Фишинг: что это такое, как работает и как защититься

Типичная фишинговая атака начинается с письма, сообщения или звонка, которые выглядят правдоподобно и не вызывают подозрений. Человек видит тревожное или заманчивое сообщение и делает то, что от него ждут мошенники: переходит по ссылке, открывает вложение или передает данные.

Фишинговая атака опасна тем, что эксплуатирует человеческую психологию, а не технологические уязвимости. Достаточно убедительного сценария и грамотно оформленного сообщения, чтобы злоумышленники получили доступ к данным без сложных технических манипуляций.

Поэтому защита от фишинга начинается не только с фильтров, но и с умения распознавать определенный сценарий до того, как человек начнет делать то, чего от него ждут мошенники. Такие атаки легко масштабируются. Одну и ту же схему можно использовать в разных каналах и направить сразу большому числу людей.

Последствия успешной фишинговой атаки могут быть серьезными.

Для людей это потеря денег, утечка личных данных и доступ к аккаунтам. Для компаний — утечка конфиденциальной информации, прямые убытки, ущерб репутации и потеря доверия клиентов.

Чтобы вовремя заметить подмену, полезно понимать, какие виды фишинга существуют и какие приемы используют мошенники.

Мошенники используют разные каналы и приемы, но цель всегда одна — получить данные человека или доступ к системе. Ниже разберем основные виды фишинга, которые важно знать.

Фишинг по почте

Классический способ — письма, которые похожи на уведомления от банков, сервисов или коллег.

Такое письмо может содержать просьбу проверить документ, подтвердить аккаунт или решить срочный вопрос. Часто мошенники копируют оформление знакомых сервисов или используют реальные детали переписки.

К фишингу по почте относят массовые рассылки, целевой фишинг, китобойный фишинг и клон-фишинг. Разница между ними в масштабе и точности атаки: одни письма отправляют тысячам адресатов, другие готовят под конкретного человека, компанию или руководителя.

Такое фишинговое письмо часто использует знакомый способ давления и становится убедительнее за счет деталей, которые человек уже видел в обычной переписке.

Фишинг в мессенджерах и социальных сетях

Фишинговые сообщения приходят не только по почте. Мошенники часто используют смс, мессенджеры и соцсети. Сообщение выглядит коротким и срочным, поэтому человек быстрее реагирует и реже проверяет детали.

К таким атакам относят смишинг, сообщения от поддельных страниц брендов и сообщения от взломанных аккаунтов. Во всех этих случаях злоумышленники пытаются заставить человека перейти по ссылке, открыть страницу входа или отправить данные.

Голосовой фишинг (вишинг)

При вишинге мошенники звонят по телефону и представляются сотрудниками банка, техподдержки или госслужб. Они создают ощущение срочности и просят продиктовать код из смс, подтвердить операцию или установить приложение.

Такой сценарий строится на доверии к авторитету и давлении временем. Человек не видит поддельную страницу или письмо, но все равно передает злоумышленникам нужные данные.

Технические схемы

Некоторые атаки не связаны напрямую с письмами и сообщениями. Мошенники создают подмены на уровне сети, страницы или поисковой выдачи, и человек попадает на фальшивый сайт, даже если вводит знакомый адрес или ищет нужный сервис через поиск.

К техническим схемам относят фарминг, атаку «злой двойник» и фишинг через поиск. Во всех этих случаях срабатывает не только психологический, но и технический механизм атаки: человек думает, что находится на настоящем ресурсе, хотя его данные уже уходят злоумышленникам.

Такая разновидность фишинга особенно опасна тем, что подмена выглядит правдоподобно, а признаки фишингового сайта не всегда заметны сразу.

Корпоративные схемы (BEC)

В компаниях фишинг часто начинается с подмены рабочей почты. Мошенник получает доступ к почте сотрудника или создает адрес, который отличается от настоящего на одну букву. Переписка выглядит обычной, поэтому письмо не вызывает подозрений.

При BEC-атаках злоумышленник встраивается в рабочий диалог и отправляет запрос, который выглядит как обычная задача: перевести деньги, отправить документы или открыть доступ. Так фишинг использует не только доверие к бренду, но и доверие к рабочему контексту.

