Карточные фокусы: как мошенники обходят новый закон «Антифрод 2.0»
Телефонные мошенники и владельцы call-центров уже адаптируются к нормам закона, получившего название «Антифрод 2.0», и разработали механизмы обхода блокировок со стороны банков, выяснили «Известия». Они распространяют в профильных чатах инструкции о том, как проводить деньги через карты дропов и делать переводы между физлицами в новых условиях. Их ставка — не на прямой взлом банковской защиты, а на использование распределенной дроп-сети и имитацию обычного поведения клиента. В результате закон способен сделать такие схемы дороже и сложнее, но сам по себе не блокирует инфраструктуру, через которую похищенные деньги быстро дробятся и уходят по цепочке, полагают опрошенные изданием эксперты. Детали — в материале «Известий».
Закон против мошеннической инфраструктуры
Госдума 9 июня приняла законопроект № 1110676-8 во втором и третьем чтениях. 26 июня президент подписал документ: он был опубликован как федеральный закон № 210-ФЗ. Основные нормы вступят в силу поэтапно: часть — с 1 сентября 2026 года, значительный блок — с 1 марта 2027-го, еще ряд положений — с 1 сентября 2027-го.
Новый закон усиливает сразу несколько рубежей защиты. Банки получат доступ к данным государственной системы противодействия ИКТ-преступлениям для проверки переводов, смогут задерживать отдельные операции на срок до шести часов и будут обязаны отклонять их при обнаружении вредоносного ПО на устройстве клиента. Отдельно вводится единая система учета платежных карт и лимит: одному физлицу банки смогут предоставить в совокупности не более 20 карт, с которых возможны переводы. Операторы связи, в свою очередь, получат дополнительные обязанности по выявлению подозрительных вызовов и информированию абонентов.
Смысл пакета — не только остановить подозрительные операции, но и повысить стоимость мошеннической схемы. Чем меньше доступных реквизитов и чем быстрее банки и операторы обмениваются данными, тем сложнее вывести деньги жертвы до блокировки. Однако изученные «Известиями» материалы теневого рынка показывают: его участники готовятся обходить не буквальный запрет, а критерии, по которым банки отличают криминальный поток от обычных переводов.
20 карт на человека: дроп-сети распределяют нагрузку
С 1 сентября 2027 года будет действовать ограничение на количество платежных карт — не более 20 на одного клиента. Банки перед выпуском новой карты будут проверять сведения в единой системе учета и отказывать при превышении лимита.
Внешне эта мера выглядит как удар по карточным «фермам». Но собеседники «Известий», знакомые с работой high-risk-сегмента, утверждают, что одному дропу и сейчас редко требуется несколько десятков карт. Теневой процессинг строится иначе: нагрузка распределяется между большим количеством людей, а заблокированный счет быстро заменяют новым. Поэтому критическим ресурсом становится не число карт у одного держателя, а постоянный приток новых владельцев и срок, в течение которого их реквизиты остаются работоспособными.
Это видно по объявлениям в Telegram-каналах, изученных редакцией. Там открыто предлагают выкупать карты и банковские аккаунты крупнейших кредитных организаций. За один комплект реквизитов продавцы просят примерно от 9 тыс. до 14 тыс. рублей, причем цена зависит от банка и возраста владельца.

В других публикациях уже распространяются инструкции по созданию новых аккаунтов и выпуску виртуальных карт на дополнительные номера. Это показывает, что теневой рынок скорее адаптируется под массовое привлечение новых дропов, чем под использование десятков карт одним человеком.
Показателен и размещенный в одном из каналов снимок заблокированного банковского кошелька. Судя по данным на экране и подписи к публикации, до введения ограничений через него успели провести более 5 млн рублей.

Проверить происхождение этой суммы по одному скриншоту невозможно, однако сама публикация показывает, чем участники рынка измеряют эффективность реквизита: объемом потока до блокировки, а не количеством карт у владельца, отмечают эксперты.
Лимит, таким образом, способен сократить наиболее грубые схемы, при которых на одного человека оформляют десятки платежных инструментов. Однако он не решает проблему распределенных сетей, где каждый участник использует лишь одну или несколько карт, считают источники «Известий» в отрасли.
