Фишинг: что это такое, как работает и как защититься

Типичная фишинговая атака начинается с массовой рассылки писем или сообщений. В них может быть срочная просьба «подтвердить аккаунт», сообщение о «подозрительной активности» или предложение получить «выигрыш».

Человек видит тревожное или заманчивое сообщение и делает то, что от него ждут мошенники. Для этого они используют психологические приемы:

Страх и панику: «Ваш аккаунт будет заблокирован через 24 часа».
Жадность: «Вы выиграли приз, срочно получите его».
Любопытство: «Посмотрите, кто вас отметил на фото».
Доверие к авторитетам: письма от «банков» и «госучреждений».

Фишинговая атака опасна тем, что эксплуатирует человеческую психологию, а не технологические уязвимости.

Достаточно убедительного сценария и грамотно оформленного письма — и злоумышленники получают доступ к данным без сложных технических манипуляций. Такая схема легко масштабируется: одна кампания может затронуть тысячи людей при минимальных затратах.

Последствия успешной фишинговой атаки могут быть серьезными:

Для людей — деньги пропадают со счетов, на имя владельца оформляют кредиты, личные данные уходят к злоумышленникам.

Для компаний — конфиденциальная информация оказывается у мошенников, появляются прямые убытки, страдает репутация и доверие клиентов.

Для общества — преступники получают больше возможностей для обмана, а люди начинают меньше доверять цифровым сервисам.

Чтобы вовремя заметить подмену, полезно понимать, какие приемы используют мошенники.

Мошенники используют разные каналы и приемы, но цель всегда одна — получить данные человека или доступ к системе. Ниже разберем основные виды фишинга, которые важно знать.

Фишинг по почте

Классический способ — письма, которые похожи на уведомления от банков, сервисов или коллег.

Такое письмо может содержать просьбу «проверить документ», «подтвердить аккаунт» или «решить срочный вопрос». Часто используют реальные детали переписки или копируют оформление знакомых сервисов.

К фишингу по почте относят:

Массовый фишинг. Одинаковые письма, которые отправляют тысячам адресатов. Даже если на уловку попадется всего 1% получателей, это уже успех для злоумышленников.

Целевой фишинг (spear phishing). В отличие от массового, целевой фишинг направлен на конкретных людей или компании. Мошенники собирают информацию о жертве из открытых источников (социальные сети, профессиональные сайты) и создают персонализированные сообщения, которые выглядят более убедительно.

Китобойный фишинг (whaling). Это разновидность целевого фишинга, но нацеленная на «крупную рыбу» — руководителей высшего звена, генеральных директоров, финансовых директоров. Цель фишинга в этом случае — получить доступ к наиболее ценной корпоративной информации или крупным суммам денег.

Клон фишинг. Мошенники копируют реальные письма или сообщения, которые человек уже получал от банка, сервиса или коллег, но подменяют в них настоящие ссылки на вредоносные.

Пример. Бухгалтер получает письмо от «директора» с просьбой оплатить счет. Оформление и подпись совпадают, но адрес отличается на одну букву.

Фишинг в мессенджерах и социальных сетях

Фишинговые сообщения приходят не только по почте. Мошенники все чаще используют обычные сообщения, Макс, Ватсап, Телеграм и соцсети. Сообщение выглядит коротким и срочным: «Карта заблокирована, перейдите по ссылке», «Вы выиграли приз», «Посмотри фото».

К таким атакам относят:

Смишинг. Фишинг через смс или сообщения в мессенджерах. Человек получает короткое сообщение со ссылкой на поддельную страницу банка или сервиса. Мы проверяем телефон чаще почты и меньше ожидаем угрозы, поэтому такие атаки могут сработать быстрее.

Фишинг в социальных сетях. Сообщения от поддельных страниц брендов, псевдоакции и «конкурсы». Человек видит знакомый логотип или доверяет названию страницы и переходит по ссылке.