Фишинговые письма и сообщения почти всегда выдают мелкие детали. Если смотреть на них внимательнее, подмена становится заметной. Ниже — признаки, которые помогают понять, что перед вами фальшивка.

Подозрительный отправитель
Первое, на что стоит смотреть — адрес отправителя. Мошенники часто берут адрес, который почти повторяет настоящий, но отличается на одну букву, символ или домен.

Например, вместо support@sberbank.ru приходит письмо с адреса support@sberbank-online.ru или support. sberbank@gmail.com.

Помните, что официальные компании не используют публичные почтовые сервисы вроде Gmail, Mail.ru или Yandex для служебной переписки.

Срочность и давление
Мошенники любят создавать ощущение срочности, чтобы вы действовали быстро и не успели подумать. Они используют фразы: «Срочно!», «Ваш аккаунт будет заблокирован через 24 часа», «Немедленно подтвердите ваши данные».

Большинство фишинговых писем давят на страх: угрожают блокировкой счета, потерей данных или «юридическими мерами». Такое давление сбивает с толку, и человек действует быстрее, чем успевает проверить письмо.

Запросы личной информации
Ни один банк или сервис не просит отправить пароль, пин, CVV, паспортные данные или кодовое слово по почте, в мессенджере или по смс.

Если письмо направляет вас на страницу, где нужно ввести такие данные — это фишинг. Также будьте осторожны, если вас перенаправляют на сайт, где просят заполнить логин, пароль или данные карты.

Подозрительные ссылки и вложения
Фишинговые письма часто содержат вредоносные ссылки или вложения. Перед тем как нажать на ссылку, наведите на нее курсор мыши (или сделайте долгое нажатие на мобильном устройстве), чтобы увидеть реальный URL.

Если адрес выглядит странно или не соответствует организации, от имени которой пришло письмо, не переходите по нему. Будьте особенно осторожны с сокращенными ссылками (bit.ly, tinyurl.com) и никогда не открывайте неожиданные вложения, особенно с расширениями .exe, .zip, .scr.

Слишком выгодные предложения
Фишинговые атаки часто содержат сообщения о неожиданных выигрышах, невероятных скидках или предложения быстрого обогащения. Если предложение выглядит слишком выгодно, чтобы быть правдой, — это уловка.

Например, уведомления о выигрыше в лотерее, в которой вы не участвовали, или о наследстве от неизвестного родственника. К примеру, в 2025 году в России была выявлена мошенническая схема с фейковыми налоговыми вычетами, где использовался логотип ФНС.

Подозрительный адрес сайта
Фишинговые сайты часто отличаются от оригинала буквально одним символом: yamdex.ru вместо yandex.ru, sberbak.ru вместо sberbank.ru, paypa1.com вместо paypal.com. Любая мелочь в адресе — повод закрыть страницу.

Также важно смотреть на протокол в начале адреса. Если строка начинается с http без буквы s, браузер считает соединение незащищенным и может показать предупреждение вроде «Не защищено». Если видите такой адрес, лучше закрыть страницу и открыть нужный сайт вручную через поисковую строку или закладки.

Сейчас браузеры не выделяют безопасные сайты значком замка, потому что https стал стандартом. Проверить защиту можно через иконку слева от адреса — там видно, защищено соединение или нет. Если появилось предупреждение или нет https, лучше не вводить данные и закрыть страницу.

Необычный контекст
Если сообщение не совпадает с вашей реальностью, стоит насторожиться. Например, уведомление о проблеме с доставкой посылки, которую вы не заказывали, или сообщение о входе в аккаунт, когда вы никуда не логинились. А еще, письма от «коллеги» или «начальника» с необычными просьбами, особенно если они отправлены с личной почты.

Признаки смишинга и вишинга
Если сообщение приходит с незнакомого или международного номера, или в тексте есть короткая ссылка, давление срочностью («карта заблокирована», «подтвердите операцию»), — это признак смишинга.

Если звонящий представляется «службой безопасности», говорит о «подозрительной операции» и просит назвать код из смс или другие конфиденциальные данные, это вишинг. Настоящие сотрудники банка такие запросы не делают.

