Всплеск фишинговых атак на потенциальных покупателей перед началом «черной пятницы» фиксируют компании по кибербезопасности. Количество писем со ссылками, которые ведут на фейковые сайты, выросло в 3,5 раза по сравнению с прошлым месяцем. Злоумышленники активно распространяют их в соцсетях, заманивая людей огромными скидками. Эксперты предупреждают: атаки на покупателей становятся всё более точечными. Они призывают проверять даже письма, где упоминались предыдущие заказы, и взять паузу, прежде чем соглашаться на заманчивое предложение. Как еще атакуют покупателей и магазины накануне распродаж — в материале «Известий».
Самые распространенные схемы мошенничестваКоличество фишинговых писем перед глобальной распродажей «черная пятница» (28 ноября 2025 года) выросло в 3,5 раза по сравнению с прошлым месяцем, подсчитали эксперты компании «Нейроинформ». Сейчас в топ-3 самых распространенных схем, которые применили мошенники, — фейковые сайты известных брендов, запуск липовых акций в соцсетях и рассылка фальшивых уведомлений о доставке.
— Создание фейковых сайтов — довольно известная схема, но несмотря на это, потенциальные покупатели до сих пор попадают в эту ловушку, — предупредили в компании.
Только в ноябре этого года злоумышленники, по данным разных организаций по информационной безопасности, запустили от 700 до более 1 тыс. сайтов-клонов, имитирующих известные магазины. Оплачивая товар на подобных ресурсах, покупатели теряют не только деньги, но и данные своих банковских карт.
Фишинговые сайты очень похожи на легитимные площадки, подтвердил директор по продуктам и технологиям компании по управлению цифровыми риками BI.ZONE Муслим Меджлумов. Специалисты этой компании отмечают, что количество таких площадок ежегодно растет с сентября, а к ноябрю, когда проходит «черная пятница», достигает пиковых значений. Например, если с января по август их создается около 100–150, в сентябре это число обычно достигает 200, в октябре — 500, то в ноябре количество сайтов-ловушек сразу удваивается.
Аналитики отмечают, что осенью 2025 года количество фишинговых писем увеличилось более чем в 2,4 раза по сравнению с тем же периодом прошлого года. В корпоративной почте к сезону скидок всё чаще появляются сообщения с одинаковыми формулировками: «Черная пятница уже близко», «Скидки до конца недели», «Ваш бонус за участие в распродаже», «Спеццены только сегодня», «ПРЕЧЕРНАЯ пятница началась».
— Киберпреступники обращаются к эмоциям получателя. Персонализация, ощущение выгоды или срочности побуждают действовать поспешно — переходить по ссылкам, скачивать вложения или раскрывать личные данные, — предупреждают эксперты.
Кроме того, по предварительным оценкам, злоумышленники организовали около 100 акций в российских соцсетях: они достаточно агрессивно продвигали рекламу товаров, в том числе премиум-сегмента, якобы со скидкой до 90%, отметили в компании «Нейроинформ».
— Рекламные объявления вели на мошеннические сайты, где можно было оплатить товар. В результате покупателям доставалась дешевая подделка вместо качественной оригинальной продукции известного бренда или же они совсем ничего не получали, — рассказали там.
Кроме того, в ноябре 2025 года злоумышленники активно рассылали потенциальным покупателям СМС и электронные письма, маскируясь под известные службы доставки. Сообщения мошенников были посвящены проблемам с доставкой, и эти послания содержали ссылку на фишинговый сайт для ввода паспортных данных для оформления груза на таможне, оплаты таможенной пошлины или доплаты за превышение веса посылки. В первой половине этого месяца количество подобных писем выросло почти в два раза по сравнению с аналогичным периодом прошлого года.
Помимо этого, злоумышленники использовали одну из самых распространенных схем в период распродаж — мошенничество с подарочными картами. Их продажа велась на сомнительных сайтах, и после покупки они оказались неактивными.
Как атаковали ритейлеровПри этом не только потенциальные покупатели стали мишенью злоумышленников. Одна из основных проблем для российских онлайн-ритейлеров — это фрод (мошенничество по воровству персональных данных и средств), связанный со злоупотреблением программами лояльности.
— Мошенники могут присваивать себе бонусы нелегитимным способом и продавать их на разных онлайн-площадках. Перед сезоном распродаж их активность традиционно растет, что подтверждают наши данные, — рассказал руководитель группы антифрод-анализа Kaspersky Fraud Prevention Дмитрий Голованов.
При этом, по данным «Лаборатории Касперского», в III квартале 2025 года число аккаунтов с признаками мошеннической активности, нацеленных на сферу электронной торговли, выросло в три раза по сравнению с I кварталом. Как правило, подобная подозрительная активность означает, что злоумышленники совершают нелегитимные махинации с аккаунтами для извлечения выгоды из программ лояльности в обход правил онлайн-ритейлеров. Например, эксплуатируют приветственные бонусы — когда интернет-магазины предлагают клиентам бесплатную доставку, скидки или дополнительные баллы.