Шесть часов на проверку: операции маскируют под бытовые
Второй важный барьер — усиление контроля за подозрительными переводами. Закон обязывает банки учитывать сведения государственной системы противодействия ИКТ-преступлениям. Если клиент подтвердил распоряжение или повторно попытался провести операцию, банк в установленных законом случаях сможет отложить ее исполнение на срок до шести часов. За это время он сможет дополнительно проверить перевод и при необходимости остановить вывод средств.
Ответ теневого рынка — «прогрев» карт и аккаунтов. В изученных «Известиями» инструкциях предлагается заранее создавать историю, похожую на поведение обычного клиента: совершать покупки, пользоваться разными категориями товаров и услуг, избегать резких изменений активности и не превращать счет в очевидный транзитный узел. Редакция намеренно не приводит пошаговые рекомендации и конкретные режимы операций, чтобы не воспроизводить пособие для дроповодов.
Авторы таких мануалов отдельно предупреждают о действиях, которые могут привлечь внимание банка: внезапном росте оборота, серии однотипных переводов, быстрой отправке денег сразу после поступления, смене номера или устройства. Вместо этого они предлагают растягивать подготовку аккаунта во времени и смешивать переводы между физлицами с обычными покупками.
— Такая тактика не отменяет шестичасовую задержку, но снижает вероятность того, что конкретная операция вообще будет отнесена к подозрительным. Антифрод-система анализирует не уголовное намерение, которого в банковской проводке не видно, а набор признаков. Теневой рынок, соответственно, пытается сделать эти признаки максимально похожими на поведение обычного пользователя, — сказал «Известиям» руководитель АНО «Центр правовой поддержки пострадавших от дистанционного мошенничества, нелегальных финансовых операций и незаконных азартных игр», член Общественной палаты России Евгений Машаров.
Он добавил, что в этом и состоит главное ограничение поведенческого контроля: чем точнее мошенники копируют повседневные операции, тем сложнее усиливать фильтры, не увеличивая число ошибочных блокировок. Единичную подозрительную операцию обнаружить проще, чем схему с сотнями обычных счетов. В таких случаях необходимо отслеживать всю цепочку переводов, а не отдельные платежи, считает эксперт.
В мошеннических группах встречаются инструкции и по работе с «ручными дропами» — не теми, у кого по телефону выманивают коды, а теми, кто добровольно за вознаграждение идет на сотрудничество с мошенниками, предоставляя им свои данные. Выпуск карты реальным физическим лицом в банке может «усыплять» бдительность системы, полагают эксперты.
Защита устройства: вирус заметить можно, обман — не всегда
Еще одна норма касается случаев, когда устройство клиента заражено вредоносным ПО: операцию в таком случае не проведут. Пользователю сообщат причину отказа и предложат воспользоваться другим оборудованием либо обратиться в отделение. До 1 сентября 2027 года потребуется согласие клиентов на подключение средств защиты.
По словам вице-президента по информационной безопасности банка ДОМ.РФ Дмитрия Никишова, необходимые механизмы для такой работы уже выстроены.
— Мы анализируем сессионную активность на устройствах клиентов, чтобы выявлять вредоносное ПО. Система учитывает не только признаки подозрительных операций, но и аномальное поведение устройства, с которого клиент входит в банк. При обнаружении риска операция приостанавливается, и пользователю направляется СМС с объяснением причины — в целях сохранности его средств. Затем банк связывается с клиентом по телефону, чтобы подтвердить добровольность совершения операции, — рассказал Никишов.
Такая защита важна против удаленного взлома онлайн-банка, но она охватывает не все сценарии, показывают изученные «Известиями» мануалы. Значительная часть телефонного мошенничества строится на социальной инженерии: жертва сама подтверждает перевод с незараженного устройства. В P2P-цепочках также могут использоваться карты, оформленные на реальных людей, и устройства с привычным для банка цифровым профилем.
Именно на это нацелены инструкции из теневых каналов. Их авторы советуют не менять без необходимости телефон, номер и привязки, а в отдельных случаях сохранять возможность обратиться к формальному владельцу счета за подтверждением операции или посещением отделения. Иными словами, преступники стремятся сделать так, чтобы их действия выглядели как обычное поведение клиента, а не как попытка взлома. Норма о вредоносном ПО перекрывает один технический канал атаки, но не решает проблему добровольного перевода под влиянием обмана и последующего вывода через легитимно оформленные счета.