Фишинговые письма становятся аккуратнее: мошенники используют ИИ, чтобы писать текст без ошибок, подделывать стиль переписки и даже имитировать речь сотрудников. Подделки выглядят правдоподобно, но есть действия, которые помогают заметить обман раньше, чем вы перейдете по ссылке или отправите данные.

Проверяйте отправителей и ссылки
Смотрите не только на имя отправителя, но и на адрес. Перед кликом проверяйте реальный URL — наведите курсор или откройте ссылку через строку браузера вручную. Странный домен, лишний символ или сокращенный адрес — повод остановиться.

Не открывайте неожиданные файлы
Не открывайте вложения от неизвестных отправителей и не запускайте файлы с расширениями .exe, .scr, .zip или .js.

Если письмо пришло от знакомого человека, но вы не ждете файл, лучше уточнить через другой канал связи.

Защищайте свои аккаунты
Устанавливайте уникальные пароли для каждого сервиса. Менеджер паролей помогает держать их в порядке и не вводит данные на поддельных сайтах.

Включайте двухфакторную аутентификацию — код из смс или приложения защищает аккаунт, даже если пароль оказался у злоумышленников.

Обновляйте браузер, систему и антивирус — они закрывают уязвимости, которыми пользуются мошенники.

Будьте осторожны в мессенджерах и соцсетях
Не переходите по ссылкам из внезапных сообщений, даже если пишет знакомый. Его аккаунт могли взять под контроль.
Будьте внимательны к просьбам «одолжить деньги», «проверить документ» или «перейти по ссылке» — такие сценарии часто используют мошенники.

Следите за своими данными и операциями
Проверяйте выписки по картам и историю входов в важные аккаунты.
Если видите транзакции, которые вы не делали, или входы с неизвестных устройств, сразу обращайтесь в банк или службу поддержки. Ранняя реакция снижает ущерб.

Развивайте киберграмотность
Если вы отвечаете за безопасность в компании, важно помогать сотрудникам превращать знания о фишинге в реальные навыки.

Практика на имитированных атаках показывает, как команда реагирует на подозрительные письма и сообщения. В Start AWR Lite можно запускать такие сценарии и видеть, где сотрудники допускают ошибки, и тренировать их замечать подмену.

Оставьте заявку на бесплатный триал, чтобы протестировать платформу Start AWR Lite на вашей команде.

Даже внимательный человек может открыть фальшивую ссылку или отправить данные преступникам. Главное — действовать быстро и спокойно. Вот что помогает снизить ущерб:

1. Закройте доступ к интернету. Закройте подозрительный сайт и отключите устройство от сети: выключите вайфай или включите авиарежим. Это остановит передачу ваших данных мошенникам или загрузку вирусов.
2. Смените пароли в важных сервисах. Начните с почты и банковских приложений. Лучше делать это с другого устройства. Придумайте новые надежные пароли и включите двухфакторную защиту везде, где можно — так преступник не войдет в аккаунт даже с вашим старым паролем.
3. Свяжитесь с банком, если ввели данные карты. Позвоните по номеру на обратной стороне карты, расскажите, что случилось, и попросите заблокировать карту. Проверьте историю операций и сообщите о транзакциях, которые вы не совершали. Многие банки быстро возвращают деньги при оперативном обращении.
4. Проверьте устройство антивирусом. Запустите полное сканирование и удалите найденные угрозы. Если компьютер или телефон стал странно себя вести — зависает, сам запускает программы или показывает непонятные окна — лучше обратиться к специалистам.
5. Расскажите о фишинге компании, от имени которой действовали мошенники. Напишите в компанию, от имени которой действовали мошенники — на сайтах обычно есть форма для таких сообщений. Если это произошло на работе, сразу предупредите коллег и ИТ-отдел — так вы поможете защитить других.
6. Следите за своими аккаунтами в течение нескольких недель после атаки. Проверяйте выписки по картам и историю входов. Мошенники могут не использовать украденные данные сразу, а выждать, пока вы потеряете бдительность.

Не ругайте себя. На такие уловки попадаются и люди из ИБ, и те, кто каждый день работает с рисками. Важно не то, что случилось, а то, как вы отреагировали. Вы сделали нужные шаги и закрыли доступ злоумышленникам. Теперь вы знаете, как выглядит такая атака, и в следующий раз заметите подмену гораздо раньше.