Директор платформы облачной киберзащиты Solar Space ГК «Солар» Артем Избаенков сообщил «Известиям», что в преддверии «черной пятницы» фиксируем рост DDoS-атак и вредоносной активности ботов, направленных на онлайн-ритейл, платежные системы и сервисы доставки.
— Нагрузка на инфраструктуру интернет-бизнеса в период распродаж сопровождается повышением числа кибератак на 70% и более по сравнению с обычными неделями. В этот период злоумышленники стремятся нарушить работу сайтов, сорвать онлайн-продажи и получить доступ к данным клиентов, — сказал он.
Руководитель аналитического отдела Servicepipe Антон Чемякин напомнил, что первая глобальная распродажа «11.11» (Всемирный день шопинга и День холостяков) фактически стартовала чуть раньше, что уже традиционно для таких событий.
— И уже с 8 ноября мы фиксировали рост человеческого трафика на 15–35%, а ботового — у отдельных ресурсов сразу в восемь раз. Основной пик пришелся на 9–11 ноября: в эти дни наблюдались и DDoS-атаки на крупные e-commerce-площадки, что также традиционно для высокого сезона распродаж, — сказал он.
В 2024-м пиковая нагрузка достигала 3,5 млн запросов в минуту, а в этом году она была чуть ниже по интенсивности, но заметно продолжительнее и географически более разнообразна.
— На неделе 17–21 ноября человеческий трафик несколько снизился и превышает стандартный лишь на 12%. Следующий пик ожидаем на следующей неделе во время «черной пятницы», когда рост человеческого трафика может быть опять же на 30–40%, а также всплеск злонамеренной автоматизации. Пиковая нагрузка, если судить по данным прошлых лет и активности на «11.11», может доходить до 3,8–4 млн запросов в минуту, — прогнозирует эксперт.
По его словам, наибольший объем вредоносного трафика в этом ноябре пришелся на маркетплейсы, тогда как более специализированные онлайн-магазины парсеры (программы, которые собирают с ресурсов данные) атаковали меньше.
— Мы зафиксировали и новый тренд — активизацию ИИ-агентов в период распродаж, на отдельных ресурсах в определенный момент времени их доля превышала 15%, тогда как среднее значение для всех сегментов экономики — до 1,4%, — рассказал Антон Чемякин.
Как защититься покупателям и ритейлерамЧтобы защитить себя от фишинговых атак в период распродаж, рекомендуется тщательно проверять URL-адреса магазинов: фейковые сайты часто имеют небольшие отличия, например, замену букв или добавление лишних символов, отметил гендиректор компании «Нейроинформ» Александр Дмитриев.
— Не стоит переходить по ссылкам из писем и сообщений. Если получено письмо с заманчивым предложением, лучше самостоятельно зайти на официальный сайт магазина и проверить наличие акции, — сказал он. — Кроме этого, необходимо регулярно обновлять антивирусное ПО, современные антивирусы способны распознавать фишинговые сайты и блокировать их.
Специалисты также рекомендуют проверять адреса отправителей, не открывать вложения из подозрительных рекламных писем и не переходить по ссылкам в них.
Эксперт по информационной безопасности «Киберпротект» Саркис Шмавонян призвал помнить, что поддельные страницы часто отличаются всего одним–двумя символами или доменом и отличить искусно сделанную подделку сайта от оригинала по дизайну или интерфейсу сегодня практически невозможно.
— Не переходите по ссылкам из СМС и мессенджеров, особенно если речь идет о доставке заказа, «блокировке счета», «возврате средств» или обещании больших скидок или побед в розыгрышах. Всегда перепроверяйте информацию через официальный сайт или приложение магазина или маркетплейса, свяжитесь с банком или ритейлером напрямую через публичные контакты и уточните вводные, — посетовал он.
Дополнительно аккаунты защитят двухфакторная аутентификация, ограничение суточных лимитов и минимизация личных данных в открытом доступе.
— Главная рекомендация — делать короткую паузу перед любым действием. Она дает время заметить несостыковки и избежать ловушки, — сказал Саркис Шмавонян.
Современный фишинг перешел от массовых рассылок к точечным атакам, предупредил он. Злоумышленники используют технику гиперперсонализации: анализируют данные из соцсетей и утекших баз, чтобы выстраивать максимально правдоподобные сценарии.
— Например, могут прислать письмо с упоминанием недавнего заказа или позвонить с предложением товара, о котором вы давно мечтали, — сказал эксперт.
А специалисты BI.ZONE добавили, что мошенничество наносит значительный ущерб не только частным клиентам, но и компаниям, чьи бренды злоумышленники используют в своих схемах. Это ведет к репутационным рискам, снижению доверия и, как следствие, потере клиентов.
В ГК «Солар», чтобы защитить магазин от кибератак, рекомендуют заранее провести нагрузочное тестирование и проверить устойчивость сайта к DDoS, включить фильтрацию бот-трафика, активировать круглосуточный мониторинг и реагирование на инциденты и заблаговременно протестировать системы оплаты.