Сегодня деньги отмывают не в подвалах и не через чемоданы, а с помощью смартфонов со спутниковым интернетом и дипфейковой идентификацией. Почему такие схемы до сих пор работают, кто оказывается втянутым в них и почему банки не всегда успевают за мошенниками, разбирается IT-World.
За последние два года в банковском секторе Ближнего Востока, Турции и Африки стремительно выросло число схем обналичивания, в которых сочетаются цифровые и физические методы. По данным Group-IB, основанным на анализе более 200 миллионов мобильных сессий и тысяч расследований, преступные группы прошли путь от примитивных VPN до сложных конструкций с использованием eSIM, спутниковых терминалов Starlink, подмены GPS-координат и даже пересылки подготовленных устройств через границу. В отдельных случаях речь шла о сотнях счетов, открытых на подставные личности и замаскированных под инвестиционные или торговые проекты.
Такие схемы квалифицируются как уголовные преступления. В России действует соответствующая правовая база: статьи 159 и 174 УК о мошенничестве и легализации доходов, а также положения закона 115-ФЗ о противодействии отмыванию средств. На международном уровне применяются стандарты FATF, которые задают универсальные правила борьбы с «отмыванием» и прямо указывают на риски использования посредников, включая невольных участников.
Каждое пятое преступление в России уже совершается в цифровой среде — и эта доля продолжает расти.
Ситуация в России подтверждает масштаб угрозы. Как сообщает IT-World, по данным МВД, киберпреступления уже составляют около 40% всех зарегистрированных противоправных деяний. Только в 2024 году в стране было зафиксировано более 765 тыс. таких преступлений. В 2025-м рост продолжился, и за первые пять месяцев уже зарегистрировано свыше 308 тыс. подобных преступлений, преимущественно дистанционные хищения и мошенничество. Совокупный ущерб от действий злоумышленников превысил 81 млрд рублей, что делает цифровые каналы одним из ключевых инструментов современной криминальной экономики.
Эволюция преступных схем: от VPN до пересылки устройств
Первые волны обналичивания через удаленные каналы выглядели примитивно. Мошенники использовали VPN и прокси, чтобы скрывать реальное местоположение и входить в банковские приложения как будто из целевых стран. Но уже в 2023 году этот инструмент оказался практически бесполезным. В государствах Персидского залива действует один из самых жестких в мире контроль за сетевыми соединениями: доступ с IP-адресов, принадлежащих хостингам и облачным сервисам, блокируется автоматически.
В 2023 году почти 50% мошеннических попыток открытия счетов приходилось на VPN и прокси. Все они отсекались автоматически благодаря системе IP Fraud Protection.
Столкнувшись с этим барьером, преступные группы начали искать более устойчивые решения. На втором этапе активно использовались SIM и eSIM, зарегистрированные в целевых странах. Их закупали либо через посредников, либо через подставных лиц, что позволяло эмулировать локальное присутствие. В дополнение к этому начали применяться спутниковые терминалы Starlink, приобретенные на онлайн-площадках в Европе и Азии. Эти устройства давали динамические IP-адреса, которые выглядели легальными, поскольку были зарегистрированы в странах действия сервиса. Однако при сопоставлении таких подключений с GPS-координатами обнаруживались несостыковки: пользователь мог находиться в Сирии или Турции, а IP указывал на Германию или Великобританию. Такой кросс-анализ геоданных и сетевых признаков позволил банкам заблокировать несколько крупных кампаний.
Мошенники научились подменять не только IP, но и географию: телефон может находиться в Сирии, а система видит Германию.
Дальнейшее развитие схем привело к переходу на гибридные модели, в которых цифровые ухищрения сочетались с участием людей. Так называемые «первослойные мулы» открывали счета в целевых странах, проходили все процедуры идентификации и некоторое время пользовались счетами вполне легально, совершая небольшие переводы и оплачивая покупки. Это формировало «историю доверия» и снижало вероятность проверки. После этого учетные данные передавались операторам за рубежом или даже пересылались сами устройства. В отчете Group-IB фиксировались случаи пересылки смартфонов, уже авторизованных в банковских приложениях, за границу. Для системы безопасности банка такая активность выглядела как вход с привычного устройства без признаков компрометации.
