Фишинг: что это такое, как работает и как защититься

Типичная фишинговая атака начинается с письма, сообщения или звонка, которые выглядят правдоподобно и не вызывают подозрений. Человек видит тревожное или заманчивое сообщение и делает то, что от него ждут мошенники: переходит по ссылке, открывает вложение или передает данные.

Фишинговая атака опасна тем, что эксплуатирует человеческую психологию, а не технологические уязвимости. Достаточно убедительного сценария и грамотно оформленного сообщения, чтобы злоумышленники получили доступ к данным без сложных технических манипуляций.

Поэтому защита от фишинга начинается не только с фильтров, но и с умения распознавать определенный сценарий до того, как человек начнет делать то, чего от него ждут мошенники. Такие атаки легко масштабируются. Одну и ту же схему можно использовать в разных каналах и направить сразу большому числу людей.

Последствия успешной фишинговой атаки могут быть серьезными.

Для людей это потеря денег, утечка личных данных и доступ к аккаунтам. Для компаний — утечка конфиденциальной информации, прямые убытки, ущерб репутации и потеря доверия клиентов.

Чтобы вовремя заметить подмену, полезно понимать, какие виды фишинга существуют и какие приемы используют мошенники.

Мошенники используют разные каналы и приемы, но цель всегда одна — получить данные человека или доступ к системе. Ниже разберем основные виды фишинга, которые важно знать.

Фишинг по почте

Классический способ — письма, которые похожи на уведомления от банков, сервисов или коллег.

Такое письмо может содержать просьбу проверить документ, подтвердить аккаунт или решить срочный вопрос. Часто мошенники копируют оформление знакомых сервисов или используют реальные детали переписки.

К фишингу по почте относят массовые рассылки, целевой фишинг, китобойный фишинг и клон-фишинг. Разница между ними в масштабе и точности атаки: одни письма отправляют тысячам адресатов, другие готовят под конкретного человека, компанию или руководителя.

Такое фишинговое письмо часто использует знакомый способ давления и становится убедительнее за счет деталей, которые человек уже видел в обычной переписке.

Фишинг в мессенджерах и социальных сетях

Фишинговые сообщения приходят не только по почте. Мошенники часто используют смс, мессенджеры и соцсети. Сообщение выглядит коротким и срочным, поэтому человек быстрее реагирует и реже проверяет детали.

К таким атакам относят смишинг, сообщения от поддельных страниц брендов и сообщения от взломанных аккаунтов. Во всех этих случаях злоумышленники пытаются заставить человека перейти по ссылке, открыть страницу входа или отправить данные.

Голосовой фишинг (вишинг)

При вишинге мошенники звонят по телефону и представляются сотрудниками банка, техподдержки или госслужб. Они создают ощущение срочности и просят продиктовать код из смс, подтвердить операцию или установить приложение.

Такой сценарий строится на доверии к авторитету и давлении временем. Человек не видит поддельную страницу или письмо, но все равно передает злоумышленникам нужные данные.

Технические схемы

Некоторые атаки не связаны напрямую с письмами и сообщениями. Мошенники создают подмены на уровне сети, страницы или поисковой выдачи, и человек попадает на фальшивый сайт, даже если вводит знакомый адрес или ищет нужный сервис через поиск.

К техническим схемам относят фарминг, атаку «злой двойник» и фишинг через поиск. Во всех этих случаях срабатывает не только психологический, но и технический механизм атаки: человек думает, что находится на настоящем ресурсе, хотя его данные уже уходят злоумышленникам.

Такая разновидность фишинга особенно опасна тем, что подмена выглядит правдоподобно, а признаки фишингового сайта не всегда заметны сразу.

Корпоративные схемы (BEC)

В компаниях фишинг часто начинается с подмены рабочей почты. Мошенник получает доступ к почте сотрудника или создает адрес, который отличается от настоящего на одну букву. Переписка выглядит обычной, поэтому письмо не вызывает подозрений.

При BEC-атаках злоумышленник встраивается в рабочий диалог и отправляет запрос, который выглядит как обычная задача: перевести деньги, отправить документы или открыть доступ. Так фишинг использует не только доверие к бренду, но и доверие к рабочему контексту.

Фишинговые письма и сообщения почти всегда выдают мелкие детали. Если смотреть на них внимательнее, подмена становится заметной.

