Фишинг: что это такое и как от него защититься

Фишинг: что это такое

Фишинг — это вид интернет-мошенничества, основная цель которого — обманным путем завладеть вашими конфиденциальными данными.

Представьте, что мошенник притворяется вашим банком, почтой или даже другом. Он отправляет вам сообщение, которое выглядит правдоподобно, с просьбой «срочно» подтвердить данные, перейти по ссылке или открыть вложение для того, чтобы «выудить» (от английского fishing — рыбалка) ваши:

• логины и пароли;
• данные банковских карт (номер, CVV-код, срок действия);
• паспортные данные;
• коды подтверждений из СМС.

Цели фишинга

Основная цель фишинга — завладеть личной информацией пользователя для последующего использования в корыстных интересах. К ним относятся:

• кража денежных средств с банковских счетов;
• оформление кредитов или покупок в интернет-магазинах на имя жертвы;
• получение доступа к личным аккаунтам в социальных сетях и других онлайн-сервисах;
• распространение вредоносного программного обеспечения;
• использование личной информации для совершения других преступлений (например, шантажа);
• нарушение работы организаций, нанесение репутационного удара.

Виды фишинга

Фишинг постоянно эволюционирует, становясь более изощренным. Условно его можно разделить на виды по масштабу, каналу доставки и уровню персонализации.

По масштабу и персонализации

• Классический (массовый) фишинг. Рассылка тысяч однотипных писем или сообщений по случайным адресам (спам-фишинг). Цель — поймать на крючок как можно больше жертв. Пример: письмо «от службы безопасности банка» с угрозой заблокировать счет.
• Целевой фишинг. Точечная атака на конкретного человека или небольшую группу (сотрудников компании, отдел). Мошенники изучают жертву через соцсети, чтобы сообщение выглядело максимально правдоподобно (упоминают имя, должность, проект). Гораздо опаснее массового.
• Китобойный промысел. Атака на «большую рыбу» — топ-менеджеров (CEO, CFO), руководителей, публичных лиц. Цель — доступ к сверхценной информации или возможность санкционировать крупные платежи. Сообщения тщательно сфабрикованы, часто имитируют юридические запросы или повестки.
• Фарминг. Более сложная техника, при которой пользователь даже без клика по ссылке перенаправляется на поддельный сайт. Это достигается путем взлома DNS-сервера или заражения компьютера вирусом, который подменяет системные файлы.

По каналу доставки

• E-mail-фишинг. Самый распространенный канал. Использует поддельные письма.
• Смишинг (СМС-фишинг). Рассылка фишинговых ссылок через СМС. Часто маскируется под уведомления от банка, курьерской службы («За вашей посылкой придут») или госорганов.
• Вишинг. Фишинг по телефону. Мошенник, представляясь сотрудником банка, техподдержки или полиции, под давлением выманивает у жертвы данные или убеждает совершить действия с деньгами.
• Фишинг в мессенджерах и соцсетях. Рассылка через Telegram, VK и другие мессенджеры. Может приходить от взломанных аккаунтов знакомых, что повышает доверие.

Специфические техники и сценарии

• Подмена отправителя. Фальсификация адреса отправителя в e-mail или номера в СМС, чтобы он выглядел как официальный.
• Кви-фишинг (QR-фишинг). Использование QR-кодов в письмах или публичных местах. При сканировании пользователь попадает на фишинговый сайт.
• Клон-фишинг. Мошенники создают точную копию (клон) реального, ранее отправленного письма (например, от сервиса доставки), но заменяют все ссылки и вложения на вредоносные.
• Фишинг с поддельной поддержкой. Атака через поддельные аккаунты служб поддержки в соцсетях. Жертва, жалуясь на проблему с сервисом в какую-нибудь соцсеть, получает «помощь» от фейкового аккаунта, который выманивает ее данные.
• Фишинг на основе поисковой оптимизации (SEO-фишинг). Создание фишинговых сайтов, которые поисковые системы (Google, «Яндекс») показывают в топе по запросам вроде «скачать бесплатно [программа]» или «онлайн-займ».

Как работает фишинг

Фишинг — это многоэтапная атака, основанная на психологической манипуляции и техническом обмане. Вот как она работает:

• Подготовка. Мошенники создают легенду (подделывают сайт банка, сервиса) и сообщение, вызывающее эмоцию — страх, срочность, жадность («Ваш счет заблокирован!», «Вы выиграли приз!»).
• Атака. Это сообщение с вредоносной ссылкой или вложением рассылается по e-mail, СМС, мессенджерам или передается по телефону.
• Взаимодействие. Жертва, поддавшись эмоциям, переходит по ссылке на фальшивый сайт (выглядит как настоящий) и вводит свои данные: логины, пароли, данные карт. Либо открывает вложение, которое заражает устройство.
• Результат. Введенные данные мгновенно попадают к злоумышленникам. Они используют их для кражи денег, взлома аккаунтов или продажи данных.

Кто подвержен фишинговым атакам

Фишинговым атакам подвержены абсолютно все пользователи цифровых сервисов, независимо от возраста, опыта или положения. Фишинг — это «демократичная» угроза. Однако степень риска и цели атак могут различаться.

