Фишинг: что это такое, какие бывают виды и как защититься

Россиян ждет война фишинговых атак, предупреждают сотрудники интегратора по информационной безопасности «Бастион». По их данным, причиной всплеска активности мошенников стала утечка данных 900 тысяч руководителей московских компаний, сведения оказались в даркнете в мае 2025 года.

Чтобы обезопасить себя и свой бизнес от опасностей фишинга – читайте наш материал.

Что такое фишинг простыми словами

Фишинг (phishing, от fishing — рыбная ловля, выуживание и password — пароль) — вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей.

Как работает фишинг?

Мошенники притворяются доверенными лицами или организациями: банками, соцсетями, госучреждениями. Они создают поддельные сайты, письма или сообщения, максимально похожие на настоящие, чтобы жертва не заподозрила обман.

Вот как может работать схема:

1. Вы получаете письмо якобы от банка с просьбой «подтвердить данные» из-за «утечки информации».
2. В письме – ссылка на фальшивый сайт, который выглядит как официальный.
3. Вы вводите логин, пароль или данные карты.
4. Мошенники получают доступ к вашим деньгам.

Какая основная цель фишинга

По сути, цель фишинга – получить доступ к конфиденциальной информации. 

Чаще всего мошенники охотятся за:

• логинами и паролями от банковских аккаунтов, соцсетей, почты;
• данными банковских карт;
• паспортными данными и копиями документов;
• доступом к корпоративным системам.

Но информация нужна злоумышленникам не просто так. Далее ее используют разными способами. 

Вот некоторые примеры целей фишинга:

• Кража денег с карт и счетов через онлайн-покупки, снятие наличных или подключение автоплатежей.
• Воровство личности. Оно же идентификационное мошенничество. Украв данные, фишеры могут оформить на имя жертвы кредит, зарегистрировать фирму-однодневку или арендовать жилье, а потом исчезнуть, оставив вам долги.
• Продажа данных в даркнете. Полученные сведения, например, логины/пароли, базы клиентов банков или сканы паспортов, можно выгодно продать другим мошенникам, которые будут использовать их для своих целей. Например, для спам-рассылок или новых атак.
• Шантаж и вымогательство. Если мошенники получают переписки или личные фото, они могут потребовать деньги за неразглашение информации, а за отказ платить ­­– слить компромат в открытый доступ. С таким же успехом можно шантажировать работодателя, если взломана корпоративная почта.

Кто чаще становится жертвой фишинга

Фишинговые атаки могут затронуть любого, но некоторые группы людей попадаются на уловки мошенников чаще остальных. Разберем, кто в зоне риска и почему.

Кроме того, мошенники используют слабости человеческой психики.

Чаще всего их жертвами становятся:

• Невнимательные.

Не обращают внимание на детали. Например, не проверяют адреса сайтов, не замечают ошибки в письмах. Имеют привычку использовать везде один и тот же пароль.

• Паникеры.

Неустойчивы к стрессовым ситуациям. Теряют бдительность при сообщениях о «срочных проблемах» с картой или аккаунтом и торопятся исправить мнимую проблему.

• Доверчивые.

Не сомневаются в благих намерениях незнакомцев. Верят в «бесплатные подарки» и «выигрыши». Редко проверяют информацию.

Виды фишинговых атак

Фишинг постоянно эволюционирует, и сегодня злоумышленники используют десятки различных методов для кражи личных данных. Некоторые атаки рассчитаны на массовую аудиторию, другие – точечно нацелены на конкретных жертв.

Рассмотрим основные виды фишинга.

Почтовый фишинг (email phishing)

Наиболее массовый и распространенный вид атаки. Мошенники рассылают тысячи писем, замаскированные под официальные уведомления от банков, государственных учреждений или популярных сервисов типа Google, Яндекса или Mail.ru.

Целевой фишинг (spear phishing)

Более сложная и направленная версия email-фишинга. В отличие от безликих массовых рассылок, злоумышленники используют методы социальной инженерии:

• тщательно изучают жертву;
• персонализируют письмо, упоминают реальные имена, проекты;
• маскируются под коллег или деловых партнеров.

