Что такое фишинговая атака?

Фишинг (от англ. fishing — «рыбная ловля») — это один из самых распространённых видов кибермошенничества, при котором злоумышленники, маскируясь под доверенные источники (банки, государственные органы, популярные сервисы, коллег), пытаются обманным путём выудить у жертвы конфиденциальную информацию. Целью обычно становятся логины и пароли от аккаунтов, данные банковских карт (номер, срок действия, CVV-код), паспортные данные или доступы к корпоративным сетям.

Суть атаки заключается в социальной инженерии — манипуляции психологией человека, а не во взломе программного обеспечения. Мошенники создают ощущение срочности, авторитетности или угрозы, чтобы пользователь действовал быстро, не раздумывая. Например, сообщение может гласить, что ваш банковский счёт заблокирован, и для разблокировки нужно «подтвердить данные», перейдя по ссылке.

Виды и классификация фишинговых атак

Фишинг постоянно эволюционирует, и сегодня существует множество его разновидностей:

  • Email-фишинг (классический): Массовая рассылка писем, имитирующих официальные уведомления от банков (Сбербанк, Тинькофф), налоговой службы, служб доставки (Почта России, Ozon, Wildberries) или IT-компаний (Microsoft, Google). Содержит ссылку на поддельный сайт-«клон».
  • Смишинг (Smishing — SMS-phishing): Фишинг через SMS-сообщения. Часто маскируется под уведомления от банка о подозрительной операции с предложением перейти по ссылке для отмены или под сообщения о выигрыше, штрафе или проблеме с доставкой.
  • Вишинг (Vishing — Voice-phishing): Мошенничество по телефону. Злоумышленник, представляясь сотрудником банка, службы безопасности или техподдержки, под различными предлогами выведывает у жертвы конфиденциальные данные или просит установить удалённый доступ к компьютеру.
  • Целевой фишинг (Spear Phishing): Точечная атака на конкретного человека или организацию. Мошенники заранее собирают информацию о жертве (из соцсетей, корпоративного сайта), чтобы письмо выглядело максимально правдоподобно (упоминание имени, должности, последних событий).
  • Фишинг через мессенджеры: Рассылка вредоносных ссылок в Telegram, WhatsApp или Viber от взломанных аккаунтов знакомых или в тематических группах.
  • Фарминг: Более сложный метод, при котором пользователь перенаправляется на поддельный сайт даже при вводе правильного адреса в браузере, из-за взлома DNS-сервера или файла hosts на компьютере.

Где встречаются фишинговые атаки?

Фишинг повсеместен в цифровой среде. Основные каналы и сценарии:

  1. Электронная почта: Главный канал для массовых рассылок.
  2. Социальные сети: Поддельные сообщения от друзей, рекламные объявления с фейковыми акциями, предложения работы.
  3. Мессенджеры: Срочные просьбы «помочь деньгами», ссылки на «важное видео» или документ.
  4. Поисковые системы: Мошенники продвигают сайты-двойники популярных сервисов (онлайн-банкинга, госуслуг) через контекстную рекламу.
  5. Имитация звонков от банков и госорганов: Часто звонящие используют технологию spoofing, чтобы на экране телефона жертвы отображался настоящий номер банка.

Общий признак — создание атмосферы чрезвычайной ситуации: «счёт заблокирован», «поступил платёж», «требуется срочно обновить данные», «вас вызывают в суд».

Как защититься от фишинга?

Защита строится на бдительности и соблюдении цифровой гигиены:

  • Проверяйте адрес отправителя и ссылки: Наводите курсор на ссылку (не кликая!), чтобы увидеть её настоящий адрес. Официальные домены банков и сервисов обычно простые и не содержат лишних символов.
  • Не открывайте вложения из непроверенных писем: Они могут содержать вредоносное ПО.
  • Никогда не сообщайте пароли, PIN-коды и CVV: Настоящие сотрудники банка никогда не запрашивают эту информацию целиком.
  • Включайте двухфакторную аутентификацию (2FA): Даже если мошенник получит ваш логин и пароль, без второго кода (из SMS или приложения) он не войдёт в аккаунт.
  • Установите антивирус: Современные решения часто имеют встроенную защиту от фишинговых сайтов.
  • При сомнительном звонке: Положите трубку и перезвоните в организацию по официальному номеру с её сайта.
Помните: главная мишень фишинга — не ваш компьютер, а ваше доверие. Критическое мышление и внимательность — лучшая защита.

Частые вопросы по теме

Как отличить фишинговое письмо от настоящего письма от банка?

Официальные письма от банков почти всегда содержат ваше имя и часть номера счёта/карты, а не безликое обращение «Уважаемый клиент». Они никогда не просят прислать полные реквизиты карты или пароль в ответном письме. Ссылки ведут на официальный домен банка (например, sberbank.ru).

Что делать, если я всё-таки перешёл по фишинговой ссылке и ввёл данные?

Немедленно: 1) Позвоните в банк по номеру с обратной стороны карты или официального сайта, чтобы заблокировать карту. 2) Смените пароли ко всем аккаунтам, где использовался аналогичный пароль. 3) Если вводили данные на сайте «госуслуг» — обратитесь в техподдержку портала.

Что такое фишинговый сайт и как он выглядит?

Это точная визуальная копия сайта банка, почты или соцсети. Отличия могут быть в URL-адресе (например, sberbank-v.ru вместо sberbank.ru), отсутствии безопасного соединения (https) или мелких ошибках в дизайне и текстах.

Могут ли меня обмануть через СМС от «банка» с номером, как у настоящего банка?

Да, это возможно с помощью подмены номера (spoofing). Поэтому не стоит доверять только номеру. Содержание сообщения — главный индикатор. Банк не будет присылать ссылки для «подтверждения операций» или «разблокировки счёта» через SMS. Лучше зайти в мобильное приложение банка или позвонить по официальному номеру.

Куда можно сообщить о фишинговой атаке?

О фишинговых сайтах и рассылках можно сообщить: 1) В сам банк или сервис, под который маскируются мошенники. 2) В ГУ МВД России через официальный сайт МВД.рф (раздел «Приём обращений»). 3) В Роскомнадзор, если речь идёт о незаконном сборе персональных данных.

Источники