Фишинг (phishing)
Обновлено: 02.03.2026
Распространённый вид кибермошенничества, при котором злоумышленники обманом выманивают у пользователей конфиденциальные данные: логины, пароли, номера банковских карт и другую личную информацию. Атака маскируется под легитимные организации для получения доступа к аккаунтам или деньгам жертв.
Что такое фишинг
Фишинг (от англ. phishing, производное от fishing — рыбалка) представляет собой метод социальной инженерии, где мошенники используют поддельные сообщения для обмана пользователей. Основная цель — получить доступ к личным данным или заразить устройство вредоносным ПО через клики по фальшивым ссылкам.
Термин возник в 1990-х годах в хакерских кругах и эволюционировал с развитием интернета. Сегодня фишинг адаптируется под новые платформы, включая мессенджеры и мобильные приложения.
Как работает фишинговая атака
Фишинговая атака начинается с массовой или таргетированной рассылки сообщений, имитирующих официальные источники (банки, сервисы, госорганы). Пользователь получает письмо или SMS с срочным призывом "проверить аккаунт" или "подтвердить платеж", переходя по вредоносной ссылке на поддельный сайт.
На фишинговом ресурсе жертва вводит данные, которые мгновенно передаются злоумышленникам. Атака сочетает технические уловки (спуфинг) с психологией: страхом, жадностью и любопытством.
Основные каналы фишинговых атак
Фишинг распространяется через email в 80% случаев, SMS, мессенджеры (Telegram, WhatsApp), социальные сети и даже звонки. В 2025 году выросла доля атак через мобильные уведомления.
Техники обмана жертв
Мошенники копируют дизайн брендов, используют похожие домены (bankofRussiа.com вместо bankrussia.com), подменяют отправителя и создают срочность например: "аккаунт заблокируют через час". Часто применяют QR-коды для перехода на фейковые страницы.
Виды фишинга
Фишинг классифицируют по охвату, каналу и цели: от массовых рассылок до высокоточных атак на топ-менеджеров. Каждый вид требует специфической защиты.
Массовый фишинг
Не персонализированные рассылки на миллионы адресов с общими шаблонами. Цель — "выловить" как можно больше жертв статистически.
Целевой фишинг (Spear Phishing)
Персонализированные атаки с использованием данных о жертве (имя, должность, недавние события). Часто готовятся неделями для корпоративных сетей.
Китовый фишинг (Whaling)
Атаки на CEO и директоров: фальшивые запросы на переводы или конфиденциальную информацию под видом срочных сделок.
Вишинг (голосовой фишинг)
Обман через звонки: "сотрудник банка" просит данные для "проверки". Популярен в России из-за доверия к телефонным разговорам.
Смишинг (SMS-фишинг)
Короткие сообщения с ссылками на фейковые страницы оплаты или верификации. Рост связан с мобильным банкингом.
Фарминг
Перенаправление на фишинговые сайты через DNS-отравление или вредоносное ПО. Пользователь попадает на подделку, даже набирая правильный адрес.
AI-фишинг
Атаки, в которых злоумышленники используют большие языковые модели для генерации писем, сообщений и сценариев общения. Такие тексты лишены типичных ошибок, звучат естественно и могут учитывать контекст: упоминать реальные события, должности, проекты компании, что резко повышает доверие получателя. Кроме писем, ИИ применяют для создания правдоподобных фейковых лендингов, генерации фэйковое‑аудио и видео, например «звонка от директора» с поддельным голосом.
Поддельные мобильные приложения
Злоумышленники публикуют в магазинах приложений (Google Play, App Store, сторонние маркеты) фейковые приложения. Внешне они копируют фирменный стиль и интерфейс, но собирают логины, пароли, SMS‑коды и сид-фразы прямо внутри приложения. Пользователь сам устанавливает такое ПО, дает ему необходимые разрешения (доступ к SMS, уведомлениям, экрану), после чего атакующий получает возможность перехватывать одноразовые коды, авторизовываться в интернет‑банке и проводить операции от имени жертвы.
Признаки фишинговых писем и сайтов
Распознавание фишинга начинается с внимательного анализа входящих сообщений и веб-страниц. Основные красные флаги включают орфографические и грамматические ошибки в тексте — мошенники часто используют автоматический переводчик, что выдает некачественный русский язык с неологизмами или кальками с английского.
Общие приветствия вроде "Уважаемый клиент", "Пользователь" или отсутствие персонализации (имени получателя) вместо прямого обращения указывают на массовую рассылку, а не официальное сообщение от банка или сервиса. Подозрительны просьбы срочно ввести конфиденциальные данные (пароли, CVV-коды карт, паспортные данные) — легитимные организации никогда не запрашивают такую информацию по email или SMS.
Часто встречаются укороченные ссылки (bit.ly, t.ly) или перенаправления, скрывающие реальный адрес — наведите курсор, чтобы увидеть полный URL. Несоответствие домена (например, support-sberbankk.ru вместо sberbank.ru, где добавлены лишние буквы или дефисы) и отсутствие HTTPS-замка в браузере (серый или отсутствующий значок) — ключевые признаки подделки.
