Что такое фишинг простыми словами
Фишинг (от английского phishing, созвучно с fishing — «рыбалка») — это вид мошенничества, при котором злоумышленник выдаёт себя за доверенную организацию или человека, чтобы выманить у вас конфиденциальные данные: пароли, коды из СМС, номер и CVV банковской карты, данные паспорта. Название отражает суть метода: мошенник закидывает «наживку» — правдоподобное письмо, сообщение или сайт — и ждёт, что жертва «клюнет».
В отличие от взлома, фишинг не требует технической уязвимости в системе. Он эксплуатирует человеческую психологию: доверие к знакомым брендам, страх потерять деньги, спешку и привычку не глядя нажимать на кнопки. Именно поэтому фишинг остаётся одной из главных причин утечек данных и краж денег — он работает даже против технически подкованных людей, если те торопятся или отвлеклись.
Термин появился ещё в середине 1990-х, но с тех пор техники серьёзно эволюционировали: от примитивных писем с грамматическими ошибками до подделок, которые почти неотличимы от настоящих писем банков и сервисов. По данным исследований в области кибербезопасности, фишинг стабильно входит в тройку самых частых причин компрометации личных данных и денежных потерь физических лиц — обгоняя даже прямой взлом устройств. Причина проста: атаковать человека дешевле и надёжнее, чем взламывать защищённую систему.
Стоит различать массовый и целевой фишинг. Массовый рассылается тысячам получателей без персонализации в расчёте на то, что хоть кто-то откликнется. Целевой фишинг, или spear phishing, готовится под конкретного человека или компанию: мошенник заранее изучает имя, место работы, круг контактов жертвы и составляет письмо так, чтобы оно выглядело максимально правдоподобно. Такие атаки труднее распознать именно потому, что в них меньше типичных ошибок массовых рассылок.
Как выглядит фишинг: письма, СМС, поддельные сайты, звонки
Фишинговое письмо — классический и до сих пор самый распространённый формат. Мошенник маскируется под банк, налоговую, маркетплейс, службу доставки или работодателя. Письмо обычно содержит призыв к действию: «подтвердите аккаунт», «оплатите пошлину», «ваша карта заблокирована» — и ссылку на поддельную страницу входа.
Фишинговые СМС и мессенджеры работают по той же схеме, но короче: «Ваша карта заблокирована, подробности по ссылке» или «Вам начислена компенсация, получите на сайте». Расчёт на то, что с телефона человек читает быстро и не успевает насторожиться.
Поддельные сайты — визуальные копии настоящих страниц входа в банк, почту или соцсеть. Отличия минимальны: чуть другой домен, слегка изменённый логотип, отсутствие части разделов. Цель одна — заставить вас ввести логин и пароль или данные карты в форму, которая на самом деле отправляет их мошеннику.
Фишинговые звонки (вишинг) — отдельная и особенно опасная категория. Мошенник представляется сотрудником банка, службы безопасности или государственного органа, создаёт ощущение срочности («на вашем счёте подозрительная операция») и под этим предлогом просит назвать код из СМС или перевести деньги на «безопасный счёт». Здесь нет ссылки, которую можно проверить, — воздействие идёт через голос и давление в моменте.
Отдельно стоит упомянуть фишинг через QR-коды: поддельный код может быть наклеен поверх настоящего на парковочном автомате, в кафе или на баннере с «розыгрышем призов». Телефон переходит по ссылке, зашитой в код, а куда именно она ведёт — заранее не видно, поэтому такие коды стоит сканировать так же осторожно, как незнакомые ссылки.
8 признаков фишинга
Большинство фишинговых атак можно распознать заранее, если знать, на что обращать внимание.
- Срочность и давление. «Действуйте в течение 15 минут, иначе счёт заблокируют» — классический приём, который не даёт жертве времени подумать и проверить факты.
- Несоответствие адреса отправителя. Домен похож на настоящий, но с отличиями: лишняя буква, другое окончание, цифра вместо буквы.
- Ссылка ведёт не туда, куда обещает текст. Видимый текст ссылки может говорить «sberbank.ru», а фактический адрес — совсем другой домен.
- Запрос данных, которые организация никогда не спрашивает так. Банки не просят полный номер карты, CVV-код или пароль в письме, СМС или по телефону.
- Обезличенное обращение. «Уважаемый клиент» вместо имени — сигнал, что письмо разослано массово, а не адресовано конкретно вам.
- Орфографические и стилистические ошибки. Не всегда, но часто присутствуют в переводных или наспех собранных шаблонах.
- Слишком выгодное предложение. Неожиданный выигрыш, компенсация, возврат средств «просто так» — повод насторожиться, а не обрадоваться.
- Вложения с подозрительными расширениями. Файлы вида «invoice.pdf.exe» или архивы с паролем, который присылают в том же письме, — типичный способ доставить вредоносный код.
Попробуйте NorraVPN бесплатно
5 дней без оплаты, без ввода данных карты. Подключение через Telegram — одна кнопка, работает на iOS, Android, Windows и macOS.
Начать в Telegram →Как проверить ссылку и отправителя
Прежде чем переходить по ссылке или отвечать на сообщение, стоит взять за привычку несколько простых проверок.
Наведите курсор на ссылку, не нажимая на неё. Большинство почтовых клиентов и браузеров показывают реальный адрес назначения в статусной строке или всплывающей подсказке. Если он не совпадает с ожидаемым доменом — это фишинг.
