Телефонное мошенничество в России окончательно перестало быть набором примитивных разводов «по скрипту» и превратилось в гибрид социальной инженерии и вредоносного ПО, где ключевую роль всё чаще играет смартфон самой жертвы. По данным «Лаборатории Касперского», с подозрительными звонками с неизвестных номеров в прошлом году столкнулись 66% пользователей, а различные спам-звонки получали около 95%. В 2026 году телефонный звонок всё чаще становится лишь первым шагом многоступенчатой атаки.
Как отметил главный эксперт компании Сергей Голованов, мошенники продолжают активно менять легенды, подстраиваясь под повестку. В конце года они эксплуатировали тему налоговых обязательств, представляясь регуляторами и запугивая штрафами за якобы не сданную работодателем декларацию. Осенью массово использовался сценарий с курьерской доставкой заказного письма, где под предлогом уточнения адреса у жертвы выманивали код из СМС. На практике этот код открывал доступ к личным кабинетам сервисов и становился входной точкой для дальнейших действий. По словам эксперта, в 2025 году социальная инженерия всё чаще сочеталась с техническими инструментами, что делало атаки значительно эффективнее.
Самым показательным примером такого «гибрида» стала схема злоупотребления NFC, получившая название «обратный NFC». Если прямые атаки с использованием NFCGate в течение года удалось во многом пресечь, то их зеркальная версия, напротив, набрала обороты во второй половине 2025-го. По данным «Лаборатории Касперского», за год было зафиксировано десятки тысяч попыток таких атак, а количество пострадавших пользователей росло от квартала к кварталу. Именно «обратный NFC» стал одной из ключевых мобильных угроз года наравне с банковскими троянами.
Сценарий выглядит технологически изящно и при этом опирается на доверие пользователя. Сначала жертву по телефону или в переписке убеждают установить APK-файл под видом легитимного приложения — для «защиты карт», «бесконтактных платежей» или даже «работы с цифровым рублём». После установки программа просит назначить себя платёжным приложением по умолчанию, и этот шаг критически важен: зловреду не нужен root-доступ, достаточно согласия пользователя. Далее человека направляют к банкомату и под предлогом перевода средств на «безопасный счёт» просят приложить смартфон к NFC-модулю. В этот момент банкомат фактически работает не с картой жертвы, а с картой мошенника, данные которой загружаются на телефон. ПИН-код заранее диктуют по телефону, представляя его временным или «обновлённым». В результате пользователь собственными руками вносит наличные на счёт злоумышленников, вернее, их «дропа», при этом у него не сохраняется реквизитов перевода, что серьёзно усложняет выявление и предотвращение таких эпизодов, поскольку со стороны банка это выглядит как легитимная операция по пополнению счёта карты, в которой реквизиты жертвы вообще не задействованы.
Параллельно с NFC-схемами в 2025 году резко выросла активность мобильного банковского трояна Mamont, который эксперты уже не считают «вымирающим» семейством. Он распространяется через СМС и за год увеличил число атакованных пользователей почти в десять раз по сравнению с 2024-м. Получая доступ к сообщениям и push-уведомлениям, Mamont позволяет перехватывать коды подтверждения и напрямую красть деньги со счетов. Количество мобильных зловредов, задействованных в телефонном мошенничестве, заметно увеличилось, даже несмотря на общее снижение доли атакованных пользователей.
На фоне этого «Лаборатория Касперского» продолжает развивать инструменты раннего предупреждения. Решение Kaspersky Who Calls теперь на iOS поддерживает определение звонящих в режиме реального времени, а не только на основе офлайн-базы, как раньше. Аналогичная функциональность уже была доступна на Android, где дополнительно реализована проверка исходящих звонков: пользователь получает предупреждение, если пытается позвонить на номер с мошеннической репутацией, или может автоматически блокировать такие вызовы.