Как правило, главная цель такого вида мошенничества: сотрудники компаний с доступом к финансам или конфиденциальной информации.

СМС-фишинг (смишинг)

Это фишинговая атака через SMS-сообщения. Часто приходит уведомление о проблемах с банковской картой или посылкой, требующее перехода по ссылке.

Голосовой фишинг (вишинг)

Телефонное мошенничество, когда злоумышленники звонят с поддельного номера и представляются сотрудниками банка или службы поддержки.

Современные технологии позволяют совершать такие звонки даже без участия мошенника. Сообщение можно сгенерировать с помощью бота-говорилки и выдать за робота-оператора или имитировать с помощью нейросети голос реального человека.

Фарминг (подмена DNS)

Сложная техника, при которой трафик перенаправляется на фальшивые сайты без ведома пользователя. 

Как работает фарминг:

1. Компьютер жертвы заражается вредоносным ПО, которое изменяет DNS-настройки.
2. Пользователь переходит по нужному адресу, но автоматически перенаправляется на сайт-подделку, куда вводит свои данные.
3. Вся введенная информация попадает к мошенникам.

Клон-фишинг, Веб-фишинг

Это фишинг в интернете, при котором создаются точные копии писем, сайтов или приложений. Такие фейки сложно отличить от оригинала: дизайн и функционал полностью идентичны и даже адрес очень похожий.

Если отличить подделку от оригинала не удается, незадачливый пользователь вводит туда свои данные и отправляет их владельцам клона.

Злой двойник (evil twin attack)

В этом случае подделывают не сайт, а сеть Wi-Fi, которую можно поймать в общественном месте: на вокзале, в кафе или парке. Например, в аэропорту может появиться сеть с названием, похожим на официальную: «Airport_Free_WiFi» вместо настоящей «Airport_WiFi».

Такие Wi-Fi-клоны перехватывают трафик пользователей и запоминают все логины и пароли.

Фишинг через соцсети и мессенджеры

Это выманивание данных через сообщения в социальных сетях. Такой метод позволяет сразу заодно побольше узнать о потенциальной жертве и использовать полученные сведения для составления более убедительных сообщений.

Наиболее распространены два сценария мошенничества в соцсетях:

• Помощь другу.

Для этого используются «угнанные» страницы живых пользователей, с которых всем друзьям рассылают сообщения с просьбой дать взаймы или проголосовать за ребенка в конкурсе.

• Бесплатный сыр.

В этом случае сообщения о подарках и выигрышах идут с аккаунта-копии известного бренда или безымянного магазина. Надо лишь заполнить форму или принять смс с кодом, чтобы получить что-то ценное.

Как распознать фишинговую атаку

Фишинговые атаки становятся все более изощренными, но внимательный пользователь всегда может заметить характерные признаки мошенничества.

Требование нарушить конфиденциальность

Главный признак – просьба или приказ открыть какие-то закрытые данные: продиктовать код из смс, цифры с оборота карты, ответ на секретный вопрос и так далее.

Запомните: официальные представители коммерческих компаний, банков и государственных органов никогда не будут запрашивать подобную информацию.

Сюда же относятся просьбы сделать нечто, нарушающее требования информационной безопасности компании.

Неверный адрес или номер

Следующее, на что стоит обратить внимание – адрес отправителя. Фишинговые письма часто приходят с подозрительных доменов, которые лишь отдаленно напоминают официальные.

Например, письмо якобы от банка может приходить не с домена @sberbank.ru, а с @sberbank-security.com или @sberbank-support.net.

В мобильных сообщениях стоит проверять номер отправителя – банки используют короткие номера, а не длинные мобильные.

Непонятные ссылки

Перед тем как щелкнуть по ссылке, посмотрите, куда она ведет. В почте можно просто навести курсор на ссылку. На сайтах – посмотреть код страницы.

Странные формулировки

Мошенники не всегда знакомы с tone-of-voice и корпоративной культурой компании, язык представителей которой пытаются скопировать. К примеру, могут представиться должностью, которой там на самом деле нет. Или выдумать термин, которого на самом деле нет, вроде «безопасного счета», куда предлагают перевести деньги лже-сотрудники банков.

