Эксперты компании F6, специализирующейся на технологиях противодействия киберпреступности, изучили динамику распространения наиболее массовой схемы онлайн-мошенничества «Мамонт», нацеленной на жителей России. Преступники чаще всего маскируются под продавцов товаров на площадках с бесплатными объявлениями, предлагают скидки в фальшивых интернет-магазинах, а также размещают фиктивные предложения об аренде жилья и туристическом жилье. В аферах против россиян злоумышленники эксплуатируют названия около пятидесяти фирм. С середины 2024 года до конца 2025 года киберпреступники, действующие по схеме «Мамонт» в России, присвоили у граждан свыше одного миллиарда рублей. Об этом CNews рассказали в F6.
Атакуют реже, но суммы растут
Схема «Мамонт» существует уже свыше шести лет. На протяжении всего этого времени основной аудиторией мошенников остаются российские пользователи: именно на них отрабатываются новейшие методы обмана, которые затем применяются в Европе, Средней Азии и США. Согласно данным F6, по числу успешных краж эта схема занимает второе место после телефонного мошенничества.
Базовый механизм «Мамонта» практически неизменен: злоумышленники публикуют на сайтах объявлений предложения о продаже товаров по заниженной цене и через фишинговые страницы похищают у жертв средства и реквизиты карт. При этом новые сценарии для поиска жертв и способы обмана появляются почти ежемесячно, как и методы обхода ограничений, которые в последнее время активно вводятся в России для борьбы с мошенниками.
Сотрудники департамента защиты от цифровых угроз (Digital Risk Protection) компании F6 исследовали тенденции развития схемы «Мамонт» на российском направлении.
Наиболее распространённые сценарии по-прежнему связаны с мнимыми продажами через сайты бесплатных объявлений, оформлением заказов в онлайн-магазинах по акции, а также бронированием апартаментов и гостиниц для отпуска.
За последние полтора года, с июля 2024 по декабрь 2025 года, восемь преступных групп, атакующих нашу страну, похитили у пользователей более миллиарда рублей (1 036 899 742), осуществив свыше 100 тысяч списаний (106 292). За этот период средний размер успешного хищения вырос почти вдвое – с 9603 рублей по результатам второй половины 2024 года до 17 223 рублей во втором полугодии 2025 года. Количество же переводов в пользу преступников за то же время сократилось на 40%.
Проблемы добавил QR-код
Одно из наиболее заметных нововведений в схеме – использование дополнительных способов вывода денег с банковских карт.
Ранее мошенники предлагали два варианта оплаты несуществующих товаров и услуг: ввести данные карты на поддельном сайте или сделать прямой перевод по реквизитам. В 2025 году стали активно применяться альтернативные методы: перевод средств по QR-коду или на номер телефона.
К примеру, во второй половине 2025 года одна из преступных группировок осуществила посредством фишинговых сайтов 24,2% всех операций, тогда как переводы по QR-коду и номеру телефона составили 26,6%. Остальные 49,2% пришлись на иные методы хищения средств, включая прямые платежи по банковским реквизитам, которые злоумышленник направляет жертве напрямую в переписке, минуя мошеннические ресурсы.
Возникновение альтернативных вариантов оплаты на подобных сайтах не было случайным. Подобная деятельность квалифицируется как скам, а не фишинг. Именно поэтому блокировка таких ресурсов требует больше времени по сравнению с фишинговыми, что выгодно преступникам. По той же причине киберпреступники могут дольше эксплуатировать для хищений банковские карты и счета дропов. Всё это позволяет злоумышленникам сокращать издержки и увеличивать доходность от противоправной деятельности.
Ещё одной характерной чертой схемы «Мамонт» в 2025 году стало активное использование мошенниками банковских карт, выпущенных в странах СНГ. Наиболее часто украденные средства переводились на карты Узбекистана.
Атаки на бренды усиливаются
С самого начала схема «Мамонт» основывалась на эксплуатации известных торговых марок. При этом преступники постоянно пополняют их перечень и тестируют новые на реальных пользователях. В случае успеха бренд продолжает использоваться, а некоторые перестают применяться уже спустя несколько месяцев после первого внедрения.
В 2024 году, на момент проведения исследования, в рамках схемы «Мамонт» против россиян использовались 42 бренда. Спустя год количество брендов, за которыми скрывались мошенники, возросло до 50 — подавляющее большинство из них представляют российские компании.
Наиболее часто в 2025 году для создания фишинговых страниц в схеме «Мамонт» применялись бренды служб доставки (18%), интернет-магазинов (16%), сервисов денежных переводов (14%), грузоперевозок и фриланс-бирж (по 12%). Также популярными прикрытиями для злоумышленников остаются бренды сервисов аренды жилья и мест для отдыха (10%), маркетплейсов (8%) и площадок бесплатных объявлений (4%).
«Большинство преступных групп, работающих по схеме «Мамонт», в настоящее время сталкиваются с проблемами при поиске способов вывода средств пользователей. Получить реквизиты дропов становится всё труднее, скорость блокировки таких карт растёт. Мелким группам злоумышленников стало сложно окупать свою деятельность, что привело к прекращению работы многих из них. Также начали сворачивать криминальный бизнес некоторые крупные группировки, действовавшие практически с момента появления схемы «Мамонт». Многие исполнители переходят в другие мошеннические команды, которые распространяют вредоносное ПО или работают по схеме фальшивых знакомств (Fake Date)», — отметила Мария Синицына, старший аналитик департамента Digital Risk Protection компании F6.
Исход множества мошеннических группировок свидетельствует о возможных значительных изменениях в схеме «Мамонт» в России, однако, по оценке экспертов F6, киберпреступники не намерены от неё отказываться. Стремясь сократить расходы и обойти ужесточающиеся ограничения, злоумышленники работают над повышением доходности каждой атаки. Следовательно, в скором времени подобные атаки могут перейти на качественно новую ступень.