Почему high-risk быстро восстанавливается
Полученные от жертвы средства редко задерживаются на одном счете. Их дробят, проводят через цепочку карт и аккаунтов, а иногда переводят в криптовалюту через P2P-обмен. Посредники, которые обеспечивают такую проводку, называют эту сферу high-risk processing — процессингом повышенного (для них) риска блокировок. Он обслуживает не одну площадку, а множество разнородных клиентов, и использует распределенную инфраструктуру: Telegram-каналы, закрытые кабинеты, панели с реквизитами, команды дроповодов и постоянно обновляемые списки банковских продуктов.

На предоставленном редакции скриншоте одной из таких панелей видны активное устройство, лимит более 2 млн рублей и завершенные сделки примерно по 100 тыс. рублей с расчетом в USDT. В профильных сообществах одновременно покупают банковские аккаунты, проводят созвоны и обмениваются сведениями о том, какие способы перестали работать. Если один банк усиливает контроль, поток перераспределяется. Если блокируют набор реквизитов, его заменяют. Если закрывается процессинговая площадка — крупные клиенты переключаются на другие каналы.
Иллюстрацией этой устойчивости собеседники называют историю нелегальной площадки PaySelection/PaymentCenter. В марте был задержан Арсен Акопян и ряд предполагаемых участников его команды. «Известия» ранее сообщали, что следствие связывает их деятельность с обслуживанием незаконного игорного бизнеса. Окончательную оценку обвинению должен дать суд.
Финтех-предприниматель и эксперт по платежным технологиям Иван Притула рассказал «Известиям», что PaySelection/PaymentCenter Акопяна мог аккумулировать значимую долю high-risk-трафика.
— Давать точные оценки сложно, но, по разным данным, его доля могла достигать до 5–10% рынка, — отметил он.
При этом, подчеркнул Притула, даже уход крупных площадок редко обрушивает сегмент.
— Крупные мерчанты на этом рынке, как правило, не держат весь трафик в одном решении, а собирают крупные каскады из разных процессинговых и платежных инструментов, между которыми распределяют поток, — отметил он.
Поэтому эффект «Антифрода 2.0» будет зависеть не только от жесткости ограничений, но и от того, насколько быстро участники системы смогут обмениваться данными, отслеживать связанные операции и выявлять дропов на ранней стадии, полагает эксперт. Иначе закон будет закрывать отдельные входы, тогда как рынок продолжит менять маршруты.
Не заблокировать обычного клиента
Обратная сторона усиления контроля — риск ложных срабатываний. Чем шире система оценки риска и чем дольше допускается задержка операций, тем выше вероятность ошибочных блокировок в отношении добросовестных клиентов. По оценке компании «Информзащита», которую в январе приводил «Коммерсант», только за первые две недели 2026 года под временные блокировки могли попасть 2–3 млн обычных граждан. Экономист Андрей Бархота рассказал «Известиям», что чрезмерное ужесточение контроля может иметь побочный эффект.
— Если закрутить гайки тотально — мониторить и приостанавливать даже переводы на 10 тыс. рублей, вводить периоды охлаждения, блокировки и заморозки, — это способно привести к росту спроса на наличные. Люди станут чаще их использовать и могут начать выводить средства со счетов, — предположил он.
Такая тенденция уже фиксируется статистикой. По данным Банка России, объем наличных вне ЦБ вырос с 19,45 трлн рублей на 1 января до 20,49 трлн на 1 июня 2026 года. В мае объем прироста составил 381,2 млрд рублей, что стало рекордным месячным результатом как минимум с 1995 года, отмечал Forbes со ссылкой на данные регулятора. Сам по себе этот рост не доказывает связь с антифрод-мерами: регулятор называл среди причин стремление граждан иметь запас наличных и адаптацию бизнеса к повышению налогов. Однако он показывает, что удобство и предсказуемость безналичных расчетов остаются чувствительным фактором.
По оценкам опрошенных «Известиями» специалистов, перед банками и регулятором стоит задача — сделать схемы с дропами невыгодными и недолговечными, но сохранить простоту обычных переводов для добросовестных клиентов. Мошенники уже адаптируют схемы под поведенческие критерии, поэтому эффективность закона будет зависеть не от лимита карт или паузы в шесть часов, а от способности финансовой системы объединять разрозненные сигналы и быстро отличать имитацию нормальной жизни от самой нормальной жизни, добавляют эксперты.