Обнаружить подобные сценарии удавалось только с помощью поведенческой аналитики. Технологии фиксировали изменения в динамике использования: менялась скорость свайпов (пролистываний), угол наклона телефона, ритм касаний. В одном из расследований отмечалось, что даже при сохранении IP, SIM и устройства поведенческие метрики позволили выявить подмену владельца в течение первых часов после передачи смартфона.
GPS-спуфинг и «безсимочные» смартфоны
Когда банки научились сопоставлять IP-адреса, данные мобильных операторов и GPS-координаты, мошенники нашли способ вмешиваться в сам источник геолокации. В 2024 году начался массовый переход к GPS-спуфингу (подмене данных): на Android и iOS стали использоваться приложения, позволяющие изменять координаты и эмулировать присутствие в нужной стране.
Одним из крупнейших кейсов стала сирийско-турецкая сеть, которая открывала сотни счетов в банках Ближнего Востока. По данным Group-IB, мошенники использовали комбинацию поддельных SIM-карт и GPS-подмены, чтобы «перемещать» устройства из зон высокого риска в доверенные регионы. Часть финансовых потоков в этой сети имела признаки связей с экстремистскими организациями, что сделало расследование особенно чувствительным.
Для банков это стало сигналом: опираться только на геолокацию уже нельзя. Системы Fraud Protection начали фиксировать аномалии с повторным использованием одних и тех же координат, резкими «перемещениями» устройств на сотни километров и несостыковками между GPS и данными мобильной сети. Благодаря этим признакам десятки мошеннических кампаний удалось остановить еще на этапе первой попытки входа.
Даже если IP, SIM и устройство совпадают, банки умеют вычислить подмену владельца по углу наклона телефона и ритму свайпов.
Параллельно появилась новая тактика полного исключения SIM-карт. Устройства подключались к интернету через Wi-Fi или сеть других смартфонов. Это позволяло уйти от проверки MCC и MNC, которые указывают страну регистрации SIM-оператора. В 2024–2025 годах количество таких «no SIM sessions» выросло кратно. Аналитики Group-IB фиксировали резкий всплеск подозрительных сессий без SIM, которые на первый взгляд выглядели легальными, но при детальной проверке демонстрировали характерные признаки мошеннической активности.
Для банков это стало одним из самых сложных вызовов: потребовалось внедрять новые модели анализа, сопоставляющие не только GPS и SIM, но и целостность устройства, данные сенсоров и поведенческие метрики.
Маскировка под бизнес и использование «мулов»
Когда простые схемы перестали работать, мошенники стали маскировать свои операции под легальную деловую активность. Вместо прямых переводов деньги проводились через фиктивные инвестиционные соглашения и торговые контракты. Подделка выглядела убедительно: договоры сопровождались печатями, подписями и сканами уставных документов. В переписке использовалась деловая лексика про «иностранные инвестиции», «партнерство», «совместный проект». В некоторых случаях преступники шли дальше и организовывали формальные встречи, компенсировали расходы на командировки, чтобы придать истории правдоподобность.
Похожие схемы известны и в России. В расследовании OCCRP (признан нежелательной организацией в России) «Troika Laundromat» были выявлены сотни фиктивных сделок с ценными бумагами и займами, которые использовались для вывода около $4,8 млрд за рубеж. Схема «Russian Laundromat» включала фиктивные судебные решения и «долговые расписки», позволив вывести до $80 млрд через молдавские и латвийские банки. Внешне такие операции выглядели законными: суммы соответствовали рыночной логике, документы имели все атрибуты деловой отчетности. Автоматические системы финансового мониторинга видели обычные корпоративные переводы, и только последующий анализ цепочек показал их фиктивность.