Все пользователи (массовые атаки):

• Обычные люди — основная мишень для массового спам-фишинга. Мошенники играют на распространенных потребностях и страхах — банковские уведомления, выигрыши, штрафы ГИБДД, посылки.
• Пожилые люди и технически неподготовленные пользователи часто рискуют больше из-за меньшей осведомленности о цифровых угрозах.
• Дети и подростки могут стать жертвами через игры и соцсети, где предлагают «бесплатные» внутриигровые ценности или доступ к контенту.

Целевые группы (специализированные атаки):

• Сотрудники компаний (от рядовых до руководителей) — ключевая цель для корпоративного фишинга. Даже доступ к почте рядового сотрудника — шаг к проникновению в сеть компании, краже данных или атаке на финансы. Это главный вектор кибератак на бизнес.
• Топ-менеджеры и руководители — цель №1 для получения доступа к коммерческой тайне, инициирования крупных платежей или получения переговорной силы.
• Пользователи конкретных сервисов — клиенты крупных банков, платежных систем (PayPal), почтовых сервисов (Gmail), соцсетей. Мошенники используют популярные бренды как приманку.
• Обладатели ценных цифровых активов — владельцы криптовалютных кошельков, блогеры, селебрити.

Как распознать мошенников

Собрали детальный чек-лист, на что обращать внимание, чтобы не попасться на удочку мошенников.

Проверьте адрес отправителя

В e-mail. Нажимайте на имя отправителя, чтобы увидеть полный адрес. Официальные компании используют корпоративные домены (@company.ru). Остерегайтесь:

• незнакомых адресов;
• подделок, похожих на настоящие: @sberb4nk.ru, @support-apple.com, @mail.yandex.secure.ru;
• публичных доменов в деловом письме (@gmail.com, @yandex.ru от имени «банка»).

В СМС и мессенджерах. Проверяйте номер. Расплывчатые подписи вроде «Банк» или «Служба доставки» — тревожный знак.

Внимательно изучите текст сообщения

• Давление и срочность. Фразы «Срочно!», «Ваш аккаунт будет заблокирован в течение двух часов», «Немедленно подтвердите» — классический прием, чтобы отключить критическое мышление.
• Неожиданность. Вы не ждали это письмо, не оформляли заказ, не звонили в поддержку. Здравый вопрос: «Зачем мне это?»
• Ошибки и небрежность. Официальные письма крупных компаний тщательно выверяются. Грамматические ошибки, странные формулировки, кривой перевод — явный красный флаг.

Никогда не доверяйте ссылкам «вслепую»

• Не кликайте сразу! Наведите курсор на ссылку (на компьютере) или зажмите ее (на смартфоне), чтобы увидеть настоящий адрес внизу экрана.
• Сравните домены. Если письмо от «Сбера», а ссылка ведет на https://secure-login.su/... — это обман. Домен (sberbank.ru, apple.com) должен точно совпадать с официальным.
• Сокращенные ссылки (bit.ly, t.me/…) — опасны, так как скрывают истинный адрес. Используйте сервисы для проверки или просто не переходите.

Будьте осторожны с вложениями

Не открывайте неожиданные вложения, даже от «знакомых». Особенно опасны файлы с двойными расширениями: Документ.pdf.exe, Накладная.zip.scr.

Популярные маскировки: счета, уведомления от госорганов, информация о заказах, голосовые сообщения.

Критически оценивайте запрос информации

Помните: настоящие банки и сервисы НЕ запрашивают по почте/СМС:

• полные номера и коды банковских карт (CVV/CVC);
• пароли от ваших аккаунтов;
• коды из СМС или Push — это пароли, их нельзя никому сообщать, даже «сотруднику службы безопасности».

Любая форма или звонок с просьбой назвать эти данные — стопроцентный фишинг.

Насторожитесь, если вас просят «подтвердить» или «обновить» данные

Это стандартная формулировка мошенников. Сервисы обычно не требуют этого без вашего запроса.

Проверяйте сайт, на который попали

• Адресная строка: домен должен быть правильным. Опечатки (yandex.ru → yandek.ru), лишние дефисы/слова (apple-id.com) — признаки фальшивки.
• Дизайн: сайт может быть очень похож, но часто есть некачественные изображения, кривые кнопки, устаревший логотип.
• HTTPS ≠ безопасность: закрытый замок означает лишь шифрование соединения, но не гарантирует, что сайт настоящий. Мошенники тоже ставят SSL.

Как защититься от мошенников

Защита от фишинга — это комплекс мер, включающий технические настройки, осторожность и полезные привычки.

Технические меры:

• Включите двухфакторную аутентификацию (2FA) везде, где это возможно.
• Установите антивирус и регулярно обновляйте ПО.
• Используйте менеджер паролей для создания и хранения уникальных сложных паролей.
• Регулярно обновляйте программное обеспечение. Обновления содержат исправления уязвимостей, которые могут быть использованы мошенниками.