Сообщения от взломанных аккаунтов. Пишет знакомый человек, но его профиль уже в руках злоумышленников. Сообщение выглядит естественно, поэтому человек открывает ссылку или отправляет данные.

Пример. Человек получает сообщение от друга: «Посмотри это фото, срочно». Ссылка ведет на страницу входа в соцсеть. Пользователь вводит логин и пароль — и доступ к профилю переходит преступникам.

Голосовой фишинг (вишинг)

Мошенники звонят по телефону и представляются сотрудниками банка, техподдержки или госслужб.

Они создают ощущение срочности: говорят о «подозрительной операции» или «блокировке карты» и сразу просят продиктовать код из смс, подтвердить операцию или установить приложение «для защиты».

К голосовому фишингу относят:

Звонки от «службы безопасности банка». Сообщают о фиктивной операции и просят код для «отмены».

Звонки от «техподдержки». Говорят о «вирусах» и предлагают установить приложение.

Пример. Человеку звонят и говорят: «Мы заметили попытку списания. Чтобы остановить ее, продиктуйте код из смс». Человек сообщает код — и преступники получают доступ к деньгам.

Технические схемы

Некоторые атаки не связаны с письмами и сообщениями. Мошенники создают подмены на уровне сети или страницы, и человек попадает на фальшивый сайт, даже если вводит правильный адрес.

Как это выглядит: вы открываете знакомый сервис, но страница оказывается копией. Или подключаетесь к вайфаю с привычным названием, а трафик идет через устройство злоумышленника.

К техническим схемам относят:

Фарминг. Мошенники подменяют DNS или перенастраивают маршрут трафика так, что человек вводит правильный адрес, а браузер открывает поддельный сайт. Страница выглядит как настоящая, поэтому человек считает ее безопасной и оставляет на ней свои данные.

Атака «злой двойник». Человек подключается к вайфаю с привычным названием, а злоумышленник видит весь трафик: посещенные сайты, введенные пароли и данные. Визуально сеть ничем не отличается от настоящей.

Фишинг через поиск. Мошенники создают поддельные сайты и поднимают их в поисковой выдаче с помощью SEO. Когда человек ищет товар или услугу, он может перейти на такой сайт, думая, что это официальный ресурс, особенно если страница предлагает «выгодные условия» или низкие цены.

Пример. Человек подключается к сети с названием, которое похоже на Starbucks Free WiFi, и заходит в интернет-банк. Он вводит логин, пароль и код подтверждения, страница выглядит нормально, но вся эта информация уходит не банку, а преступникам.

Корпоративные схемы (BEC)

В компаниях фишинг часто начинается с подмены рабочей почты. Мошенник получает доступ к почте сотрудника или создает адрес, который отличается от настоящего на одну букву. Переписка выглядит обычной, поэтому письмо не вызывает подозрений.

Мошенник встраивается в диалог: между реальными письмами появляется сообщение с просьбой перевести деньги, отправить документы или открыть доступ к системе.

Почта и тон письма выглядят знакомыми, тема вписывается в рабочий контекст, и человек воспринимает запрос как обычную задачу. Так менеджер может получить письмо от «финансового директора» с просьбой срочно отправить оплату партнеру, хотя реквизиты ведут к злоумышленнику.

В итоге деньги уходят не партнеру, а преступникам.

Фишинговые письма и сообщения почти всегда выдают мелкие детали. Если смотреть на них внимательнее, подмена становится заметной. Ниже — признаки, которые помогают понять, что перед вами фальшивка.

Подозрительный отправитель
Первое, на что стоит смотреть — адрес отправителя. Мошенники часто берут адрес, который почти повторяет настоящий, но отличается на одну букву, символ или домен.

Например, вместо support@sberbank.ru приходит письмо с адреса support@sberbank-online.ru или support. sberbank@gmail.com.

Помните, что официальные компании не используют публичные почтовые сервисы вроде Gmail, Mail.ru или Yandex для служебной переписки.