Дополнительные маркеры: некачественные изображения с размытостью логотипов брендов, несоответствие контактных данных (телефоны, адреса), вложения с расширениями .exe, .zip или макросами в Excel. Срочность "заблокируем аккаунт через 2 часа" или угрозы создают панику, вынуждая действовать импульсивно — это классический прием социальной инженерии.
Для проверки сайтов используйте сервисы вроде VirusTotal или WhoIs для анализа домена (дата регистрации, владелец). Если письмо якобы от знакомой компании, свяжитесь с ней напрямую через официальный сайт, а не отвечая на сообщение.
Чем опасен фишинг
Фишинг остается одной из самых разрушительных киберугроз, ежегодно приводя к финансовым потерям в миллиарды рублей как для частных пользователей, так и для бизнеса в России и мире. По данным отчетов за 2025 год, фишинговые атаки обошли вредоносное ПО по частоте, став причиной 40% успешных инцидентов безопасности, с средним ущербом от одной компрометации в 1-5 млн рублей для малого бизнеса.
Финансовые последствия
Основной ущерб — прямая кража средств с банковских счетов и карт. Мошенники мгновенно переводят украденные деньги на анонимные кошельки или криптобиржи, где их практически невозможно отследить. В России в 2025 году жертвами фишинга стали более 2 млн человек, с общими потерями свыше 50 млрд рублей только от SMS- и email-атак, что превышает показатели ransomware.
Утечка персональных данных
Компрометация логинов, паролей и паспортных данных приводит к массовым нарушениям 152-ФЗ "О персональных данных". Утечки используются для последующих атак: шантажа, продажи в даркнете (данные одной карты стоят 500-2000 руб.), открытия фальшивых кредитов или оформления микрозаймов на имя жертвы, что влечет долги и судебные разбирательства.
Корпоративные риски
Для компаний фишинг открывает двери троянским программам и ransomware, блокирующим работу на недели. Бизнес теряет внушительные суммы на восстановление работоспособности и выкуп. Нарушение ФЗ-187 в банковской сфере грозит штрафами до 50 млн рублей и отзывом лицензий.
Репутационные потери
Компании, чьи сотрудники стали жертвами, теряют доверие клиентов, потребители уходят после новостей об утечках. Долгосрочный эффект, падение продаж, отток партнеров и необходимость дорогостоящего PR для восстановления имиджа.
Долгосрочные угрозы
Полученные через фишинг учетные записи используются для цепочки атак. Доступа к корпоративным сетям, незаметному перемещению по ним и повышению привилегий, установки бэкдоров или кражи коммерческой тайны. Пару лет отмечают рост фишинга как вектора для APT-групп (государственные хакеры), нацеленных на критическую инфраструктуру.
Как защититься от фишинга
Защита от фишинга требует комплексного подхода сочетания технических решений, поведенческих привычек и корпоративных политик. Регулярное обучение и автоматизированные инструменты снижают риск успешных атак на 90%, согласно исследованиям cybersecurity за 2025 год.
Технические меры защиты
Установите антивирусное ПО с модулями антифишинга (Kaspersky, ESET, Doctor Web), которое автоматически блокирует подозрительные ссылки и вложения. Включите двухфакторную аутентификацию (2FA) на всех аккаунтах — даже при утечке пароля злоумышленник не сможет войти без второго фактора (SMS, приложение-аутентификатор, биометрия).
Для защиты корпоративной почты настройте протоколы email-аутентификации: SPF (Sender Policy Framework) проверяет право домена отправлять письма, DKIM (DomainKeys Identified Mail) добавляет цифровую подпись к сообщениям, а DMARC (Domain-based Message Authentication) объединяет их и блокирует спуфинг домена. Эти технологии снижают фишинговые рассылки от имени вашей компании на 99% и повышают доставляемость легитимных писем.
Обновляйте операционную систему, браузеры и приложения своевременно — 70% фишинговых уязвимостей эксплуатируют известные дыры в устаревшем ПО. Используйте менеджеры паролей (1Password, Bitwarden) для генерации уникальных комбинаций и проверки безопасности.
Поведенческие привычки
Всегда проверяйте URL вручную: набирайте адрес банка или сервиса самостоятельно, не кликая по ссылкам в письмах. Наведите курсор на ссылку, чтобы увидеть реальный домен — избегайте подозрительных перенаправлений или коротких URL (bit.ly). Никогда не вводите данные по запросу: легитимные организации не просят пароли, CVV или паспорт по email/SMS.
При получении срочных уведомлений звоните в компанию по официальному номеру с сайта. Игнорируйте вложения от неизвестных — сканируйте их VirusTotal перед открытием. Для мобильных устройств отключите автозапуск QR-сканеров и предустановите фильтры SMS.
Регламенты реагирования
В компаниях должны быть простые и понятные инструкции на случай, если сотрудник перешел по подозрительной ссылке. Кто является ответственным? Как быстро заблокировать учетную запись? Куда сообщить? Важна скорость реакции.