Рейтинг финтех-сервисов и платежных решений для интернет-ретейла
Распространенной практикой стало вовлечение обычных граждан в качестве «невольных мулов». Сценарий повторяется из страны в страну: на счет человека приходит перевод, после чего его убеждают «вернуть деньги» или «помочь банку исправить ошибку». На деле это не возврат, а элемент схемы обналичивания. Жертва не подозревает, что ее счет используется для маскировки незаконных транзакций, пока сама не оказывается в зоне риска, поскольку формально такие действия подпадают под статьи о легализации доходов.
По оценкам МВД, в 2024 году ежемесячно в дроперские схемы вовлекалось до 100 тысяч человек, в том числе студенты и мигранты. «Известия» отмечали, что за год число случаев скрытого вовлечения выросло примерно на 20%. Для мошенников такой подход удобен: счет жертвы выглядит «чистым» и не вызывает подозрений систем мониторинга.
В России в дропперство вовлечены уже около 2 млн человек — многие даже не подозревают, что участвуют в отмывании.
По данным Банка России, в 2024 году через схемы с подставными лицами было похищено 27,5 млрд рублей. МВД добавляет еще одну тревожную цифру: ежемесячно в такие операции втягивались до 80 тысяч новых людей. По оценкам «Сбера», в общей сложности около 2 млн россиян уже оказались вовлечены в эту практику,зачастую даже не понимая, что становятся частью преступной цепочки. Масштаб явления вынудил власти ужесточить меры: принят закон, предусматривающий до 6 лет лишения свободы и штраф до 1 млн рублей. На 2025 год обсуждается следующий шаг с обязательной биометрической идентификацией при переводах свыше 10 тысяч рублей, чтобы сократить вовлечение случайных граждан в подобные схемы.
Юридические риски для жертв высоки. Даже если человек действовал добросовестно, формально его действия могут подпадать под статью 174 УК РФ о легализации денежных средств. Международные стандарты FATF прямо указывают на проблему вовлечения невольных посредников и требуют от банков анализировать нетипичные маршруты переводов, а не только проверять документы.
Криптовалюты выходят на первое место в теневых схемах
Регуляторы все чаще фиксируют рост обналичивания через криптовалюты, прежде всего с использованием стейблкойна USDT и P2P-бирж. Такие переводы проходят анонимно и их крайне трудно отследить в режиме реального времени. Эксперты отмечают, что именно эта «серая зона» становится удобным каналом для криминальных операций. Ранее IT-World в интервью с экспертом по безопасности криптовалют Алексеем Голенищевым подробно разбирал уязвимости P2P-площадок, Telegram-ботов и риски использования стейблкойнов в обналичивании.
Согласно аналитическому отчету Банка России, к середине 2024 года совокупная капитализация стейблкойнов превысила $150 млрд долларов, из которых почти две трети приходилось на USDT — около 100 млрд. Такая концентрация делает рынок уязвимым: обеспечение USDT не всегда прозрачно, что уже вызывало претензии со стороны международных регуляторов. Например, в 2021 году американская CFTC оштрафовала эмитента Tether на $41 млн за ввод инвесторов в заблуждение относительно структуры резервов.
USDT участвует в 8 из 10 трансграничных теневых переводов. P2P-биржи сделали его главным инструментом обналичивания.
Для схем обналичивания это имеет особое значение. В России и за ее пределами именно USDT стал основным инструментом теневых переводов. По оценкам экспертов, он используется примерно в 80% трансграничных транзакций, связанных с серым рынком. P2P-площадки позволяют обменивать стейблкойны на рубли и другие валюты без посредничества банка и зачастую без идентификации, что делает такие переводы почти неотслеживаемыми.
Битва между криптовалютами и квантовыми вычислениями: ждать ли победителя?
ЦБ России признает, что контроль за этими потоками ограничен из-за отсутствия полноценного правового механизма регулирования стейблкойнов. В отличие от ЕС или Сингапура, где эмитенты обязаны иметь лицензии и подтверждать резервы, в российском законодательстве единый режим пока не установлен. Тем не менее в 2024 году Центробанк сообщил о первых результатах: благодаря совместным действиям с кредитными организациями объем подозрительных P2P-сделок сократился почти втрое.
Противостояние финансового сектора
Усложнение схем обналичивания заставило банки перестроить свою защиту. Простая проверка IP или документов давно перестала быть барьером, поэтому контроль теперь строится на многослойной аналитике.