Срочность и давление
Мошенники любят создавать ощущение срочности, чтобы вы действовали быстро и не успели подумать. Они используют фразы: «Срочно!», «Ваш аккаунт будет заблокирован через 24 часа», «Немедленно подтвердите ваши данные».

Большинство фишинговых писем давят на страх: угрожают блокировкой счета, потерей данных или «юридическими мерами». Такое давление сбивает с толку, и человек действует быстрее, чем успевает проверить письмо.

Запросы личной информации
Ни один банк или сервис не просит отправить пароль, пин, CVV, паспортные данные или кодовое слово по почте, в мессенджере или по смс.

Если письмо направляет вас на страницу, где нужно ввести такие данные — это фишинг. Также будьте осторожны, если вас перенаправляют на сайт, где просят заполнить логин, пароль или данные карты.

Подозрительные ссылки и вложения
Фишинговые письма часто содержат вредоносные ссылки или вложения. Перед тем как нажать на ссылку, наведите на нее курсор мыши (или сделайте долгое нажатие на мобильном устройстве), чтобы увидеть реальный URL.

Если адрес выглядит странно или не соответствует организации, от имени которой пришло письмо, не переходите по нему. Будьте особенно осторожны с сокращенными ссылками (bit.ly, tinyurl.com) и никогда не открывайте неожиданные вложения, особенно с расширениями .exe, .zip, .scr.

Слишком выгодные предложения
Фишинговые атаки часто содержат сообщения о неожиданных выигрышах, невероятных скидках или предложения быстрого обогащения. Если предложение выглядит слишком выгодно, чтобы быть правдой, — это уловка.

Например, уведомления о выигрыше в лотерее, в которой вы не участвовали, или о наследстве от неизвестного родственника. К примеру, в 2025 году в России была выявлена мошенническая схема с фейковыми налоговыми вычетами, где использовался логотип ФНС.

Подозрительный адрес сайта
Фишинговые сайты часто отличаются от оригинала буквально одним символом: yamdex.ru вместо yandex.ru, sberbak.ru вместо sberbank.ru, paypa1.com вместо paypal.com. Любая мелочь в адресе — повод закрыть страницу.

Также важно смотреть на протокол в начале адреса. Если строка начинается с http без буквы s, браузер считает соединение незащищенным и может показать предупреждение вроде «Не защищено». Если видите такой адрес, лучше закрыть страницу и открыть нужный сайт вручную через поисковую строку или закладки.

Сейчас браузеры не выделяют безопасные сайты значком замка, потому что https стал стандартом. Проверить защиту можно через иконку слева от адреса — там видно, защищено соединение или нет. Если появилось предупреждение или нет https, лучше не вводить данные и закрыть страницу.

Необычный контекст
Если сообщение не совпадает с вашей реальностью, стоит насторожиться. Например, уведомление о проблеме с доставкой посылки, которую вы не заказывали, или сообщение о входе в аккаунт, когда вы никуда не логинились. А еще, письма от «коллеги» или «начальника» с необычными просьбами, особенно если они отправлены с личной почты.

Признаки смишинга и вишинга
Если сообщение приходит с незнакомого или международного номера, или в тексте есть короткая ссылка, давление срочностью («карта заблокирована», «подтвердите операцию»), — это признак смишинга.

Если звонящий представляется «службой безопасности», говорит о «подозрительной операции» и просит назвать код из смс или другие конфиденциальные данные, это вишинг. Настоящие сотрудники банка такие запросы не делают.

Фишинговые письма становятся аккуратнее: мошенники используют ИИ, чтобы писать текст без ошибок, подделывать стиль переписки и даже имитировать речь сотрудников. Подделки выглядят правдоподобно, но есть действия, которые помогают заметить обман раньше, чем вы перейдете по ссылке или отправите данные.

