Что такое фишинг простыми словами?

Фишинг (от английского «fishing» — рыбалка) — это один из самых распространённых видов интернет-мошенничества. Если говорить максимально просто, то это «ловля» ваших личных данных на цифровую удочку. Мошенник («рыбак») отправляет вам приманку — письмо, смс или сообщение в соцсети, которое выглядит как легитимное. Цель — заставить вас «клюнуть»: перейти по ссылке, ввести логин и пароль, данные банковской карты или скачать вредоносный файл.

Фишинг — это вид мошенничества, когда злоумышленник вынуждает вас совершить действие, позволяющее ему получить доступ к вашему устройству, учётным записям или персональным данным.

Атака строится на социальной инженерии, то есть на манипуляции психологией человека, а не на взломе сложных систем. Мошенники играют на чувствах: страхе («Ваш аккаунт заблокирован!»), жадности («Вы выиграли приз!»), любопытстве или чувстве долга («Коллега прислал вам документ»).

Как работает фишинговая атака? Простой пример

Представьте, что вы получаете email от якобы своего банка. В письме — официальный логотип, похожий дизайн и срочное сообщение: «Обнаружена подозрительная активность. Немедленно подтвердите свои данные, иначе счёт будет заблокирован!» Ссылка ведёт на сайт, который как две капли воды похож на настоящий сайт банка. В панике вы вводите логин, пароль, номер карты и CVV-код. Всё. Мошенники получили полный доступ к вашим деньгам, а вы оказались на поддельной странице.

Что чаще всего крадут с помощью фишинга?

  • Логины и пароли от почты, соцсетей, мессенджеров, банковских кабинетов.
  • Данные банковских карт (номер, срок действия, CVV-код, имя владельца).
  • Паспортные данные и иную личную информацию.
  • Коды доступа (например, SMS-коды для подтверждения операций).
  • Доступ к корпоративным сетям (для атак на компании).

Основные виды фишинговых атак

Мошенники постоянно придумывают новые способы «ловли», но есть несколько классических схем.

1. Email-фишинг (по электронной почте)

Самый массовый вид. Рассылка тысяч писем от имени популярных сервисов: банков, налоговой, служб доставки (DHL, «Почта России»), Netflix, Google, Microsoft. Задача — заставить перейти по ссылке.

2. Смишинг (SMS-фишинг)

То же самое, но в SMS. «Ваша посылка ждёт получения, отследить можно по ссылке…», «СберБанк: по карте ***9999 списано 15 000 руб. Если это не вы, перейдите…». Ссылки часто ведут на фишинговые сайты или заставляют установить троянское приложение.

3. Вишинг (голосовой фишинг)

Звонок от «службы безопасности банка». Голосом или роботом сообщают о проблеме с картой и просят продиктовать реквизиты или код из SMS для «отмены операции».

4. Фишинг в соцсетях и мессенджерах

Сообщение от «друга» с просьбой срочно одолжить денег или перейти по «интересной» ссылке. Или письмо от «администрации» соцсети с угрозой блокировки.

5. Целевой фишинг (spear phishing)

Более изощрённая атака на конкретного человека или организацию. Мошенники заранее изучают жертву (из соцсетей, публичных данных), чтобы письмо выглядело максимально правдоподобно (например, от имени реального коллеги или партнёра).

Как распознать фишинговую атаку? 7 простых правил

  1. Проверяйте адрес отправителя. Часто email приходит с похожего, но неофициального домена (например, не @sberbank.ru, а @sberbank-security.ru или @sberbank.support.com).
  2. Внимательно смотрите на ссылки. Наведите курсор на ссылку (не кликая!), чтобы увидеть её реальный адрес внизу браузера. Он часто отличается от красивого текста ссылки.
  3. Остерегайтесь срочности и давления. Фразы «СРОЧНО!», «Немедленно подтвердите!», «Иначе аккаунт удалят!» — классический приём, чтобы выключить вашу бдительность.
  4. Не доверяйте логотипам и дизайну. Их легко скопировать. Ориентируйтесь на адресную строку браузера на сайте. Официальный сайт всегда имеет правильный домен (например, https://www.tinkoff.ru) и значок безопасного соединения (замочек).
  5. Орфографические ошибки. Официальные письма от крупных компаний почти не содержат грубых ошибок и странных формулировок.
  6. Не открывайте вложения от неизвестных отправителей. Файлы .exe, .zip, .doc могут содержать вирусы.
  7. Никогда и никому не сообщайте коды из SMS, пуш-уведомлений или от приложения банка. Настоящий банк или сервис никогда не попросит вас продиктовать полный пароль или одноразовый код для входа.

Что делать, если вы всё же «клюнули»?

Если вы поняли, что ввели данные на фишинговом сайте или отправили мошенникам:

  • Немедленно заблокируйте карту через приложение банка или позвонив на горячую линию.
  • Смените пароли ко всем аккаунтам, для которых использовался скомпрометированный пароль (особенно к почте, которая является ключом ко многим сервисам).
  • Включите двухфакторную аутентификацию (2FA) везде, где это возможно. Это дополнительный уровень защиты даже при утечке пароля.
  • Если пострадала учётная запись на каком-либо сервисе (например, в соцсети) — сообщите в его поддержку о взломе.

Фишинг остаётся эффективным, потому что эксплуатирует человеческий фактор. Ни один антивирус не защитит от вашей собственной доверчивости. Главное оружие против него — внимательность и здоровый скептицизм. Помните: если предложение выглядит слишком хорошим, а угроза — слишком страшной и срочной, это почти всегда ловушка. Лучше лишний раз перепроверить, позвонив в официальную поддержку по номеру с официального сайта, чем потом разбираться с последствиями.

Источники