованиям, если на криптокошельке нет средств, либо попросит еще пару разрешений, после чего все или большая часть средств будут переведены на счета мошенников.

😉 Борьба с киберпреступностью

🎙 В этом году команда топ-менеджеров банка ВТБ прошла обучение на курсе «Противодействие кибергурозам» от компании F6. ⚙️ Зачем руководителям финансовых учреждений проходить обучение по информационной безопасности и что полезного они смогли внедрить в своей работе, рассказал заместитель руководителя департамента интегрированного управления рисками — вице-президент банка ВТБ Александр Логинов. В интервью: ▪️Три причины, по которым команда ВТБ выбрала курс от F6. ▪️Фишки и инсайды курса по противодействию мошенничеству в банковской сфере. ▪️Кому в первую очередь необходимо обучение. Смотреть здесь ⬇️ 📺 VK Видео 📺 RuTube 📺 YouTube ➡️ Узнать больше о курсах F6

❗️ Замена ключа от домофона может обойтись в круглую сумму. Так, недавно москвичка отдала мошенникам 5 кг золота, $200 тыс., €20 тыс. и ₽4 млн после звонка незнакомца, который сообщил о замене домофона и попросил назвать код из СМС для получения новых ключей. Недавно мошенники попытались поймать на потере бдительности нашего эксперта Сергея Золотухина. Что произошло и какие рекомендации всем россиянам дает Сергей — читайте в новой «Кибершпаргалке».

Как выследить и поймать атакующих в корпоративной сети? Найти их следы поможет Network Traffic Analysis. Решение обнаруживает вредоносную активность, аномалии и скрытые каналы в трафике. Как NTA «выслеживает» киберпреступников — читайте во второй части блога «Как защитить сетевой трафик». Разбираем ключевые сценарии. Так, NTA обнаруживает опасность, когда: ▪️атакующие только ищут уязвимости на внешнем периметре инфраструктуры; ▪️злоумышленники перемещаются внутри сети; ▪️хакеры пытаются обойти защиту; Также в статье: как NTA помогает найти теневые активы компании, собрать информацию для расследований и многое другое. ➡️ ЧИТАТЬ ЧАСТЬ 2: Обзор NTA В первой части блога рассказали о сложных угрозах в сети.

Через 1️⃣ неделю стартует курс о персональных данных. Как взаимодействовать с ними и предотвратить утечки — научим⬇️ Основы персональных данных: законодательство, обязанности и ответственность Когда? 13 августа 2025. Кто? Роман Сюбаев, руководитель отдела соответствия и консалтинга F6 Зачем? Чтобы узнать о действующих нормативных актах, видах персональных данных и роли обработчиков, а также разобраться в требованиях, предъявляемых к обработке данных, и формах ответственности за их нарушение. ➡️ Детали о курсе-лекции и его стоимость можно уточнить, написав на почту edu@f6.ru или заполнив форму на сайте.

👀 Как не угодить в APK-кан? Рекомендации с опорой на топ популярных схем. Злоумышленники могут использовать различные схемы, чтобы установить вредоносную программу на устройства пользователей. Один из распространенных вариантов компрометации — заражение Android-устройства трояном удаленного доступа (RAT) с помощью APK-файла под видом легальных приложений: банков, платежных систем, сервисов доставки, развлекательных платформ и т.д. Совместно с RuStore разобрали, как злоумышленники устанавливают ВПО на ваш смартфон ⬇️ ▪️Модификации NFCGate. Используя социальную инженерию, киберпреступники убеждают жертву установить вредоносный APK-файл под видом полезной программы и получают доступ к NFC, платежной системе и банковским картам. ▪️Предложение заработать. Злоумышленники размещают объявления о поиске сотрудников на удаленку. После отклика направляют ссылку, ведущую на сайт, замаскированный под магазин приложений Google Play. Там под видом легитимного приложения пользователю предлагают скачать вредоносный APK-файл, позволяющий перехватить данные карты, sms и пуш-уведомления. ▪️Опросы за вознаграждение. Пользователям от имени крупной организации предлагается за деньги принять участие в опросе. В основе схемы — вредоносное APK-приложение со встроенной фишинговой веб-страницей, которая запрашивает доступ к СМС и контактам мобильного устройства пользователя. Как защититься от вредоносного ПО: 💚 Регулярно обновляйте операционные системы и приложения. 💚 Загружайте ПО только из официальных источников. Так, российский магазин RuStore обязательно проверяет разработчиков, разрешения приложений и отсутствие вирусов. А их ручная модерация отсекает перегруженные рекламой аппы или программы с устаревшими правилами безопасности. 💚 Будьте осторожны со входящим контентом: не открывайте подозрительные вложения и ссылки в письмах и мессенджерах. 💚 Установите антивирус. 😉 Борьба с киберпреступностью

⚡️F6 и ФинЦЕРТ Банка России заключили соглашение о взаимодействии по противодействию компьютерным атакам.   В рамках информационного обмена F6 будет сообщать ФинЦЕРТ об угрозах и атаках в финансовой сфере, выявленных при защите клиентов. Соглашение предусматривает: ▪️сбор, обработку и обмен информацией об инцидентах; ▪️обмен опытом по вопросам противодействия и предупреждения нарушений, связанных с фишингом и распространением ВПО; ▪️проведение консультаций, семинаров, конференций по вопросам противодействия компьютерным атакам. 💚 Всё это поможет оперативно реагировать на возникающие угрозы в финансовой сфере, не допускать их распространения, а также минимизировать потери финансовых организаций и их клиентов.