Проверяйте отправителей и ссылки
Смотрите не только на имя отправителя, но и на адрес. Перед кликом проверяйте реальный URL — наведите курсор или откройте ссылку через строку браузера вручную. Странный домен, лишний символ или сокращенный адрес — повод остановиться.

Не открывайте неожиданные файлы
Не открывайте вложения от неизвестных отправителей и не запускайте файлы с расширениями .exe, .scr, .zip или .js.

Если письмо пришло от знакомого человека, но вы не ждете файл, лучше уточнить через другой канал связи.

Защищайте свои аккаунты
Устанавливайте уникальные пароли для каждого сервиса. Менеджер паролей помогает держать их в порядке и не вводит данные на поддельных сайтах.

Включайте двухфакторную аутентификацию — код из смс или приложения защищает аккаунт, даже если пароль оказался у злоумышленников.

Обновляйте браузер, систему и антивирус — они закрывают уязвимости, которыми пользуются мошенники.

Будьте осторожны в мессенджерах и соцсетях
Не переходите по ссылкам из внезапных сообщений, даже если пишет знакомый. Его аккаунт могли взять под контроль.
Будьте внимательны к просьбам «одолжить деньги», «проверить документ» или «перейти по ссылке» — такие сценарии часто используют мошенники.

Следите за своими данными и операциями
Проверяйте выписки по картам и историю входов в важные аккаунты.
Если видите транзакции, которые вы не делали, или входы с неизвестных устройств, сразу обращайтесь в банк или службу поддержки. Ранняя реакция снижает ущерб.

Развивайте киберграмотность
Если вы отвечаете за безопасность в компании, важно помогать сотрудникам превращать знания о фишинге в реальные навыки.

Практика на имитированных атаках показывает, как команда реагирует на подозрительные письма и сообщения. В Start AWR Lite можно запускать такие сценарии и видеть, где сотрудники допускают ошибки, и тренировать их замечать подмену.

Оставьте заявку на бесплатный триал, чтобы протестировать платформу Start AWR Lite на вашей команде.

Даже внимательный человек может открыть фальшивую ссылку или отправить данные преступникам. Главное — действовать быстро и спокойно. Вот что помогает снизить ущерб:

1. Закройте доступ к интернету. Закройте подозрительный сайт и отключите устройство от сети: выключите вайфай или включите авиарежим. Это остановит передачу ваших данных мошенникам или загрузку вирусов.
2. Смените пароли в важных сервисах. Начните с почты и банковских приложений. Лучше делать это с другого устройства. Придумайте новые надежные пароли и включите двухфакторную защиту везде, где можно — так преступник не войдет в аккаунт даже с вашим старым паролем.
3. Свяжитесь с банком, если ввели данные карты. Позвоните по номеру на обратной стороне карты, расскажите, что случилось, и попросите заблокировать карту. Проверьте историю операций и сообщите о транзакциях, которые вы не совершали. Многие банки быстро возвращают деньги при оперативном обращении.
4. Проверьте устройство антивирусом. Запустите полное сканирование и удалите найденные угрозы. Если компьютер или телефон стал странно себя вести — зависает, сам запускает программы или показывает непонятные окна — лучше обратиться к специалистам.
5. Расскажите о фишинге компании, от имени которой действовали мошенники. Напишите в компанию, от имени которой действовали мошенники — на сайтах обычно есть форма для таких сообщений. Если это произошло на работе, сразу предупредите коллег и ИТ-отдел — так вы поможете защитить других.
6. Следите за своими аккаунтами в течение нескольких недель после атаки. Проверяйте выписки по картам и историю входов. Мошенники могут не использовать украденные данные сразу, а выждать, пока вы потеряете бдительность.

Не ругайте себя. На такие уловки попадаются и люди из ИБ, и те, кто каждый день работает с рисками. Важно не то, что случилось, а то, как вы отреагировали. Вы сделали нужные шаги и закрыли доступ злоумышленникам. Теперь вы знаете, как выглядит такая атака, и в следующий раз заметите подмену гораздо раньше.