Что такое фишинг простыми словами?

Фишинг (от английского fishing — рыбная ловля, выуживание) — это один из самых распространённых видов интернет-мошенничества. Если объяснять максимально просто, то это обманная «ловля» ваших личных данных. Мошенники притворяются банком, популярным сервисом (например, ВКонтакте, Госуслугами, Netflix), коллегой или даже государственным учреждением, чтобы вы сами добровольно отдали им свои пароли, данные банковских карт, паспортные реквизиты или коды подтверждения.

Представьте, что рыбак забрасывает удочку с приманкой, чтобы поймать рыбу. Здесь всё то же самое, только «рыбак» — это киберпреступник, «приманка» — поддельное письмо, сообщение или сайт, а «рыба» — вы и ваши конфиденциальные данные. Цель фишинга — не взломать технически сложную систему защиты, а обманом заставить человека самого раскрыть информацию.

Фишинг — это мошенничество, основанное на социальной инженерии, то есть на манипуляции психологией и доверчивостью человека, а не на взломе программного обеспечения.

Как именно работают фишеры? Основные схемы

Мошенники постоянно придумывают новые уловки, но большинство атак строится по проверенным схемам.

1. Фишинговые письма и смс

Это самый массовый способ. Вы получаете электронное письмо или SMS-сообщение, которое в точности копирует стиль и логотипы реальной организации. Тема письма часто срочная и тревожная, чтобы вы действовали быстро, не думая:

  • «Ваша карта заблокирована! Срочно подтвердите данные».
  • «Подозрительная активность в вашем аккаунте. Нажмите ссылку для проверки».
  • «Вам начислен возврат налогов. Перейдите по ссылке для получения».
  • «Коллега отправил вам документ. Откройте вложение».

В письме или смс всегда есть ссылка, ведущая на поддельный сайт, или вредоносное вложение.

2. Фишинговые (поддельные) сайты

Перейдя по ссылке из такого письма, вы попадаете на сайт-клон. Он выглядит один в один как страница входа в ваш онлайн-банк, социальную сеть или почтовый сервис. Даже адрес (URL) может быть очень похожим: например, vk-ontakte.ru вместо vk.com или gosuslugi-gov.ru вместо gosuslugi.ru. Ничего не подозревая, вы вводите логин и пароль, которые мгновенно попадают к мошенникам. После этого они могут либо войти в ваш реальный аккаунт, либо использовать данные для других махинаций.

3. Фишинг в мессенджерах и соцсетях

Злоумышленники взламывают аккаунт вашего знакомого и от его имени рассылают сообщения: «Привет, срочно нужна помощь, вышли, пожалуйста, код из смс, который тебе пришёл» или «Посмотри, это ты на фото?» со ссылкой. Цель та же — заставить вас перейти на вредоносную страницу или передать код подтверждения.

4. Целевой фишинг (spear phishing)

Это более изощрённая и точечная атака. Мошенники предварительно собирают информацию о конкретном человеке (например, сотруднике компании) из открытых источников — соцсетей, сайта компании. Затем они составляют персонализированное письмо, обращаясь к жертве по имени, упоминая реальные проекты или коллег. Такое письмо выглядит крайне правдоподобно, и вероятность успеха атаки намного выше.

Какие данные хотят получить мошенники?

Цель фишинга — кража любой информации, которая имеет ценность или открывает доступ к чему-то ценному:

  1. Логины и пароли от почты, соцсетей, банковских кабинетов, игровых аккаунтов.
  2. Данные банковских карт: номер, срок действия, CVV-код (три цифры на обороте), а также имя владельца.
  3. Паспортные данные и СНИЛС.
  4. Коды подтверждения из SMS и push-уведомлений (это особенно важно — эти коды никогда и никому нельзя сообщать).

Как распознать фишинг и защититься? 7 простых правил

Защита от фишинга на 90% заключается в внимательности и здоровом скептицизме.

1. Внимательно проверяйте адрес отправителя и ссылки

Наведите курсор на ссылку в письме (не кликая!), чтобы увидеть её настоящий адрес внизу окна браузера. Он часто отличается от красивого текста ссылки. Официальные организации используют корпоративные домены, а не бесплатные почтовые сервисы вроде gmail.com или yandex.ru для деловой переписки.

2. Не открывайте подозрительные вложения

Особенно файлы с расширениями .exe, .scr, .zip, .docm, если вы не ждали их точно от конкретного человека. Они могут содержать вирусы.

3. Никогда и никому не сообщайте коды из SMS/Push

Это главное правило. Ни один настоящий сотрудник банка или сервиса никогда не попросит вас продиктовать код из смс. Эти коды предназначены только для вас.

4. Вводите конфиденциальные данные только на официальных сайтах

Не переходите на сайты банков и сервисов по ссылкам из писем или сообщений. Вручную наберите адрес в браузере или используйте сохранённую закладку.

5. Включите двухфакторную аутентификацию (2FA)

Это дополнительный уровень защиты. Даже если мошенник узнает ваш пароль, без второго фактора (код из приложения, смс или физический ключ) он не сможет войти в аккаунт.

6. Обращайте внимание на ошибки и срочность

Фишинговые письма часто содержат грамматические ошибки, странные формулировки. Их главный инструмент — создание ощущения срочности и паники («Сделайте это в течение часа, иначе счёт заблокируют!»), чтобы вы отключили бдительность.

7. Установите антивирус и обновляйте ПО

Современные антивирусы и браузеры часто имеют встроенные фильтры, которые предупреждают о переходе на известные фишинговые сайты. Своевременно обновляйте операционную систему и программы.

Что делать, если вы всё же попались на удочку?

Главное — действовать быстро:

  • Немедленно позвоните в банк, если сообщили данные карты или коды, и заблокируйте карту.
  • Срочно смените пароль на том сервисе, данные от которого вы указали. Используйте новый, сложный пароль.
  • Включите двухфакторную аутентификацию, если она ещё не была включена.
  • Предупредите своих контактов, если был взломан аккаунт в соцсети или мессенджере.
  • Подайте заявление в полицию через сайт МВД или отделение.

Фишинг — это серьёзная угроза, но, понимая его механизм и соблюдая простые правила цифровой гигиены, вы можете надёжно защитить себя и свои данные от большинства таких атак. Помните: ваша личная информация — это ваша собственность, и её не стоит «выуживать» сомнительным «рыбакам».