- Сообщения
- 57
- Реакции
- 57
Дроп регистрирует карту, получает реквизиты в телеграме, открывает приложение банка. Первый перевод — 47 000 рублей на другую карту. Через полторы минуты карта заморожена, счёт заблокирован, а данные уже ушли в базу ЦБ. Второй карты у этого человека не будет — ни в одном банке страны. Два года назад такая схема работала неделями. Сейчас — меньше двух минут. Разберёмся что изменилось и почему антифрод в 2026 стал быстрее чем сам дроп.
Масштаб проблемы — цифры которые не врут
За 2025 год в России украдено 29,3 миллиарда рублей — это 1,5 миллиона мошеннических операций, рост на 31% к прошлому году. Через СБП ушло 7,3 миллиарда, через интернет-банкинг — 7,8 миллиарда. 60-70% всех хищений — это APP-фрод, то есть переводы под диктовку, средний чек 150-300 тысяч рублей.
На другой стороне — банки спасли 13,9 триллионов рублей. Один Сбербанк — 360 миллиардов и вернул 2,4 миллиарда от дропперов напрямую. При этом на учёте ЦБ стоит 1,2 миллиона дроп-карт, а по оценке Сбера активных дропперов в стране около 2 миллионов. Оборот дроп-операций — 90 миллиардов в год, рост в 1,7 раза.
То есть деньги по-прежнему текут, но процент того что доходит до конечного получателя — падает каждый квартал.
Закон о дропперах — теперь это уголовка
С 5 июля 2025 года работает ФЗ-176, дополняющий статью 187 УК. Если раньше дроп формально не совершал преступления (ну передал карту, ну получил пять тысяч — и что?), то теперь расклад такой:
С июля 2025 по февраль 2026 возбуждено больше 830 уголовных дел, привлечены 174 дропа и 69 организаторов. Плюс с мая 2025 — если карта попала в базу ЦБ, на все переводы физлицам ставится лимит 100 тысяч в месяц. А открыть новый счёт в любом банке уже не получится.
Раньше дроп рисковал максимум потерей карты. Сейчас рискует тремя годами.
Как банк понимает что ты дроп — ещё до первого перевода
Вот тут начинается самое интересное. Антифрод в 2026 — это не просто "сумма большая, заблокируем". Это многоуровневая система которая анализирует тебя с момента открытия приложения.
Уровень 1 — устройство
Банковское приложение знает о телефоне больше чем ты сам. Play Integrity API (заменил SafetyNet в январе 2025) проверяет: root, кастомная прошивка, эмулятор, sideloaded приложения, модифицированные бинарники. С мая 2025 — обязательные hardware-backed сигналы, то есть проверка на уровне железа, не софта. PlayIntegrityFix под Magisk ещё работает, но Google ротирует root-сертификаты — каждый патч это гонка на пару месяцев.
LexisNexis ThreatMetrix обрабатывает 35 миллиардов транзакций в год. У них есть штука под названием SmartID — persistent identifier устройства, который переживает удаление cookies, приватный режим и даже сброс рекламного ID. Сотни атрибутов: железо, сеть, поведение.
BioCatch в марте 2026 выкатил DeviceIQ — детектирует спуфинг устройств, эмуляторы, антидетект-браузеры, jailbreak, стирание данных, а главное — флагует устройства которые раньше были замечены в дроп-активности. Даже если ты поменял SIM и аккаунт — устройство помнят.
Уровень 2 — сеть
Тут антифрод смотрит на вещи о которых большинство даже не думает. JA4+ анализирует TLS-хендшейк: TCP Window Size, MSS, TTL, версию TLS, порядок cipher suites, ALPN, порядок HTTP/2 заголовков. Каждая комбинация — как отпечаток пальца.
p0f пассивно определяет ОС по TCP/IP заголовкам. И вот тут интересно: если p0f видит десктопную ОС, а User-Agent говорит "мобильное устройство" — это флаг. Если MSS 1400 вместо стандартных 1500 — значит VPN или прокси (OpenVPN даёт характерный 1400/1360). UDP-тест палит прокси ещё проще — прокси обычно блокирует UDP, и это видно.