Ниже — признаки, которые помогают понять, что перед вами фальшивка.

Адрес отправителя

Первое, на что стоит смотреть — адрес отправителя. Мошенники часто берут адрес, который почти повторяет настоящий, но отличается на одну букву, символ или домен.

Например, вместо support@sberbank.ru приходит письмо с адреса support@sberbank-online.ru или support.sberbank@gmail.com.

Помните, что официальные компании не используют публичные почтовые сервисы вроде Gmail, Mail.ru или Yandex для служебной переписки.

Ссылка в письме

Фишинговые письма часто содержат вредоносные ссылки. Перед тем как нажать на ссылку, наведите на нее курсор мыши или сделайте долгое нажатие на мобильном устройстве, чтобы увидеть реальный URL.

Если адрес выглядит странно или не соответствует организации, от имени которой пришло письмо, не переходите по нему. Будьте особенно осторожны с сокращенными ссылками.

Если письмо направляет вас на страницу, где нужно ввести логин, пароль, данные карты или другую конфиденциальную информацию, это повод остановиться и перепроверить адрес вручную.

Даже простая защита — открыть нужный сайт вручную, а не из письма — часто помогает отличать настоящее сообщение от подделки.

Подозрительные вложения

Фишинговые письма часто содержат не только ссылки, но и вредоносные вложения. Не открывайте неожиданные файлы, особенно если вы не ждали это письмо или не запрашивали документ.

Будьте особенно осторожны с файлами с расширениями .exe, .zip, .scr. Если письмо пришло от знакомого человека, но вы не ждете вложение, лучше уточнить через другой канал связи.

Здесь базовая защита одна: не делать ничего с файлом, пока вы не подтвердили отправителя через другой канал.

Поддельные логотипы и дизайн

Мошенники часто копируют оформление знакомых сервисов, компаний и банков. Письмо может выглядеть аккуратно, содержать логотип, похожие цвета и привычную структуру, но это еще не делает его настоящим.

Не стоит доверять письму только потому, что оно похоже на официальную рассылку. Важно проверять не только внешний вид, но и адрес отправителя, ссылки и сам запрос.

HTTPS и предупреждения браузера

Фишинговые сайты часто отличаются от оригинала буквально одним символом: yamdex.ru вместо yandex.ru, sberbak.ru вместо sberbank.ru, paypa1.com вместо paypal.com. Любая мелочь в адресе — повод закрыть страницу.

Также важно смотреть на протокол в начале адреса. Если строка начинается с http без буквы s, браузер считает соединение незащищенным и может показать предупреждение вроде «Не защищено».

Сейчас браузеры не выделяют безопасные сайты значком замка, потому что https стал стандартом. Проверить защиту можно через иконку слева от адреса — там видно, защищено соединение или нет. Если появилось предупреждение или нет https, лучше не вводить данные и закрыть страницу.

Срочность и давление

Мошенники любят создавать ощущение срочности, чтобы вы действовали быстро и не успели подумать. Они используют фразы: «Срочно!», «Ваш аккаунт будет заблокирован через 24 часа», «Немедленно подтвердите ваши данные». 

Большинство фишинговых писем давят на страх: угрожают блокировкой счета, потерей данных или «юридическими мерами». Такое давление сбивает с толку, и человек действует быстрее, чем успевает проверить письмо.

Фишинг давно вышел за пределы электронной почты. Мошенники используют те каналы, в которых человек привык быстро реагировать и меньше проверять детали. Поэтому важно смотреть не только на текст сообщения, но и на сам контекст: кто пишет, что именно просит и почему запрос выглядит срочным или необычным.

Письмо от «банка» или «коллеги»

Классический сценарий — письмо, которое выглядит как уведомление от банка, сервиса или коллеги. В нем могут просить подтвердить аккаунт, проверить документ, оплатить счет или срочно решить вопрос.

Такие письма часто копируют оформление знакомых сервисов и используют формулировки, которые выглядят привычно. Но если адрес отправителя отличается от настоящего хотя бы на один символ, а сам запрос выбивается из обычной переписки, это повод остановиться и все перепроверить.

СМС и мессенджеры

Фишинговые сообщения приходят не только по почте. Мошенники все чаще используют СМС, мессенджеры и соцсети. Сообщение выглядит коротким и срочным: «Карта заблокирована», «Подтвердите операцию», «Посмотри фото».

