Что такое фишинг простыми словами?

Представьте, что рыбак забрасывает удочку с приманкой, чтобы поймать рыбу. Фишинг (от английского «fishing» — рыбалка) работает по тому же принципу, только «рыбаками» выступают кибермошенники, а «рыбой» — обычные пользователи интернета. Их цель — выудить у вас конфиденциальную информацию: логины и пароли от банковских счетов и соцсетей, данные банковских карт, паспортные реквизиты, коды подтверждения.

Простыми словами, фишинг — это обман. Мошенники создают почти идеальную копию сайта вашего банка, почтового сервиса, госуслуг или соцсети и под благовидным предлогом (проверка безопасности, подозрительная активность, выигрыш приза) заманивают вас на эту фальшивку. Доверчивый пользователь вводит свои реальные данные на поддельной странице, которые мгновенно попадают в руки злоумышленников.

Фишинг — это не взлом системы, а манипуляция человеческим сознанием. Мошенники атакуют не слабое место в коде программы, а слабое место в психологии человека: доверчивость, спешку, любопытство или страх.

Как работает фишинговая атака: пошаговый механизм

Чтобы понять, как не попасться на крючок, нужно знать схему работы атаки.

  1. Подготовка приманки. Мошенники создают фишинговый сайт-«клон» (например, копию страницы входа в Сбербанк Онлайн) и рассылают массовые письма или SMS («Ваша карта заблокирована!», «Вам начислен кэшбэк!», «Подтвердите вход с нового устройства»).
  2. Заброс удочки. Сообщение содержит ссылку, ведущую на этот фальшивый сайт. Ссылка часто маскируется: вместо sberbank.ru может быть sberbank-security.ru или sberbank.help-info.ru.
  3. Поклёвка. Пользователь, обеспокоенный сообщением, переходит по ссылке. Он видит сайт, внешне неотличимый от настоящего, с привычным логотипом и дизайном.
  4. Подсечка и выуживание. На сайте предлагают ввести данные для «восстановления доступа», «подтверждения личности» или «получения выплаты». Как только пользователь нажимает «Отправить», его логин, пароль, PIN или CVC-код карты уходят мошенникам.
  5. Использование улова. Получив данные, преступники получают полный доступ к аккаунту или деньгам жертвы. Они могут опустошить банковский счёт, оформить кредит, рассылать спам от вашего имени или продать данные на чёрном рынке.

Основные виды фишинга

Мошенники постоянно придумывают новые способы обмана. Вот самые распространённые виды фишинга:

  • Электронная почта и SMS-фишинг (смишинг). Классический метод. Вам приходит письмо от «службы безопасности банка» или SMS от «номера 900» с просьбой срочно перейти по ссылке и обновить данные.
  • Фишинг через звонки (вишинг). Мошенник звонит вам, представляясь сотрудником банка, полиции или техподдержки. Под предлогом помощи он выведывает у вас конфиденциальную информацию или просит установить удалённый доступ к компьютеру.
  • Целевой фишинг (spear phishing). Это точечная, подготовленная атака на конкретного человека или организацию. Мошенники изучают жертву в соцсетях, чтобы составить максимально правдоподобное и личное сообщение (например, от имени коллеги или начальника).
  • Фишинг в соцсетях и мессенджерах. Вам приходит сообщение от «друга» со ссылкой на «интересное видео» или «фото», которая ведёт на фишинговую страницу, маскирующуюся под страницу входа в соцсеть.

Пример из жизни

Вы получаете SMS: «Сбербанк: Зафиксирована попытка входа в ваш Сбербанк Онлайн с устройства Samsung. Если это не вы, перейдите по ссылке для блокировки: clck.ru/34AbCd». Ссылка ведёт на сайт, внешне похожий на официальный, где вас просят ввести номер карты, срок действия и CVV-код для «подтверждения личности и блокировки». Введя эти данные, вы сами передаёте их мошенникам.

Как защититься от фишинга: 7 простых правил

Защита от фишинга основана на внимательности и здоровом скептицизме.

  1. Проверяйте адрес отправителя и ссылки. Наведите курсор на ссылку (не кликая!), чтобы увидеть её настоящий адрес в углу браузера. Официальный адрес Сбербанка — sberbank.ru, а не sberbank.help.ru или sberbank.secure.com.
  2. Никогда не переходите по подозрительным ссылкам из писем и SMS. Если нужно зайти в интернет-банк или на Госуслуги, вводите адрес вручную в адресной строке браузера или используйте официальное приложение.
  3. Банки и госорганы НИКОГДА не спрашивают по телефону или в SMS полные данные карты, пароли и коды из SMS. Это главное правило. Сотрудник может попросить назвать кодовое слово, но никогда — CVV-код или пароль из смс.
  4. Включайте двухфакторную аутентификацию (2FA) везде, где это возможно. Даже если мошенник узнает ваш пароль, без одноразового кода из приложения или SMS он не войдёт в аккаунт.
  5. Обращайте внимание на ошибки и странности. Фишинговые сайты часто содержат орфографические ошибки, кривой перевод или некачественные изображения.
  6. Установите антивирус с функцией антифишинга. Он может блокировать переход на известные мошеннические сайты.
  7. Если сомневаетесь — позвоните официально. Получили тревожное письмо от банка? Не кликайте на ссылки в нём. Возьмите номер телефона с официального сайта банка (не из письма!) и позвоните в поддержку, чтобы уточнить информацию.

Что делать, если вы всё же попались?

Если вы поняли, что ввели свои данные на подозрительном сайте, действуйте немедленно:

  • Немедленно позвоните в банк по официальному номеру и заблокируйте карту.
  • Смените пароли ко всем важным аккаунтам (почта, соцсети, банки), на которые использовали аналогичный или тот же пароль.
  • Если мошенники получили доступ к почте, проверьте настройки пересылки писем и восстановления паролей.
  • Подайте заявление в полицию через сайт МВД или отделение. Сохраните все доказательства: скриншоты переписки, SMS, адрес сайта.

Фишинг — одна из самых старых и распространённых угроз в интернете, но, будучи информированным и бдительным, вы можете легко избежать её. Помните: ваши данные — это ваша собственность и ваша ответственность. Никогда не передавайте их в ответ на срочные и подозрительные запросы.

Источники