Антидетект-браузеры типа Multilogin подменяют 55+ параметров fingerprint, но антифрод коррелирует JA4 + p0f + User-Agent + данные сенсоров устройства одновременно. Несовпадение хотя бы в одном месте — и скоринг летит вверх.
Уровень 3 — поведение
Самый жёсткий уровень, потому что его почти невозможно обмануть. BioCatch анализирует 2000 когнитивных и физических параметров. За Q3 2025 обработал 180 миллионов платежей на $330 миллиардов и выловил $60 миллионов фрода.
Что конкретно смотрят:
F6 (бывший F.A.C.C.T., бывший Group-IB) фиксирует: 94% успешных атак на клиентов банков — это социальная инженерия. И именно сессионный антифрод ловит момент когда человек действует "под диктовку". Risk score выше 85 — транзакция на холде, запрос подтверждения.
Сбер и Т-Банк — как работает изнутри
Сбербанк гоняет 100+ AI-моделей одновременно, оценивая транзакцию по 1500 критериям. Точность — 99,99%. Десятки миллионов транзакций в секунду. Когда ты нажимаешь "отправить" — за эти 5-10 секунд ожидания система уже прогнала тебя через все модели и вынесла вердикт.
Т-Банк (Тинькофф) пошёл дальше — у них Tinkoff Call Defender проверяет номер в момент звонка, а каждый тип мошенничества обрабатывается отдельной ML-моделью на решающих деревьях. Точность — 99% в реальном времени. Кстати, у них есть "Фрод-рулетка" — когда мошеннические звонки перенаправляют на добровольцев. 2000 человек приняли 3 миллиона звонков и удержали мошенников 44 000 часов. Предотвращено 490 миллионов рублей хищений.
ГИС "Антифрод" — межбанковский обмен с марта 2026
С 1 марта 2026 запущена государственная система "Антифрод". Участники: Минцифры, ФСБ, Роскомнадзор, Росфинмониторинг, МВД, СК, ЦБ, все крупные банки и мобильные операторы. Межотраслевой обмен данными в реальном времени.
Новые 12 признаков мошенничества — среди них:
Раньше банки работали каждый сам по себе — дроп мог прогореть в Сбере и тут же пойти в Альфу. Теперь база общая, и данные от операторов связи тоже в ней. Если тебе звонили с мошеннического номера, а через 5 минут ты делаешь перевод — система это видит.
Граф-анализ — как находят всю цепочку
Антифрод давно не смотрит на отдельные транзакции — он строит графы. Типичная дроп-сеть имеет топологию hub-and-spoke: центральный контроллер, от него веером расходятся дропы, каждый выводит свою часть.
Банки используют pathfinding (отслеживание косвенных связей), link prediction (оценка вероятности связи между аккаунтами), community detection (поиск кластеров скрытых mule-сетей). BNP Paribas после внедрения графового анализа сократил потери от фрода на 20%, а расследования стали в 10 раз быстрее. Sardine Sonar Consortium — это кросс-экосистемный обмен между банками, финтехами, процессорами и телекомами. Один дроп засветился в одном банке — и он уже помечен во всех.
Отдельная история — один device на множество аккаунтов. Если с одного телефона логинятся в три разных банковских приложения под разными именами — это не семья, это дроп-ферма.
Жизненный цикл дроп-карты — где именно ловят
Типичный цикл выглядит так: открытие счёта (иногда с синтетической идентичностью), период покоя чтобы не вызвать подозрений, тестовые микро-транзакции, резкий всплеск активности (cash-out), молниеносные переводы и обнуление. Антифрод знает этот паттерн наизусть.