Валерий Баулин, генеральный директор компании F6: Каждый день подразделения нашей компании, защищая клиентов от кибератак, обнаруживают новые угрозы на самых разных направлениях. Сотрудничество F6 с ФинЦЕРТ Банка России — продолжение миссии нашей компании по противодействию киберпреступности. Такое взаимодействие создает дополнительные возможности по повышению уровня ИБ финансового сектора и позволит оперативно актуализировать информацию о ландшафте угроз с учетом данных информационного обмена.

😉 Борьба с киберпреступностью

📢 «Женщина каждое воскресенье закрывает ипотеку». Новости с подобным заголовком выходят в фейковых Telegram-каналах и ведут пользователей по схемам инвестскама. F6 зафиксировала новую волну мошенничества с приманкой о выплатах молодым семьям, помощи с погашением ипотеки и др. Фейки маскируют в том числе под новости из СМИ. Хищение денег и данных происходит в мессенджере. Примеры новостей-фейков: ▪️ «С 1 августа семьи смогут подать заявление на ежегодное пособие 35 000 на каждого ребенка до 17 лет». ▪️ «Президент поручил оказать поддержку в виде сертификата 1 000 000 рублей на жилье для молодых семей и одиноких родителей». ▪️ «Россию шокировала женщина-инвестор, которая каждое воскресенье закрывает ипотеку и кредиты своих подписчиков». Также пользователям предлагают за деньги пройти опрос по удовлетворенности работой детских садов, проголосовать за лучшее детское питание и получить возврат денег за покупку детской одежды. Ссылки в таких сообщениях ведут на канал об удаленной работе, из которого россиян перенаправляют в другие инвестскам-каналы. ‼️Число подписчиков мошеннических каналов составляет десятки тысяч человек, а некоторых из них даже имеют регистрацию РКН. 😉 Борьба с киберпреступностью

🎥 Зубодробительный боевик «Балерина» с Аной де Армас, в котором ее героиня налево-направо крошит врагов с использованием всех видов огнестрельного и холодного оружия, а также огнемета, топоров и даже старых тупых коньков увлек любителей пиратских фильмов. Он на первом месте пиратского топа июля. А вот как выглядит весь топ-10 фильмов: 1⃣ «Балерина» 2⃣ «Кирпич» 3⃣ «Громовержцы» 4⃣ «Главы государств» 5⃣ «Финикийская схема» 6⃣ «М3ГАН 2.0» 7⃣ «Ледяной драйв 2: Возмездие» 8⃣ «Как приручить дракона» 9⃣ «Бессмертная гвардия 2» 1⃣0⃣ «Каратэ-пацан: Легенды». Каждый месяц F6 по просьбе «Бюллетеня кинопрокатчика» составляет список фильмов, наибольшее количество нелегальных копий (не просмотров!) которых было обнаружено в этом месяце. 😉 Борьба с киберпреступностью

Кривой дизайн, лишние символы и сомнительная срочность. Как не попасться на фишинговый сайт — рассказываем в чек-листе. Фишинговые сайты всё чаще копируют реальные сервисы до мелочей. Но выделить основные признаки, по которым распознается мошеннический ресурс, все-таки можно. Вот несколько главных рекомендаций от F6⬇️ 1️⃣Всегда проверяйте адрес сайта. Он должен начинаться с https://, иметь домен без подмен и без странных символов. Проверьте его дату регистрации, используя Whois-сервисы — киберпреступники часто регистрируют домены незадолго до атаки. 2️⃣Замечайте детали. Например, кривой дизайн, грамматические ошибки, отсутствие прямых контактов компании. 3️⃣Не действуйте в спешке. Фишинг давит на срочность: если предлагают быстрый заработок или уникальное предложение, действующее в течение короткого промежутка времени, необходимо засомневаться. 4️⃣Не игнорируйте предупреждения браузера. При переходе на некоторые сайты вы можете видеть сигнал о возможной вредоносности ресурса — это не просто так. Больше рекомендаций и лайфхаков, которые уберегут вас и ваши данные от фишинга, — ищите в чек-листе F6. 😉 Борьба с киберпреступностью

Аналитики департамента киберразведки компании F6 вскрыли новую угрозу для российских организаций — программу-вымогатель Pay2Key. Зафиксировано как минимум три кампании, нацеленные на российские организации в сферах ритейла, финансов, ИТ и строительства. 🔍Шифровальщик предлагается на киберпреступных русскоязычных форумах по модели RaaS (Ransomware as a Service) с конца февраля 2025 года.

Вредоносная программа Pay2Key построена на базе Mimic – семейства ВПО с одной из самых сложных схем шифрования, которое активно используется для атак на российский малый бизнес.

❗️Для распространения вредоносной программы злоумышленники используют фишинговые рассылки. Темы разнообразные: от коммерческого предложения и подтверждения учетных данных до «забора с колючей проволокой». 🤚 Кроме фишинговых рассылок в арсенале атакующих были обнаружены самораспаковывающиеся архивы, легитимные инструменты и продвинутые способы обхода антивирусной защиты. ➡️Все детали исследования и индикаторы компрометации — читайте в новом блоге на сайте F6.