Фишинг в интернете: как мошенники крадут ваши пароли и деньги, и как этого избежать

Представьте: вы получаете срочное письмо от банка, сообщение от соцсети с предупреждением о взломе или SMS о блокировке карты. Ссылка ведёт на знакомый сайт, где просят ввести логин и пароль. Вы вводите — и в этот момент ваши данные попадают к мошенникам. Это фишинг — одна из самых распространённых и опасных интернет-угроз, которая маскируется под легитимность. Понимание её механизмов — ваша лучшая защита.

Что такое фишинг и как он работает?

Фишинг (от англ. fishing — «рыбалка») — это вид интернет-мошенничества, целью которого является получение конфиденциальных данных: логинов, паролей, данных банковских карт, паспортных данных. Мошенники создают почти идеальные копии реальных сайтов (банков, почтовых сервисов, соцсетей, госуслуг) или присылают письма от имени известных компаний. Их задача — вызвать у жертвы сильную эмоцию (страх, жадность, любопытство, чувство долга), чтобы она перешла по ссылке и ввела свои данные на поддельной странице.

Важный факт: По данным исследований, более 90% успешных кибератак начинаются именно с фишингового письма. Это не атака на слабости компьютера, а атака на психологию человека.

Основные виды фишинговых атак

1. Массовый фишинг (Email-фишинг)

Мошенники рассылают тысячи однотипных писем, надеясь, что хотя бы часть адресатов «клюнет». Часто используются темы: «Ваш аккаунт заблокирован», «Подтвердите платёж», «Вы выиграли приз».

2. Целевой фишинг (Spear Phishing)

Более изощрённая атака, направленная на конкретного человека или организацию. Мошенники изучают жертву в соцсетях, чтобы письмо выглядело максимально персонализированным (например, от имени коллеги или начальника).

3. Смишинг (SMS-фишинг) и вишинг (голосовой фишинг)

Атаки через SMS с поддельными ссылками или звонки от «службы безопасности банка». Злоумышленник может убедительно просить продиктовать код из SMS или CVC-код карты.

4. Фишинг в соцсетях и мессенджерах

Приходят сообщения от «друга» со ссылкой на «интересное видео» или «фото», которые ведут на фишинговую страницу, запрашивающую авторизацию в соцсети.

Как распознать фишинг: 7 красных флагов

Срочность и давление. «Ваш аккаунт будет удалён через 24 часа!», «Немедленно подтвердите платёж!». Цель — заставить вас действовать быстро, без раздумий.
Незнакомый или подозрительный адрес отправителя. Проверяйте адрес электронной почты или номер телефона полностью. Официальный банк не будет писать с адреса support-bank123@yandex.ru.
Ссылки, не соответствующие названию компании. Наведите курсор на ссылку (не кликайте!), чтобы увидеть её реальный адрес в браузере. Если в письме от Сбербанка ссылка ведёт на sberbank-security.ru (а не на sberbank.ru) — это фишинг.
Ошибки и небрежность. Орфографические ошибки, странные формулировки, некачественные логотипы.
Неожиданные вложения. Никогда не открывайте вложения в подозрительных письмах (например, invoice.zip или document.exe).
Запрос конфиденциальных данных. Настоящие банки и сервисы никогда не запрашивают по email или SMS ваш полный пароль, PIN-код или CVC-код карты.
Слишком щедрое предложение. «Вы выиграли iPhone!» — классическая приманка.

Совет: Если сомневаетесь в письме, не переходите по ссылкам в нём. Войдите в свой аккаунт на официальном сайте, набрав адрес вручную в браузере, или позвоните в службу поддержки по номеру с официального сайта.

Что делать, если вы всё-таки попались?

Немедленно смените пароль на взломанном сервисе (и на всех других, где вы использовали такой же пароль!).
Если скомпрометированы данные банковской карты, немедленно позвоните в банк и заблокируйте карту.
Включите двухфакторную аутентификацию (2FA) везде, где это возможно.
Если вы ввели данные на поддельном сайте, сообщите об этом в настоящую компанию, от имени которой действовали мошенники.

Профилактика: как сделать себя неуязвимым для фишинга

Используйте менеджеры паролей (KeePass, Bitwarden) и создавайте для каждого сайта уникальный сложный пароль.
Всегда включайте двухфакторную аутентификацию (через SMS, приложение-аутентификатор или ключ безопасности).
Регулярно обновляйте браузер и операционную систему. Современные браузеры часто предупреждают о посещении фишинговых сайтов.
Установите антивирус с функцией защиты от фишинга.
Будьте скептичны. В интернете нет «бесплатного сыра» и паники от служб безопасности, которые пишут по email.

FAQ: Часто задаваемые вопросы о фишинге

Может ли фишинговая атака произойти через официальное приложение?

Нет, если вы скачали приложение из официального магазина (App Store, Google Play). Но мошенники могут создать поддельное приложение и разместить его в магазине, поэтому всегда проверяйте разработчика и отзывы.

Как отличить фишинговый сайт от настоящего по внешнему виду?

Современные фишинговые сайты выглядят практически идентично. Ключевой признак — адрес в строке браузера (URL). Проверяйте наличие «https://» и замка (знак безопасного соединения), но помните, что мошенники тоже могут использовать HTTPS. Главное — точное совпадение доменного имени.

Что безопаснее: переходить по ссылке в письме или в SMS?

Ни то, ни другое не безопасно, если вы не уверены на 100% в отправителе. Самый безопасный способ — вручную ввести адрес сайта в браузере.

Могут ли меня обмануть, если я просто открою письмо?

Просто открыть и прочитать письмо — обычно безопасно. Опасность возникает при переходе по ссылкам, открытии вложений или вводе данных. Однако некоторые продвинутые атаки могут использовать невидимые трекеры для подтверждения активности email.

Куда сообщать о фишинговых атаках в России?

О фишинговых сайтах и письмах можно сообщать в ГУ МВД по борьбе с киберпреступностью, а также в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России. Многие компании (Яндекс, Mail.ru, банки) имеют собственные адреса для приёма жалоб на фишинг.