Красные флаги которые палят моментально:
В России к этому добавляется своя специфика: дробление на мелкие суммы (уход от порогов), "псевдолегальные" схемы через покупку-возврат на маркетплейсах, использование карт маркетплейсов с упрощённым выпуском, цепочки фиат → крипта → миксер → P2P → "чистые" рубли. Последнее укладывается в минуты, но каждый этап оставляет след.
Europol — масштабы зачистки
Это не только российская история. Операция EMMA 2025 (июль): выявлено 10 759 дропов, 474 рекрутера, арестовано 1013 человек по всей Европе плюс Колумбия, Сингапур, Австралия. В 2022 по EMMA арестовали 2469 человек. В январе 2026 — операция против сети Black Axe в Испании, 34 ареста за €5.9 миллионов мошенничества. В США по Money Mule Initiative за 2023-2024 — 3000+ дропов.
90% транзакций через дроп-аккаунты связаны с киберпреступностью — это данные Europol. Каждый дроп — это не "просто помог другу перевести", это звено в цепочке которую рано или поздно размотают до конца.
SIM и телефонная разведка
Prove Trust Score — шкала от 0 до 1000. Выше 630 — доверие высокое, ниже 300 — низкое. Система анализирует: как давно SIM в телефоне, как давно устройство активно, тип линии, статус оператора, историю портирования номера, MVNO. SIM swap моментально роняет Trust Score. В Великобритании рост SIM-swap фрода на 1000% за 2024 год, а eSIM стал новым вектором в 2025 — перехватить номер можно удалённо.
Банки проверяют SIM age при каждой операции. Новая SIM + крупный перевод = блок. Без вариантов.
Глассбокс — банк записывает каждый твой клик
Glassbox используют 6 из 10 крупнейших банков мира. Pixel-perfect запись каждой сессии — каждый клик, каждое движение мыши, каждый failed API call. AI анализирует записи в реальном времени и флагует аномалии. Server-side recording, то есть даже если на клиенте всё подчищено — на сервере запись есть.
Это значит что банк видит не только ЧТО ты сделал, но и КАК. Набирал номер карты уверенно или с паузами. Скроллил привычно или двигался прямиком к цели. Колебался перед кнопкой "отправить" или нет.
Гонка вооружений — и кто проигрывает
Антидетект-браузеры подменяют 55+ параметров, но антифрод коррелирует данные из десятков источников одновременно. Прокси маскируют IP, но JA4+ палит тип соединения по TLS-хендшейку. Root-хайд обходит Play Integrity, но через пару месяцев Google обновляет сертификаты. Синтетические личности проходят KYC, но граф-анализ связывает аккаунты по поведению, устройству и сети.
Каждый инструмент обхода работает — но временно. И чем больше денег через тебя проходит, тем быстрее тебя вычислят. Не потому что ты тупой, а потому что система видит паттерн который ты сам не замечаешь — как ты двигаешь палец по экрану, как часто моргает курсор, в какой последовательности нажимаешь кнопки. 2000 параметров против одного человека — математика не в твою пользу.
Прогноз ЦБ на 2026: выявление дроп-карт вырастет до 1-1,2 миллиона — вдвое к 2025. Закон работает, системы учатся, базы обмениваются данными. Схема с дропами не умерла окончательно — но тот золотой период когда можно было месяцами гонять деньги через левую карту закончился. И тот кто этого не понял — либо уже в базе ЦБ, либо скоро окажется.
Масштаб проблемы — цифры которые не врут
За 2025 год в России украдено 29,3 миллиарда рублей — это 1,5 миллиона мошеннических операций, рост на 31% к прошлому году. Через СБП ушло 7,3 миллиарда, через интернет-банкинг — 7,8 миллиарда. 60-70% всех хищений — это APP-фрод, то есть переводы под диктовку, средний чек 150-300 тысяч рублей.