Нечто страшное и срочное

«Ваш аккаунт будет заблокирован в течение 24 часов!», «Если не обновите данные, доступ будет утрачен» и прочие пугалки должны создать у адресата ощущение паники и необходимости выполнять указанные действия незамедлительно.

Такой излишне эмоциональный стиль – явный показатель фишинга.

Халява

Бесплатный сыр кладут только в мышеловки. Как бы соблазнительно ни звучало предложение получить новый автомобиль или миллион рублей ­­­– не ведитесь. Помните: ничто не обходится дороже, чем попытки получить что-то ценное бесплатно.

Визуальные несостыковки

Если дизайн привычного сайта немного изменился, то возможно это не ребрендинг, а небрежность мошенников.

Если в глаза бросается неаккуратная верстка, ошибки, цвета, которые не соответствуют фирменному стилю компании и прочие подозрительные детали – уходите с этого сайта.

Как защититься от фишинга

Можно назвать основные 10 правил предосторожности, которые помогут вам уберечь свои данные от мошенников.

• Храните секреты

Никому не сообщайте пароли, PIN-коды, CVV/CVC карт и коды из SMS. Помните, что сотрудники банков никогда их не спрашивают.

• Проверяйте

Смотрите на домен сайта, адрес отправителя или номер телефона в SMS. Официальные организации используют корпоративные адреса, а не бесплатные почтовые сервисы.

Не забудьте проверить ссылку: не кликая наведите на нее курсор или посмотрите код страницы, чтобы увидеть реальный адрес.

• Перепроверяйте

Не стесняйтесь позвонить или написать человеку, который вам пишет. Допустим, если письмо от начальника выглядит фейковым – позвоните ему и переспросите.

Если вам позвонили из банка или госучреждения, найдите их телефон на официальном сайте, позвоните и расскажите оператору о сообщении, которое считаете подозрительным.

• Не спешите

Если вас подгоняют и требуют сделать что-то прямо сейчас ­– остановитесь. Фишинг рассчитан на мгновенную реакцию. Никогда не действуйте без предварительного анализа и обдумывания.

• Не бойтесь

Мошенники играют на чувстве страха. Помните об этом и игнорируйте любые угрозы. Ничего страшного не произойдет, пока вы сами своими руками что-то не нажмете или не отправите.

• Соблюдайте цифровую гигиену

Помните и применяйте правила информационной безопасности. Не используйте один пароль для всех аккаунтов, не качайте пиратский контент и не жмите на подозрительные баннеры.

• Защищайтесь

Тут поможет антивирус и антифишинговые расширения. При необходимости подключиться к публичной сети – используйте проверенный VPN.

Не забудьте включить двухфакторную аутентификацию. Так мошенники, даже если узнают ваш пароль, не смогут войти в аккаунт без кода из SMS или приложения.

• Учитесь и учите

Познакомьтесь с базовыми правилами кибербезопасности. Например, можно пройти специальные курсы. Не поленитесь рассказать об опасности фишинга другим: бабушке или коллеге-новичку.

• Отделяйте личное от рабочего

Не используйте корпоративную почту для личных учеток и наоборот – не работайте с личных аккаунтов.

• Хитрите

Создайте несколько наборов вымышленных данных и используйте их на подозрительных сайтах. Если позже получаете письмо от спамеров на этот email, значит, этот сервис продает данные или допускает утечки.

Главное правило: защита от фишинга — это не разовое действие, а постоянный процесс.

Что делать, если вы стали жертвой фишинга

Фишинговая атака может произойти с кем угодно, даже с осторожными пользователями. Главное — не паниковать и действовать быстро.

Если вас атаковали на работе

В случае, если мошенники поймали вас и получили данные рабочего аккаунта – немедленно оповестите об этом руководство, а также IT-отдел или отдел безопасности. Ваши коллеги дадут вам подробные инструкции и сами предпримут необходимые меры защиты, предусмотренные в вашей компании.

Ни в коем случае не пытайтесь скрыть свой промах. Это может привести к еще более тяжелым последствиям, а виновного все равно рано или поздно найдут.

