Фишинг: что это такое и как не стать жертвой мошенников
Одного письма или сообщения бывает достаточно, чтобы мошенники получили доступ к вашим данным или деньгам. Такое возможно, когда злоумышленники создают видимость, что вы взаимодействуете с легитимной организацией, например, с банком или онлайн-магазином. Этот вид кибермошенничества называют фишингом. Рассказываем, в чём его суть и как защититься от таких атак.
Что такое фишинг
Фишинг — это метод социальной инженерии, при котором злоумышленник выманивает персональные данные или вынуждает перевести деньги, выдавая себя за ту или иную организацию. Термин происходит от английского слова fishing (рыбалка). Мошенник «забрасывает приманку» и ждёт, пока жертва «клюнет» на неё.
Пример. Вы получаете письмо или СМС от имени банка: «Ваша карта заблокирована. Перейдите по ссылке для разблокировки». Ссылка ведёт на сайт, почти неотличимый от настоящего банковского, но на самом деле созданный преступниками. Вы вводите логин и пароль, и эти данные попадают к мошенникам.
Почему фишинг опасен
По данным Банка России за 2025 год, мошенники похитили у клиентов банков 29,3 миллиарда рублей, при этом банки возместили пострадавшим около 1,7 миллиарда. Эти данные подтверждают: вернуть средства после успешной атаки крайне сложно.
Фишинг остаётся одним из наиболее массовых инструментов финансового мошенничества. Только системы Лаборатории Касперского за 2025 год предотвратили более 554 миллионов попыток перехода по фишинговым ссылкам. Почтовый антивирус компании заблокировал почти 145 миллионов вредоносных вложений.
Этот вид киберпреступности опасен не только масштабом, но и разнообразием схем. Злоумышленники подделывают сайты банков, маркетплейсов, сервисов доставки и госуслуг, используют подмену номеров, голосовые роботы и искусственный интеллект для создания убедительных персонализированных писем. Главная проблема в том, что от фишинга полностью не защищает ни одно программное обеспечение — решающую роль играет внимательность человека и его готовность критически проверять любой подозрительный запрос.
Виды фишинга
- Почтовый фишинг — рассылка писем по электронной почте от имени банков, онлайн-магазинов, почтовых сервисов или госорганов. Наиболее распространённый канал.
- Смишинг (СМС-фишинг) — фишинговые сообщения через СМС с просьбой перейти по ссылке или позвонить по указанному номеру.
- Вишинг (голосовой фишинг) — телефонные звонки от имени «службы безопасности банка», правоохранительных органов или других госструктур с требованием назвать реквизиты карты.
- Фарминг — атака, при которой злоумышленники перенаправляют пользователя на поддельный сайт через подмену DNS-кеша или изменение файла hosts, даже если он вводит правильный адрес вручную.
- Спирфишинг (целевой) — атака на конкретного человека с предварительным сбором данных о нём: должность, коллеги, типичные запросы и так далее.
Как распознать фишинг
Фишинговые сообщения обычно имитируют официальный запрос и используют в качестве приманки выгодные предложения или необходимость принять срочные меры.
Мошенников выдают следующие признаки:
- подозрительные ссылки с лишними символами, ошибками или непривычной доменной зоной;
- требование срочно раскрыть конфиденциальную информацию — пароль, код из СМС, номер карты, трёхзначный CVC-код или данные для входа в личный кабинет;
- грамматические ошибки, неестественные формулировки, обращение, нехарактерное для официальной переписки;
- чрезмерно выгодные предложения, которые выглядят слишком хорошо, чтобы быть правдой.
Как защититься от фишинга
Перед вводом данных всегда проверяйте адрес отправителя и адрес страницы в браузере. Убедитесь, что используется защищённое соединение HTTPS. Не переходите по ссылкам из писем или сообщений с требованием срочно подтвердить данные — это стандартный приём мошенников.
Если у вас запрашивают данные или перевод денег, безопаснее самостоятельно найти и открыть официальный сайт организации, а не переходить по ссылке из сообщения. Легитимные организации никогда не просят срочно перевести куда-то деньги и не требуют подтвердить пароль или номер карты в ответном письме.
Отдельную угрозу представляют вредоносные программы, которые злоумышленники распространяют через фишинговые письма во вложениях. В 2025 году Банк России фиксировал поддельные страницы банков, маркетплейсов, сервисов доставки, продажи билетов и бронирования. Через такие сайты злоумышленники собирали логины, пароли, коды из СМС и реквизиты банковских карт.
Главное, что нужно запомнить про фишинг
Фишинг — это метод социальной инженерии, при котором злоумышленники маскируются под реально существующие организации, чтобы получить ваши персональные данные, доступ к аккаунтам или деньги. Такие атаки могут приходить по электронной почте, в СМС, по телефону или через поддельные сайты.
Основные признаки фишинга — срочные требования, подозрительные ссылки, просьбы раскрыть конфиденциальную информацию, чрезмерно выгодные предложения и ошибки в тексте.
Запомните простое правило: при любом подозрительном запросе от «банка» положите трубку и перезвоните по номеру, указанному на официальном сайте вашего банка. Это займёт две минуты, но спасёт деньги.
Россиянам рассказали, как не стать жертвой мошенничества с блокировкой СБП
ИИ-помощник может помочь оценить подозрительное сообщение или ссылку по признакам фишинга.