На другой стороне — банки спасли 13,9 триллионов рублей. Один Сбербанк — 360 миллиардов и вернул 2,4 миллиарда от дропперов напрямую. При этом на учёте ЦБ стоит 1,2 миллиона дроп-карт, а по оценке Сбера активных дропперов в стране около 2 миллионов. Оборот дроп-операций — 90 миллиардов в год, рост в 1,7 раза.
То есть деньги по-прежнему текут, но процент того что доходит до конечного получателя — падает каждый квартал.
Закон о дропперах — теперь это уголовка
С 5 июля 2025 года работает ФЗ-176, дополняющий статью 187 УК. Если раньше дроп формально не совершал преступления (ну передал карту, ну получил пять тысяч — и что?), то теперь расклад такой:
- Передача карты или реквизитов за деньги — до 3 лет, штраф 100-300 тысяч
- Проведение операций по указке третьих лиц — до 3 лет, штраф 100-300 тысяч
- Организация дроп-схемы — до 6 лет, штраф до миллиона
С июля 2025 по февраль 2026 возбуждено больше 830 уголовных дел, привлечены 174 дропа и 69 организаторов. Плюс с мая 2025 — если карта попала в базу ЦБ, на все переводы физлицам ставится лимит 100 тысяч в месяц. А открыть новый счёт в любом банке уже не получится.
Раньше дроп рисковал максимум потерей карты. Сейчас рискует тремя годами.
Как банк понимает что ты дроп — ещё до первого перевода
Вот тут начинается самое интересное. Антифрод в 2026 — это не просто "сумма большая, заблокируем". Это многоуровневая система которая анализирует тебя с момента открытия приложения.
Уровень 1 — устройство
Банковское приложение знает о телефоне больше чем ты сам. Play Integrity API (заменил SafetyNet в январе 2025) проверяет: root, кастомная прошивка, эмулятор, sideloaded приложения, модифицированные бинарники. С мая 2025 — обязательные hardware-backed сигналы, то есть проверка на уровне железа, не софта. PlayIntegrityFix под Magisk ещё работает, но Google ротирует root-сертификаты — каждый патч это гонка на пару месяцев.
LexisNexis ThreatMetrix обрабатывает 35 миллиардов транзакций в год. У них есть штука под названием SmartID — persistent identifier устройства, который переживает удаление cookies, приватный режим и даже сброс рекламного ID. Сотни атрибутов: железо, сеть, поведение.
BioCatch в марте 2026 выкатил DeviceIQ — детектирует спуфинг устройств, эмуляторы, антидетект-браузеры, jailbreak, стирание данных, а главное — флагует устройства которые раньше были замечены в дроп-активности. Даже если ты поменял SIM и аккаунт — устройство помнят.
Уровень 2 — сеть
Тут антифрод смотрит на вещи о которых большинство даже не думает. JA4+ анализирует TLS-хендшейк: TCP Window Size, MSS, TTL, версию TLS, порядок cipher suites, ALPN, порядок HTTP/2 заголовков. Каждая комбинация — как отпечаток пальца.
p0f пассивно определяет ОС по TCP/IP заголовкам. И вот тут интересно: если p0f видит десктопную ОС, а User-Agent говорит "мобильное устройство" — это флаг. Если MSS 1400 вместо стандартных 1500 — значит VPN или прокси (OpenVPN даёт характерный 1400/1360). UDP-тест палит прокси ещё проще — прокси обычно блокирует UDP, и это видно.
Антидетект-браузеры типа Multilogin подменяют 55+ параметров fingerprint, но антифрод коррелирует JA4 + p0f + User-Agent + данные сенсоров устройства одновременно. Несовпадение хотя бы в одном месте — и скоринг летит вверх.
Уровень 3 — поведение
Самый жёсткий уровень, потому что его почти невозможно обмануть. BioCatch анализирует 2000 когнитивных и физических параметров. За Q3 2025 обработал 180 миллионов платежей на $330 миллиардов и выловил $60 миллионов фрода.