Правила поведения:

• Никогда не переходите по подозрительным ссылкам из писем/СМС и не открывайте неожиданные вложения.
• Вводите логины/пароли и данные карт только на официальных сайтах, заходя на них через закладки или поиск.
• Никому не сообщайте коды из СМС/Push, CVC-коды карт и пароли — легитимные сервисы их не запрашивают.
• Проверяйте адрес отправителя и домен сайта на соответствие официальным.
• Обучайте себя и своих близких: чем больше вы знаете о фишинге, тем лучше сможете защититься от него.
• Сообщайте о фишинговых атаках другим пользователям, чтобы они не стали жертвами мошенников.

Ответственность за фишинг

В России ответственность за фишинг предусмотрена несколькими статьями Уголовного кодекса РФ (УК РФ).

Рассмотрим основные составы преступлений и меры наказания.

Новые истории фишинга

Мошенники постоянно обновляют свои схемы, используя самые актуальные темы, вызывающие доверие и эмоциональный отклик. Если раньше лидировали письма от банков и служб доставки, то сегодня в тренде — уведомления от государственных органов, коллег по работе и даже романтические ловушки.

Мошенники вновь используют налоговую тему

Схема: жертва получает СМС или e-mail, якобы от Федеральной налоговой службы, с сообщением: «Вам зачислен перерасчет по налогу. Для возврата переплаты 3 854 рубля перейдите по ссылке и подтвердите данные карты». Ссылка ведет на фиктивный «личный кабинет налогоплательщика», где просят ввести реквизиты карты и одноразовые коды из СМС.

Новизна: использование темы возврата денег, а не долга. Это вызывает положительные эмоции и снижает бдительность. Мошенники используют точные суммы и текущий год, чтобы придать правдоподобность.

«Корпоративный» фишинг через поддельные опросы и уведомления

Схема: сотрудник компании получает письмо якобы от HR-отдела или службы безопасности с темой «Срочный опрос по безопасности» или «Уведомление об изменении политики». В письме — кнопка «Пройти опрос» или «Ознакомиться», ведущая на поддельную страницу входа в корпоративную почту или портал.

Новизна: использование внутренних корпоративных тем, которые сложно проигнорировать. Письма отправляются в рабочее время и часто мимикрируют под реальные внутренние рассылки.

Фишинг в Telegram от «друга» с просьбой о помощи

Схема: пользователю в Telegram приходит сообщение от контакта, сохраненного под именем друга или родственника. Текст: «Привет, срочно нужна помощь, не могу войти в свой аккаунт. На твой номер придет код, скинешь?» После согласия жертва получает код восстановления доступа к своему же аккаунту (например, Telegram или Google) и, думая, что помогает другу, пересылает его мошенникам.

Новизна: атака через взломанные аккаунты реальных знакомых, что резко повышает доверие. Мошенники играют на готовности помочь близкому в беде.

Что говорит закон

Закон в России не содержит отдельной статьи с термином «фишинг». Однако действия мошенников подпадают под несколько статей Уголовного кодекса (УК РФ), которые рассматривают его как форму мошенничества и киберпреступления.

Фишинг может подпадать под действие следующих статей Уголовного кодекса РФ:

• Статья 159 УК РФ «Мошенничество». Если фишинг направлен на хищение денег или других ценностей путем обмана.
• Статья 159.6 УК РФ «Мошенничество в сфере компьютерной информации». Применяется, если фишинг связан с хищением информации через компьютерные системы.
• Статья 272 УК РФ «Неправомерный доступ к компьютерной информации». Применяется, если действия злоумышленника привели к копированию, модификации или уничтожению информации.
• Статья 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ». Применяется, если при фишинге используется вредоносное ПО.
• Статья 163 УК РФ «Вымогательство». Если полученные в результате фишинга данные используются для шантажа.
• Статья 174 УК РФ «Легализация доходов, полученных преступным путем». Если фишинг связан с отмыванием денег.

Если действия не содержат состава уголовного преступления, они могут подпадать под административные правонарушения. Например:

• Статья 13.11 КоАП РФ «Нарушение законодательства в области персональных данных» — при незаконном сборе или распространении персональных данных.
• Статья 13.29.2 КоАП РФ «Передача информации, необходимой для регистрации и/или авторизации пользователя сети интернет при отсутствии признаков уголовно наказуемого деяния» — если действия не привели к уголовному преступлению.

Часто задаваемые вопросы

Что делать, если я стал жертвой фишинга?

Незамедлительно сообщите об этом в банк, смените пароли от всех своих аккаунтов и обратитесь в правоохранительные органы.

Как узнать, что мой компьютер заражен вирусом?

Обратите внимание на замедление работы компьютера, появление всплывающих окон и необычную активность сети.

Как часто нужно менять пароли?

Рекомендуется менять пароли не реже одного раза в три месяца.

Важное кратко

• Фишинг — это серьезная угроза, которая может привести к значительным финансовым и репутационным потерям.
• Будьте бдительны, соблюдайте меры предосторожности и регулярно обновляйте свои знания о кибербезопасности. Только так вы сможете защитить себя и своих близких от мошенников.

У Сравни есть телеграм-канал, где пишем просто и понятно о деньгах. Подпишитесь, чтобы не потерять!