Такие атаки часто срабатывают быстрее, потому что телефон мы проверяем чаще почты и реже ожидаем там угрозу. Отдельно стоит насторожиться, если сообщение пришло с незнакомого номера, содержит короткую ссылку или требует немедленного действия.

В таких сценариях люди чаще начинают попадаться на срочность, поэтому дополнительное средство защиты здесь — короткая пауза перед кликом.

Звонки от «службы безопасности»

При вишинге мошенники звонят по телефону и представляются сотрудниками банка, техподдержки или госслужб. Они говорят о подозрительной операции, блокировке карты или проблеме с аккаунтом и сразу создают ощущение срочности.

Дальше человека просят продиктовать код из смс, подтвердить операцию или установить приложение «для защиты». Настоящие сотрудники банка такие запросы не делают, поэтому любой подобный звонок стоит сразу воспринимать как признак мошенничества.

Корпоративные атаки (BEC)

В компаниях фишинг часто начинается с подмены рабочей почты. Мошенник получает доступ к почте сотрудника или создает адрес, который отличается от настоящего на одну букву. Переписка при этом выглядит обычной и не вызывает подозрений.

Опасность BEC в том, что злоумышленник встраивается в реальный рабочий диалог. Между обычными письмами появляется сообщение с просьбой перевести деньги, отправить документы или открыть доступ. Тема письма выглядит привычно, поэтому человек воспринимает запрос как часть работы.

Поддельные сайты

Иногда человек попадает на фальшивый сайт не из письма, а через поиск, рекламу или сообщение со ссылкой. Такая страница может почти не отличаться от настоящей: те же цвета, логотипы, форма входа и знакомая структура.

Подмену часто выдает только адрес. Фишинговые сайты отличаются от оригинала буквально одним символом: например, yamdex.ru вместо yandex.ru. Если сайт просит ввести логин, пароль, данные карты или код подтверждения, адрес нужно проверить особенно внимательно.

Фишинговые письма становятся аккуратнее: мошенники используют ИИ, чтобы писать текст без ошибок, подделывать стиль переписки и даже имитировать речь сотрудников. Подделки выглядят правдоподобно, но есть действия, которые помогают заметить обман раньше, чем вы перейдете по ссылке или отправите данные.

Проверяйте ссылки перед кликом

Смотрите не только на имя отправителя, но и на адрес. Перед кликом проверяйте реальный URL — наведите курсор или откройте нужный сайт вручную через строку браузера или закладки. Странный домен, лишний символ или сокращенный адрес — повод остановиться.

Не открывайте вложения от неизвестных

Не открывайте вложения от неизвестных отправителей и не запускайте файлы с расширениями .exe, .scr, .zip или .js. Если письмо пришло от знакомого человека, но вы не ждете файл, лучше уточнить через другой канал связи.

Проверка ссылок и вложений — простая, но рабочая мера профилактики.

Включите двухфакторную аутентификацию

Устанавливайте уникальные пароли для каждого сервиса. Менеджер паролей помогает держать их в порядке и не вводит данные на поддельных сайтах.

Включайте двухфакторную аутентификацию — код из смс или приложения защищает аккаунт, даже если пароль оказался у злоумышленников. Двухфакторная аутентификация — одно из базовых средств защиты против фишинга.

Для почты, банковских сервисов и рабочих аккаунтов такая защита особенно важна: это простое средство против повторного входа в аккаунт, даже если пароль уже утек.

Обновляйте систему и антивирус

Обновляйте браузер, систему и антивирус — они закрывают уязвимости, которыми пользуются мошенники. Не игнорируйте предупреждения браузера о небезопасном соединении и не вводите данные на страницах, которые вызывают сомнения.

Регулярные обновления — это не разовая мера, а постоянная профилактика против схем, где используется технический метод подмены страницы или файла.

Проверяйте настройки безопасности в браузере

Для входа в важные сервисы лучше использовать закладки или вводить адрес вручную. Если браузер показывает, что соединение не защищено, или адрес сайта отличается от привычного хотя бы на один символ, страницу лучше закрыть и открыть нужный сайт заново.

Такая защита помогает по определенным признакам отличать настоящий сайт от фишингового и не попадать на подмену снова.