Совет для руководителей

Если ваш сотрудник попал в фишинговую ловушку, важно оперативно минимизировать риски для бизнеса. Об информационной безопасности позаботится IT-отдел. А вы повнимательней присмотритесь к сотруднику и проверьте его через сервис «Проверка соискателей» от SpectrumData.

Это поможет вам убедиться, что инцидент не связан с умышленными действиями работника или установить истинную причину утечки данных. Например, человек оказался в долговой яме и решил слить информацию за деньги. А может, он вообще параллельно трудится на ваших конкурентов? О задолженностях ФССП, подозрительных деловых связях и о многом другом расскажет комплексный отчет, собранный из сведений, размещенных в государственных реестрах и официальных базах данных.

Если утекли ваши личные данные

В случае, если вы потеряли личные данные — действуйте по нашей инструкции.

Изолируйте угрозу

• Отключите интернет на зараженном устройстве. Это остановит передачу данных мошенникам.
• Закройте все вкладки и приложения, связанные с фишинговой атакой.
• Если вводили данные на поддельном сайте — не сохраняйте пароли в браузере.

Заблокируйте доступ к вашим аккаунтам

• Смените пароли для всех важных сервисов. Используйте уникальные сложные комбинации.
• Включите двухфакторную аутентификацию, если она не была активирована.

Сообщите о мошенничестве

• Обратитесь в поддержку сервиса или организации, от имени которого действовали мошенники.
• Если украдены данные паспорта, СНИЛС или деньги — подайте заявление в правоохранительные органы.
• Предупредите друзей, если мошенники получили доступ к вашим соцсетям или почте.

Защитите финансы

• Позвоните в банк по официальному номеру и заблокируйте карту, если вводили ее данные.
• Проверьте транзакции. Если это возможно, отмените подозрительные платежи через приложение банка.
• Закажите перевыпуск карты с новым номером, если мошенники получили CVV или PIN.

Проверьте устройства на вирусы

• Просканируйте компьютер или телефон антивирусом.
• Удалите подозрительные приложения и расширения браузера.
• Обновите операционную систему и софт. Многие фишинговые атаки используют уязвимости софта.

Извлеките уроки

• Проанализируйте, как произошла атака, чтобы избежать подобных случаев в будущем.
• Изучите и выполняйте правила кибербезопасности.
• Позаботьтесь об усиленной защите своих данных.

Часто задаваемые вопросы

Что такое фишинг своими словами?

Фишинг — это мошенничество, когда злоумышленники притворяются банками, соцсетями или госучреждениями, чтобы выманить личные данные: пароли, номера карт, паспортные данные. Они создают поддельные письма, сайты или звонки, которые выглядят как настоящие. Цель — заставить жертву добровольно передать информацию или деньги.

Какие есть примеры фишинга?

• Фишинговые рассылки «от банка»: «Ваш аккаунт взломан! Срочно перейдите по ссылке и смените пароль».
• СМС о «посылке»: «Заберите документы по ссылке — иначе вернем отправителю».
• Фейковый Wi-Fi в кафе с названием «Free_Coffee_Network».
• Звонок «из техподдержки»: «Ваш компьютер заражен — установите программу».

Как распознать фишинговые письма?

• Подозрительный отправитель: адрес не совпадает с официальным.
• Ошибки: орфография, странные формулировки, кривой дизайн.
• Срочность: «Немедленно оплатите штраф!», «Аккаунт удалят через 1 час!».
• Ссылки: ведут непонятно куда.

Чем отличается фишинг от спуфинга?

Фишинг — это обман, чтобы добровольно получить данные.

Спуфинг — подмена данных, например, номера телефона, email, IP), чтобы скрыть источник атаки. Например, звонок с номера банка, который на самом деле мошенник.

Где чаще всего можно встретить фишинговые ссылки?

• В электронной почте: письма «от служб доставки», налоговой, банков.
• В соцсетях: сообщения «друзей», реклама раздачи суперпризов.
• В SMS: уведомления о «блокировке карты» или «выигрыше».
• На сайтах: всплывающие окна «Ваш компьютер заражен!».

Автор: Михаил Нохрин