Что конкретно смотрят:
- Скорость набора и траектория мыши — прямая линия к кнопке "перевести" вместо хаотичного скролла
- Паузы — 30 секунд после входа в приложение = человек слушает инструкции по телефону
- Набор номера карты с длинными паузами между цифрами — диктуют
- Отсутствие типичных действий: не проверил баланс, не зашёл в историю, сразу в переводы
- Исчезновение "шума" — пропадают случайные клики, хаотичный скролл, подёргивания мыши. Сессия становится подозрительно "чистой"
- Application fluency — слишком быстрое заполнение форм (бот или опытный фродер)
- Copy-paste данных вместо ручного ввода
F6 (бывший F.A.C.C.T., бывший Group-IB) фиксирует: 94% успешных атак на клиентов банков — это социальная инженерия. И именно сессионный антифрод ловит момент когда человек действует "под диктовку". Risk score выше 85 — транзакция на холде, запрос подтверждения.
Сбер и Т-Банк — как работает изнутри
Сбербанк гоняет 100+ AI-моделей одновременно, оценивая транзакцию по 1500 критериям. Точность — 99,99%. Десятки миллионов транзакций в секунду. Когда ты нажимаешь "отправить" — за эти 5-10 секунд ожидания система уже прогнала тебя через все модели и вынесла вердикт.
Т-Банк (Тинькофф) пошёл дальше — у них Tinkoff Call Defender проверяет номер в момент звонка, а каждый тип мошенничества обрабатывается отдельной ML-моделью на решающих деревьях. Точность — 99% в реальном времени. Кстати, у них есть "Фрод-рулетка" — когда мошеннические звонки перенаправляют на добровольцев. 2000 человек приняли 3 миллиона звонков и удержали мошенников 44 000 часов. Предотвращено 490 миллионов рублей хищений.
ГИС "Антифрод" — межбанковский обмен с марта 2026
С 1 марта 2026 запущена государственная система "Антифрод". Участники: Минцифры, ФСБ, Роскомнадзор, Росфинмониторинг, МВД, СК, ЦБ, все крупные банки и мобильные операторы. Межотраслевой обмен данными в реальном времени.
Новые 12 признаков мошенничества — среди них:
- Смена номера телефона в онлайн-банке или Госуслугах за 48 часов до операции
- Вредоносное ПО на устройстве
- Смена ОС или провайдера связи перед переводом
- Переводы людям без финансовых отношений за последние 6 месяцев
- Получатель числится в базе ГИС "Антифрод"
Раньше банки работали каждый сам по себе — дроп мог прогореть в Сбере и тут же пойти в Альфу. Теперь база общая, и данные от операторов связи тоже в ней. Если тебе звонили с мошеннического номера, а через 5 минут ты делаешь перевод — система это видит.
Граф-анализ — как находят всю цепочку
Антифрод давно не смотрит на отдельные транзакции — он строит графы. Типичная дроп-сеть имеет топологию hub-and-spoke: центральный контроллер, от него веером расходятся дропы, каждый выводит свою часть.
Банки используют pathfinding (отслеживание косвенных связей), link prediction (оценка вероятности связи между аккаунтами), community detection (поиск кластеров скрытых mule-сетей). BNP Paribas после внедрения графового анализа сократил потери от фрода на 20%, а расследования стали в 10 раз быстрее. Sardine Sonar Consortium — это кросс-экосистемный обмен между банками, финтехами, процессорами и телекомами. Один дроп засветился в одном банке — и он уже помечен во всех.
Отдельная история — один device на множество аккаунтов. Если с одного телефона логинятся в три разных банковских приложения под разными именами — это не семья, это дроп-ферма.
Жизненный цикл дроп-карты — где именно ловят
Типичный цикл выглядит так: открытие счёта (иногда с синтетической идентичностью), период покоя чтобы не вызвать подозрений, тестовые микро-транзакции, резкий всплеск активности (cash-out), молниеносные переводы и обнуление. Антифрод знает этот паттерн наизусть.