Первым слоем стала кросс-проверка сетевых и геоданных. Если устройство подключается через спутниковый терминал Starlink и получает IP из Европы, а GPS показывает нахождение на территории Сирии или Турции, система отмечает такую сессию как подозрительную.
Вторым уровнем защиты стал анализ SIM-карт. Банки проверяют коды MCC и MNC, которые указывают страну и оператора связи. Рост числа «no SIM sessions» в 2024–2025 годах показал, что мошенники активно используют смартфоны без SIM, подключенные через Wi-Fi или раздачу. Такие случаи теперь автоматически попадают в зону риска.
Третий уровень — проверка целостности устройства. Банковские SDK фиксируют признаки рутирования, использование эмуляторов или программ для подмены GPS. Даже отклонения в работе датчиков движения могут стать индикатором попытки обмана.
Четвертый уровень связан с поведенческой биометрией. Банки анализируют то, как именно человек пользуется приложением: скорость свайпов, ритм касаний, время активности, угол, под которым держат телефон. Эти параметры формируют цифровой почерк, который трудно подделать. Group-IB приводит примеры, когда подмена владельца устройства выявлялась в течение первых часов после пересылки смартфона за границу.
Поведенческая биометрия превращается в новое оружие против обналичивания: система видит то, что невозможно пока подделать.
Россия также развивает технологии защиты. Почта Банк внедрил селфи-верификацию при подозрительных операциях и по данным банка предотвратил порядка 5 тыс. мошеннических попыток, сохранив «сотни миллионов рублей» клиентов. Газпромбанк тестирует систему доступа по венам ладони и анти-deepfake-технологии, которые позволяют отличить реального клиента от поддельного видео. Сбербанк и ВТБ используют поведенческую аналитику, включая оценку привычных паттернов входа и частоты действий в приложении.
Финансовое мошенничество уходит в эпоху генеративного ИИ
Финансовые преступления вступают в новую фазу, где главным оружием становятся генеративные технологии. Уже сегодня фиксируются случаи использования дипфейков для прохождения онлайн-идентификации. По данным Sumsub, только за 2023 год число попыток пройти проверку с поддельными видео выросло в десять раз по сравнению с 2022-м. Это ставит под сомнение надежность привычных методов верификации с помощью паспортов и селфи. Эксперты предупреждают, что следующая волна атак будет полностью сгенерирована искусственным интеллектом и будет быстрее, массовее и реалистичнее, чем когда-либо.
Sumsub: число попыток пройти идентификацию с дипфейком выросло в 10 раз.
Риски не ограничиваются дипфейками. Автоматизация социальной инженерии также выходит на новый уровень. Большие языковые модели способны вести тысячи диалогов одновременно, персонализировать сообщения и гибко подстраивать их под реакцию жертвы. Europol отмечает, что LLM уже используются для создания правдоподобных писем, звонков и легенд на разных языках. И они выглядят убедительно и почти неотличимы от человеческой речи.
Эти тенденции усиливают «гибридность» мошеннических схем. Цифровые технологии все чаще переплетаются с логистикой и человеческим фактором: от использования «первослойных мулов» и пересылки устройств за границу до имитации бизнес-сделок.
ИИ – локомотив цифровизации финансовой отрасли
Эволюция обнальных схем подтверждает известную закономерность, чьто каждое новое ограничение лишь подталкивает преступников к еще большей изобретательности. В ответ банки переходят к многослойной защите, где в одном комплексе работают сетевой анализ, контроль устройств и поведенческая биометрия. Теперь доверие к цифровым сервисам зависит уже не от паспортов или GPS-координат, а от способности систем улавливать мельчайшие аномалии скачков геолокации и изменения привычного ритма использования приложения.
Для пользователей важно помнить, что даже участие «по незнанию» может обернуться уголовной ответственностью. Противостояние мошенникам уходит в зону глубокой аналитики поведения и телеметрии. Именно эти технологии станут решающим барьером в эпоху, когда подделать можно практически всё от документов до голоса.