Фишинг срабатывает не потому, что человек ничего не знает о безопасности. Чаще причина в другом: сообщение попадает в знакомый контекст, вызывает сильную эмоцию и подталкивает к быстрому действию. Ниже — три приема, на которых держится большинство таких атак.

Страх и срочность

Мошенники часто создают ощущение угрозы или дефицита времени. Они пишут, что аккаунт скоро заблокируют, деньги могут списать, доступ нужно срочно подтвердить или проблему надо решить прямо сейчас.

Такое давление мешает спокойно проверить детали. Человек реагирует быстрее, чем успевает заметить подмену, и именно на это рассчитана атака.

Доверие к брендам

Фишинговые письма и сайты часто копируют оформление банков, маркетплейсов, сервисов доставки, госуслуг и других знакомых платформ. Узнаваемый логотип, привычные цвета и похожий тон сообщения снижают настороженность.

То же самое происходит в рабочих атаках, когда письмо выглядит как сообщение от коллеги, руководителя или партнера. Человек видит знакомый контекст и воспринимает запрос как обычный.

Жадность и любопытство

Еще один частый прием — обещание выгоды или попытка зацепить интерес. Это могут быть сообщения о выигрыше, скидке, возврате денег, неожиданном бонусе или фраза, которая вызывает желание немедленно открыть ссылку.

В таких сценариях человек не обязательно доверяет сообщению полностью. Иногда достаточно того, что он хочет быстро проверить, о чем идет речь. Этого уже хватает, чтобы он попал на поддельную страницу или передал данные.

На такие сценарии могут попадаться даже внимательные люди. Поэтому важно не только знать правила, но и распознавать такие приемы в моменте. Чем лучше человек понимает принцип атаки, тем легче ему распознавать такие приемы и не попадаться на них снова.

Даже внимательный человек может открыть фальшивую ссылку или отправить данные преступникам. Главное — действовать быстро и спокойно. Вот что помогает снизить ущерб. 

Даже если жертва не сразу понимает, каким методом действовали мошенники, быстрая реакция снижает ущерб и показывает, какая защита нужна дальше.

1. Закройте подозрительный сайт и отключите устройство от сети. Закройте страницу и отключите интернет: выключите вайфай или включите авиарежим. Это поможет остановить передачу данных и помешает загрузке вредоносного файла.
2. Смените пароли в важных сервисах. Начните с почты и банковских приложений. Лучше сделать это с другого устройства. Придумайте новые надежные пароли и включите двухфакторную защиту везде, где это возможно.
3. Свяжитесь с банком, если ввели данные карты. Позвоните по номеру на обратной стороне карты, расскажите, что произошло, и попросите заблокировать карту. Проверьте историю операций и сообщите о транзакциях, которые вы не совершали.
4. Проверьте устройство антивирусом. Запустите полное сканирование и удалите найденные угрозы. Если компьютер или телефон ведет себя странно, лучше обратиться к специалистам.
5. Сообщите о фишинге. Напишите в компанию, от имени которой действовали мошенники. Если это произошло на работе, сразу предупредите коллег и ИТ-отдел. Так вы поможете защитить и других.
6. Следите за аккаунтами и операциями в ближайшие недели. Проверяйте выписки по картам, историю входов и уведомления о новых действиях. Злоумышленники не всегда используют украденные данные сразу. Такая работа после инцидента помогает отличать случайную ошибку от определенной схемы и усиливает защиту аккаунтов.
7. Не ругайте себя. На такие уловки попадаются не только обычные пользователи, но и люди, которые каждый день работают с рисками. Важно не то, что произошло, а то, как быстро вы отреагировали и закрыли доступ.

Если вы отвечаете за безопасность в компании, важно не только рассказывать сотрудникам о фишинге, но и тренировать навык замечать подмену в рабочем контексте.

Практика на имитированных атаках показывает, как команда реагирует на подозрительные письма и сообщения, где сотрудники ошибаются и какие сценарии требуют отдельной проработки.

В Start AWR можно запускать такие сценарии и видеть, где сотрудники допускают ошибки, чтобы точнее выстраивать обучение и тренировки.

Оставьте заявку на бесплатное демо, и наш эксперт покажет, как это будет работать в вашей компании.

Такой подход дает не разовую защиту, а понятный метод профилактики, который помогает команде раньше замечать определенные признаки фишинговой атаки.