Красные флаги которые палят моментально:
- Sudden spike на неактивном счёте — лежал месяц, потом 500 000 за час
- Мгновенный вывод наличных после зачисления
- Transaction layering — мелкие переводы через множество аккаунтов
- Фаннелинг — много аккаунтов сливают на одного получателя без видимой связи
- Географический разброс — операции из разных городов за короткое время
В России к этому добавляется своя специфика: дробление на мелкие суммы (уход от порогов), "псевдолегальные" схемы через покупку-возврат на маркетплейсах, использование карт маркетплейсов с упрощённым выпуском, цепочки фиат → крипта → миксер → P2P → "чистые" рубли. Последнее укладывается в минуты, но каждый этап оставляет след.
Europol — масштабы зачистки
Это не только российская история. Операция EMMA 2025 (июль): выявлено 10 759 дропов, 474 рекрутера, арестовано 1013 человек по всей Европе плюс Колумбия, Сингапур, Австралия. В 2022 по EMMA арестовали 2469 человек. В январе 2026 — операция против сети Black Axe в Испании, 34 ареста за €5.9 миллионов мошенничества. В США по Money Mule Initiative за 2023-2024 — 3000+ дропов.
90% транзакций через дроп-аккаунты связаны с киберпреступностью — это данные Europol. Каждый дроп — это не "просто помог другу перевести", это звено в цепочке которую рано или поздно размотают до конца.
SIM и телефонная разведка
Prove Trust Score — шкала от 0 до 1000. Выше 630 — доверие высокое, ниже 300 — низкое. Система анализирует: как давно SIM в телефоне, как давно устройство активно, тип линии, статус оператора, историю портирования номера, MVNO. SIM swap моментально роняет Trust Score. В Великобритании рост SIM-swap фрода на 1000% за 2024 год, а eSIM стал новым вектором в 2025 — перехватить номер можно удалённо.
Банки проверяют SIM age при каждой операции. Новая SIM + крупный перевод = блок. Без вариантов.
Глассбокс — банк записывает каждый твой клик
Glassbox используют 6 из 10 крупнейших банков мира. Pixel-perfect запись каждой сессии — каждый клик, каждое движение мыши, каждый failed API call. AI анализирует записи в реальном времени и флагует аномалии. Server-side recording, то есть даже если на клиенте всё подчищено — на сервере запись есть.
Это значит что банк видит не только ЧТО ты сделал, но и КАК. Набирал номер карты уверенно или с паузами. Скроллил привычно или двигался прямиком к цели. Колебался перед кнопкой "отправить" или нет.
Гонка вооружений — и кто проигрывает
Антидетект-браузеры подменяют 55+ параметров, но антифрод коррелирует данные из десятков источников одновременно. Прокси маскируют IP, но JA4+ палит тип соединения по TLS-хендшейку. Root-хайд обходит Play Integrity, но через пару месяцев Google обновляет сертификаты. Синтетические личности проходят KYC, но граф-анализ связывает аккаунты по поведению, устройству и сети.
Каждый инструмент обхода работает — но временно. И чем больше денег через тебя проходит, тем быстрее тебя вычислят. Не потому что ты тупой, а потому что система видит паттерн который ты сам не замечаешь — как ты двигаешь палец по экрану, как часто моргает курсор, в какой последовательности нажимаешь кнопки. 2000 параметров против одного человека — математика не в твою пользу.
Прогноз ЦБ на 2026: выявление дроп-карт вырастет до 1-1,2 миллиона — вдвое к 2025. Закон работает, системы учатся, базы обмениваются данными. Схема с дропами не умерла окончательно — но тот золотой период когда можно было месяцами гонять деньги через левую карту закончился. И тот кто этого не понял — либо уже в базе ЦБ, либо скоро окажется.