Проверьте домен внимательно, посимвольно. Мошенники используют похожие написания: заменяют буквы визуально схожими символами, добавляют лишние слова через дефис, используют поддомены («sberbank.secure-login.com» — настоящий домен здесь «secure-login.com», а не «sberbank»).
Проверьте email отправителя, а не только отображаемое имя. Имя «Служба поддержки банка» может стоять перед совершенно посторонним адресом — откройте полные данные отправителя в настройках почтового клиента.
Не переходите по ссылке из письма — откройте сайт вручную. Если сообщение утверждает, что с вашим аккаунтом что-то не так, откройте новую вкладку и наберите адрес сервиса самостоятельно или воспользуйтесь официальным приложением. Так вы гарантированно попадёте на настоящую страницу, а не на подделку.
Свяжитесь с организацией по официальному каналу. Позвоните в банк по номеру с обратной стороны карты или на сайте, а не по номеру, указанному в подозрительном сообщении, — фишинговые схемы нередко подсовывают собственный «горячий номер».
Не полагайтесь только на замочек https в адресной строке. Значок защищённого соединения означает лишь то, что трафик между вами и сайтом зашифрован, а не то, что сайт настоящий, — оформить такое шифрование для поддельной страницы мошенникам не составляет труда. Проверять нужно именно домен, а не наличие замочка.
Больше о том, как в целом выстроить безопасные привычки в сети, — в статье «Цифровая гигиена: базовые привычки безопасности в интернете».
Что делать, если уже перешли по ссылке или ввели данные
Если вы поняли, что попались на фишинг, важна скорость реакции — счёт может идти на минуты.
- Если ввели данные карты — немедленно позвоните в банк по официальному номеру и заблокируйте карту. Банк перевыпустит её, а заблокированной картой мошенники воспользоваться не смогут.
- Если ввели пароль от аккаунта — как можно быстрее смените его на этом сервисе и на всех остальных, где использовался такой же пароль. Проверьте активные сессии и устройства в настройках аккаунта, завершите незнакомые.
- Если назвали код из СМС по телефону — сразу свяжитесь с банком: это могло дать мошеннику доступ к переводу средств или подтверждению операции.
- Если просто перешли по ссылке, но ничего не вводили — риск ниже, но стоит проверить устройство антивирусом на случай, если страница пыталась незаметно установить вредоносный код.
- Сообщите о случившемся. Пожалуйтесь на фишинговое письмо в свою почтовую службу и, если затронут банк или площадка, — в их службу поддержки. Это помогает заблокировать схему для других пользователей.
- Проверьте, не утекли ли ваши данные раньше. Иногда фишинговая атака — следствие более ранней утечки, из которой мошенники узнали ваш email или номер телефона. Подробнее об этом — в статье «Утечка данных: что делать, если ваша информация оказалась в сети».
- Следите за выписками по счёту какое-то время после инцидента. Небольшие тестовые списания иногда предшествуют более крупным — так мошенники проверяют, активна ли карта, прежде чем совершить основное списание.
Главное правило в момент паники — не торопиться выполнять то, что просит подозрительное сообщение, а сначала проверить факты через независимый канал связи.
Как защититься на будущее
Разовая бдительность помогает, но системная защита работает надёжнее.
Двухфакторная аутентификация (2FA). Даже если пароль попадёт в руки мошенников, вход в аккаунт потребует ещё и код из приложения-аутентификатора или физического ключа. Это одна из самых эффективных мер против последствий фишинга: пароль без второго фактора становится бесполезным.
Менеджер паролей. Уникальный сложный пароль для каждого сервиса означает, что утечка на одном сайте не открывает доступ ко всем остальным. Менеджер паролей также не подставит логин и пароль на поддельном сайте — он привязан к настоящему домену и просто не предложит автозаполнение на фишинговой странице, что само по себе служит дополнительной проверкой.
Внимательность как привычка. Правило «сначала проверь, потом нажми» стоит закрепить для любых сообщений, где идёт речь о деньгах, паролях или личных данных — вне зависимости от того, насколько срочным кажется запрос. Полезно взять за правило паузу в несколько минут перед любым действием под давлением: настоящая организация не исчезнет и не заблокирует счёт за то время, пока вы перезваниваете по официальному номеру для проверки.
Своевременные обновления. Браузеры и почтовые сервисы регулярно обновляют встроенные фильтры фишинга и списки заблокированных мошеннических доменов. Отключенные обновления или устаревшее приложение почты лишают вас этой встроенной защиты.
Шифрование соединения в открытых сетях. Публичный Wi-Fi в кафе или аэропорту не защищает трафик от перехвата, а часть фишинговых и мошеннических схем как раз рассчитана на такие сети. VPN шифрует соединение между вашим устройством и сервером, так что даже в незащищённой сети данные, которые вы передаёте, остаются нечитаемыми для посторонних наблюдателей. Подробнее о безопасном вводе данных в сети — в материале «Безопасные платежи в интернете: как защитить карту».
NorraVPN шифрует соединение на iOS, Android, Windows и macOS, работает без хранения логов и подключается через Telegram-бот за одну минуту. Оплата картой или криптовалютой прямо в боте, тарифы от 149 ₽ в месяц, есть бесплатный пробный период на 5 дней. Подробнее о сервисе — на главной странице NorraVPN.
Защитите своё соединение прямо сейчас
NorraVPN — зашифрованное соединение, без логов, для iOS, Android, Windows и macOS. Подключение через Telegram за одну минуту. Первые 5 дней бесплатно.
Начать в Telegram →