Cicada8 предупредила о волне фишинговых атак на российские банки и маркетплейсы

Ландшафт киберугроз в начале 2026 года: аналитика Cicada8

В первом квартале 2026 года специалисты компании Cicada8 зафиксировали устойчивый тренд на использование многоступенчатых фишинговых сценариев. Злоумышленники продолжают эксплуатировать доверие пользователей к крупным брендам, банковским организациям и государственным структурам, постепенно внедряя в свои схемы инструменты генеративного искусственного интеллекта.

Банковский сектор и популярные маркетплейсы как точки входа

Основным вектором атак остаются фишинговые ресурсы, имитирующие интерфейсы крупных финансовых институтов. В зоне внимания злоумышленников оказались «Т-Банк», ВТБ, «Альфа-Банк», «Уралсиб», «Озон Банк», а также регулятор. Сценарий атак достаточно предсказуем: пользователям предлагают пройти опрос о качестве предоставляемых услуг, обещая за это денежное вознаграждение в среднем до 6000 рублей. После завершения опроса жертва перенаправляется на форму для ввода данных карты. Помимо этого, фиксируются случаи создания подложных страниц авторизации в личных кабинетах и акции с «подарками к праздникам».Сектор e-commerce атакуют аналогичным образом. Основными целями стали площадки Ozon, Wildberries, «Авито», СДЭК и «Яндекс Маркет». Мошенники используют как классический фишинг под видом входа в аккаунт, так и манипуляции с проведением платежей или оформлением возвратов. Также выявлено распространение вредоносного ПО через клонированные версии магазина приложений RuStore.

Мессенджеры и порталы госуслуг

Наблюдается заметный всплеск активности атакующих в мессенджере «Макс», в то время как интенсивность атак в Telegram и «ВКонтакте» стабилизировалась на уровнях конца 2025 года. Механика взаимодействия с пользователем включает опросы, призывы голосовать за фотографии и другие действия, требующие авторизации, которые в итоге приводят к переадресации на вредоносные ресурсы. Отдельной площадкой для злоумышленников остается портал «Госуслуг»: здесь превалируют схемы, связанные с предложением различной материальной помощи или социальных выплат.

Ситуативные схемы и эволюция социальной инженерии

В текущем периоде активно эксплуатируются ситуативные форматы обмана. К ним относятся имитации инвестиционных площадок или игровые механики, например, «рулетка», где после серии неудачных попыток жертве «выпадает приз» от 5000 рублей, что служит триггером для ввода платежных данных. Также сохраняется стойкая активность мошеннических кампаний от лица вымышленных структур, включая проект «ГазИнвест». Подобные ресурсы пропагандируют идеи «антикризисных выплат» для граждан, рожденных в СССР, или распределение дивидендов, собирая персональные данные для дальнейших попыток хищения средств.

Дипфейки и тактики запугивания

Технологический стек злоумышленников пополнился генеративными видеороликами. ИИ-модели создают качественные дипфейки публичных личностей, которые предлагают инвестировать средства в «секретные проекты». Для вовлечения аудитории часто обещают внушительные компенсации в случае отсутствия прибыли — до $500 000.Другим направлением стала агрессивная психологическая атака. Пользователя принудительно переводят в полноэкранный режим браузера, где демонстрируется аудиосообщение о блокировке устройства со стороны МВД. Требование оплаты «штрафа» в размере 6300 рублей через QR-код сопровождается угрозами возбуждения уголовного дела. Отдельно эксперты отмечают специализацию мошенников на «повторных атаках»: злоумышленники связываются с пострадавшими от криптомошенников и предлагают помощь в возврате средств, что приводит к новой краже данных.Проще говоря, структура большинства атак сегодня — это двухэтапный процесс. Сначала пользователя вовлекают в рутинное или привлекательное действие, а затем на «крючке» из собранных данных мошенники выстраивают полноценный сценарий хищения, часто дополняя его телефонным разговором для придания ситуации достоверности.