Что такое фишинг и смишинг простыми словами

Если объяснять максимально просто, то фишинг и смишинг — это способы интернет-мошенничества, при которых злоумышленники под видом официальных организаций (банков, госорганов, популярных сервисов) пытаются обманом выманить у вас конфиденциальную информацию: логины, пароли, данные банковских карт, коды подтверждения. Разница — в основном канале атаки.

Простая аналогия: Мошенник — это рыбак, который забрасывает удочку с приманкой, чтобы «поймать» ваши данные. «Фишинг» происходит от английского fishing — рыбалка. «Смишинг» — это сочетание SMS и phishing, то есть «смс-рыбалка».

Что такое фишинг?

Фишинг — это массовая рассылка электронных писем или создание поддельных веб-сайтов, которые имитируют официальные ресурсы. Цель — заставить вас добровольно ввести свои данные на фальшивой странице или перейти по вредоносной ссылке.

Как это выглядит на практике:

  • Вам приходит письмо якобы от службы безопасности банка с темой «Ваш аккаунт заблокирован!» или «Подтвердите операцию».
  • В письме — ссылка на сайт, внешне неотличимый от настоящего сайта банка (но с другим адресом, например, bank-vtb.ru вместо vtb.ru).
  • На этом сайте вас просят «для разблокировки» ввести номер карты, CVV-код, логин и пароль от интернет-банка или одноразовый код из SMS.
  • Введённые данные мгновенно попадают к мошенникам, которые затем используют их для кражи денег.

Что такое смишинг?

Смишинг — это тот же фишинг, но осуществляемый через SMS-сообщения или сообщения в мессенджерах (WhatsApp, Telegram, Viber). Название образовано от SMS + phishing. Это более целенаправленная и личная атака, которая часто вызывает больше доверия у жертвы.

Типичные сценарии смишинга:

  1. СМС от «курьерской службы»: «Ваша посылка не может быть доставлена. Для уточнения адреса перейдите по ссылке…». Ссылка ведёт на фишинговый сайт, где просят оплатить «небольшой сбор» или ввести данные карты.
  2. СМС от «банка»: «Зафиксирована подозрительная операция с вашей картой. Для отмены перейдите по ссылке…» или «Вам начислен кэшбэк. Чтобы получить, введите данные карты на сайте…».
  3. СМС от «родственника» с нового номера: «Мама, это я, срочно нужны деньги, пополни по этой ссылке».
  4. СМС с кодом подтверждения и звонок «оператора»: Мошенник, зная ваш номер телефона, инициирует процедуру восстановления пароля в каком-либо сервисе. Вам приходит настоящий код. Затем вам звонит «сотрудник службы безопасности» и под предлогом «защиты от мошенников» просит продиктовать этот код. Получив его, он получает доступ к вашему аккаунту.

Ключевые различия между фишингом и смишингом

Чтобы лучше понимать угрозу, важно видеть разницу:

1. Канал атаки:

  • Фишинг: Электронная почта, поддельные сайты, реже — сообщения в социальных сетях.
  • Смишинг: SMS-сообщения и мессенджеры.

2. Восприятие жертвой:

  • К SMS люди часто относятся с большим доверием, чем к email, так как номер телефона кажется более личным. СМС от «банка» многие читают сразу и могут действовать импульсивно.
  • Письма на email легче помечаются спам-фильтрами, и пользователи к ним более подозрительны.

3. Техника исполнения:

  • Фишинг-письма могут быть массовыми и менее персонализированными.
  • Смишинг-сообщения часто содержат имя получателя, что повышает их правдоподобность (имена и телефоны часто утекают в результате утечек данных).

Как защититься от фишинга и смишинга: простые правила

Защита строится на принципах бдительности и проверки информации.

Универсальные правила безопасности:

  • Никогда и никому не сообщайте коды из SMS. Настоящий банк или сервис никогда не будет их у вас спрашивать по телефону, в письме или в чате. Эти коды — только для вас.
  • Не переходите по подозрительным ссылкам из писем и SMS, даже если отправитель кажется знакомым. Особенно опасно переходить по ссылкам с предложением «получить выигрыш» или «рассмотреть претензию».
  • Вручную набирайте адрес сайта банка или сервиса в браузере или используйте сохранённую закладку. Не пользуйтесь ссылками из сообщений.
  • Внимательно проверяйте адрес сайта (URL). Мошенники используют похожие адреса с опечатками или другим доменом (например, sberbank.secure-info.ru вместо sberbank.ru).
  • Обращайте внимание на ошибки и странные формулировки в письмах и SMS. Официальные сообщения от крупных организаций обычно грамотны и оформлены корректно.

Что делать, если получили подозрительное сообщение?

  1. Не паниковать и не торопиться. Мошенники играют на чувстве страха (заблокируют счёт!) или жадности (вы выиграли приз!).
  2. Не переходить по ссылкам и не звонить по указанным номерам.
  3. Связаться с организацией напрямую по официальному номеру телефона с её сайта или с обратной стороны банковской карты и пересказать суть сообщения.
  4. Установить антивирус на смартфон и компьютер, который может блокировать фишинговые сайты.
  5. Если вы всё же ввели данные на подозрительном сайте, немедленно позвоните в банк для блокировки карты и смените пароли от всех важных сервисов.

Помните: главная цель мошенников — ваша невнимательность и спешка. Спокойствие и привычка проверять информацию — лучшая защита от фишинга и смишинга.

Источники