Что такое фишинг простыми словами?

Представьте, что рыбак забрасывает удочку с приманкой, чтобы поймать рыбу. Фишинг (от английского fishing — рыбалка) работает по тому же принципу, только в роли рыбака выступает мошенник, а в роли рыбы — обычный пользователь интернета. Цель — «выудить» ваши личные данные: логины, пароли, номера банковских карт, паспортные данные, коды подтверждения.

Простыми словами, фишинг — это обман. Злоумышленники создают ситуацию, в которой вы добровольно отдаёте им свою ценную информацию, будучи уверенными, что делаете это для чего-то важного и легального: чтобы разблокировать карту, получить выигрыш, проверить безопасность аккаунта или оплатить штраф.

Суть фишинга — в психологическом воздействии. Мошенники играют на чувствах жертвы: страхе (вас блокируют), жадности (вы выиграли приз), любопытстве (посмотрите, что о вас пишут), долге (оплатите счёт).

Как работает фишинг? Классическая схема

Чаще всего атака происходит по отработанному сценарию:

  1. Приманка. Вы получаете сообщение. Оно может прийти по email, в SMS, в мессенджере (WhatsApp, Telegram, Viber) или даже в социальной сети. Сообщение выглядит как официальное: от банка, от налоговой, от службы доставки, от администрации соцсети или популярного сервиса (Netflix, Spotify).
  2. Срочность и важность. В сообщении создаётся ощущение чрезвычайной ситуации: «Вашу карту заблокировали!», «Кто-то вошёл в ваш аккаунт!», «Вам пришёл штраф!», «Заберите вашу посылку!». Цель — заставить вас действовать быстро, не раздумывая.
  3. Ссылка. В сообщении содержится ссылка, по которой нужно срочно перейти, чтобы «всё исправить».
  4. Поддельная страница (лэндинг). Перейдя по ссылке, вы попадаете на сайт, который один в один похож на официальный сайт вашего банка, Госуслуг, почтового сервиса. Дизайн, логотипы, шрифты — всё скопировано до мелочей.
  5. Сбор данных. На этой поддельной странице вас просят ввести данные для «входа» или «подтверждения»: номер карты, срок действия, CVC-код, логин, пароль, код из SMS, паспортные данные. Как только вы их вводите и нажимаете «Отправить», информация мгновенно уходит к мошенникам.
  6. Результат. Получив данные, преступники получают полный доступ к вашим деньгам и аккаунтам. Они могут:
    • Снять все средства с карты или взять кредит.
    • Войти в вашу почту или соцсети, чтобы рассылать фишинг вашим контактам или шантажировать вас.
    • Продать ваши данные на чёрном рынке.

Примеры фишинговых сообщений

  • SMS от «банка»: «СБЕР: Зафиксирована попытка входа с незнакомого устройства. Если это не вы, перейдите по ссылке sber-security.ru для блокировки». (Обратите внимание на поддельный домен вместо настоящего sberbank.ru).
  • Письмо от «службы поддержки»: «Уважаемый пользователь Яндекс.Почты! Ваш ящик будет удалён из-за подозрительной активности. Чтобы восстановить доступ, подтвердите данные по ссылке». Ссылка ведёт на сайт, похожий на Яндекс, но с адресом вроде yandex-secure.com.
  • Сообщение в мессенджере: «Привет! Посмотри, это ты на фото? [ссылка]». Ссылка ведёт на фишинговую страницу, маскирующуюся под страницу входа в соцсеть.

Какие бывают виды фишинга?

Классический email-фишинг — лишь один из методов. Мошенники постоянно придумывают новые способы.

  • Смишинг (SMS-фишинг): Фишинг через SMS. Очень распространён в России из-за популярности смс-уведомлений от банков.
  • Вишинг (голосовой фишинг): Мошенник звонит вам, представляясь сотрудником банка, полиции или техподдержки. Под предлогом помощи или проверки безопасности он выведывает у вас данные карты или коды из SMS.
  • Фишинг в соцсетях и мессенджерах: Взломанный аккаунт вашего друга рассылает сообщения с просьбой «перевести деньги на карту, срочно» или «пройти по ссылке, проголосовать».
  • Целевой фишинг (Spear Phishing): Не массовая рассылка, а точечная атака на конкретного человека или организацию. Мошенники заранее изучают жертву (по соцсетям, открытым данным), чтобы письмо выглядело максимально правдоподобно (например, от имени коллеги или начальника).
  • Фарминг: Более сложная атака, при которой вредоносная программа перенаправляет вас с легального сайта на поддельный, даже если вы ввели правильный адрес в браузере.

Как защититься от фишинга? Простые правила

Защита строится на внимательности и здоровом скептицизме.

  1. Проверяйте адрес отправителя и ссылки. Наведите курсор на ссылку (не кликая!), чтобы увидеть её настоящий адрес внизу браузера. Официальные сайты банков и сервисов имеют простые, узнаваемые домены (sberbank.ru, tinkoff.ru, gosuslugi.ru). Остерегайтесь длинных адресов с опечатками (sberbank.ru, tink0ff.com, gosuslugi.secure.ru).
  2. Никогда не переходите по ссылкам из подозрительных сообщений. Если получили тревожное смс или письмо от «банка», не кликайте на ссылку. Вместо этого откройте официальное приложение вашего банка или наберите его номер телефона с официального сайта и позвоните сами.
  3. Не вводите конфиденциальные данные на сайтах, куда перешли по ссылке. Если есть необходимость войти в онлайн-банк, всегда делайте это, вручную набирая адрес в браузере или через официальное приложение.
  4. Включите двухфакторную аутентификацию (2FA). Даже если мошенник узнает ваш пароль, без одноразового кода из приложения или SMS он не сможет войти в аккаунт.
  5. Не верьте срочности. Мошенники давят на время. Возьмите паузу, успокойтесь и проверьте информацию официальным способом.
  6. Установите антивирус. Современные антивирусы и браузеры часто имеют встроенную защиту от фишинговых сайтов и могут предупредить вас об опасности.
  7. Не делитесь кодами из SMS и push-уведомлений. Ни один настоящий сотрудник банка никогда не попросит у вас полный код из SMS. Это ваш личный ключ.

Помните: фишинг — это не взлом систем, это манипуляция людьми. Самый надёжный щит от такой атаки — ваша бдительность и знание простых правил цифровой гигиены.

Источники