В 2025 году фишинг был одним из главных каналов атак. Несмотря на высокую общественную опасность и распространенность, фишинг как таковой не имеет самостоятельного состава преступления, закрепленного в Уголовном кодексе Российской Федерации.
Что такое фишинг
В современном мире, характеризующемся стремительной цифровизацией всех сфер общественной жизни, вопросы обеспечения информационной безопасности приобретают первостепенное значение. Одной из наиболее распространенных и общественно опасных угроз в киберпространстве является фишинг - вид мошеннических действий, направленных на незаконное получение конфиденциальной информации пользователей. Актуальность исследования данной проблематики обусловлена не только ростом количества фишинговых атак, но и сложностью их квалификации.
Термин «фишинг» в юридической литературе определяется как получение путем обмана или методов социальной инженерии персональных данных для использования в корыстных, преступных целях. Социальная инженерия, в свою очередь, представляет собой метод хакерства, основанный на использовании человеческого фактора, а не на взломе технических систем защиты.
Механизм реализации фишинга, как правило, включает два основных способа: посредническое получение данных (например, через поддельные сайты) либо непосредственное получение информации у владельца под различными предлогами.
Принцип фишинговых атак
Принцип действия фишинговых атак заключается в перенаправлении пользователя на поддельные сетевые ресурсы, созданные злоумышленниками. Внешне такие ресурсы практически неотличимы от подлинных интернет-страниц банков, магазинов, социальных сетей или государственных органов.
Переходя по ссылке, содержащейся в электронном письме или сообщении, и вводя свои учетные данные (логин и пароль), жертва передает их в распоряжение злоумышленников, которые впоследствии используют их для хищения денежных средств или совершения иных противоправных действий.
Классификация видов фишинга
Классификация видов фишинга осуществляется в зависимости от канала и метода атаки. Электронный (почтовый) фишинг реализуется путем рассылки писем от имени легитимных организаций с требованием подтвердить данные или перейти по ссылке.
СМС-фишинг, представляет собой аналогичные действия, осуществляемые посредством коротких текстовых сообщений. Голосовой фишинг, предполагает непосредственное телефонное общение злоумышленника с жертвой, в ходе которого под различными предлогами (блокировка карты, заказное письмо) выманиваются конфиденциальные сведения. Особую опасность представляет целевой фишинг, при котором атака тщательно готовится и персонализируется под конкретное лицо или организацию с использованием предварительно собранной информации о жертве.
Статистика фишинга
По данным «Информзащиты», примерно в 55% целевых фишинговых атак злоумышленники используют ИИ хотя бы на одном этапе.
Чаще всего целевой фишинг нацелен на специалистов HR-служб (40% от всех инцидентов), IT-департаментов (33%) и топ-менеджеров (24%). Это связано с теми, что такие сотрудники традиционно имеют более широкий доступ к информационной системе, чем остальные, а значит через них злоумышленники могут вероятнее выполнить цели атак. При целевом фишинге преступники хотят заполучить конкретную конфиденциальную информацию или же проникнуть в информационную систему компании через аккаунт жертвы, чтобы развернуть дальнейшую атаку, например, разместить программу-вымогатель.
По оценке «Информзащиты», наибольшие доли среди способов успешных кибератак составили:
- социальная инженерия (53%);
- вредоносное ПО (50%);
- эксплуатация уязвимостей (21%);
- кража учётных данных (13%);
- атаки на веб-ресурсы (8%).
Суммарная доля превышает 100% из-за комбинирования злоумышленниками разных методов. Кроме того, в 2025 году сценарии атак усложнились, а также возросло количество точечных атак, отмечают эксперты «Информзащиты».
В 2025 году фишинг был одним из главных каналов атак. Мошенники подделывали сайты до мелочей, отмечают аналитики Лаборатории цифровой криминалистики F6.
Главные киберугрозы в 2026 году, в том числе и фишинговые атаки, освещены в ежегодном аналитическом отчете «Киберугрозы в России и Беларуси. Аналитика и прогнозы 2025/26».
Если коротко, то 81% фишинговых и мошеннических ресурсов размещены у хостеров в США. Среди топ-5 российских индустрий, которые атаковали APT-группы в 2025 году, оказались госучреждения — их атаковали 13 групп, промышленность (11 групп), НИИ (9 групп), предприятия ВПК (8 групп), ТЭК (7 групп).
В 2025 году количество атак программ-вымогателей выросло на 15% по сравнению с предыдущим годом (в 2024 году рост количества атак составил 44%). В 15% подобных инцидентов целью злоумышленников был не выкуп, а диверсия — разрушение инфраструктуры и нанесение максимального ущерба жертве (в 2024 году на подобные атаки приходилось 10%), сообщают эксперты F6.
Нормативное поле фишинга
Несмотря на высокую общественную опасность и распространенность, фишинг как таковой не имеет самостоятельного состава преступления, закрепленного в Уголовном кодексе Российской Федерации.
Сам термин отсутствует в нормативных актах, что создает существенные трудности для правоприменительной практики. Ответственность наступает за последствия данных действий, которые подпадают под различные статьи УК РФ, в зависимости от способа хищения и наступивших последствий.
Долгое время квалификация хищений, совершенных с использованием фишинга, вызывала дискуссии. Введение в УК РФ статьи 159.6 («Мошенничество в сфере компьютерной информации») не разрешило проблему в полной мере.
Диспозиция данной статьи предполагает хищение путем вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации. Однако при фишинге такого вмешательства в программные средства устройства жертвы не происходит, потерпевший самостоятельно переходит по ссылке и вводит свои данные.
Таким образом, деяние не может быть квалифицировано по ст. 159.6 УК РФ, поскольку отсутствует такой обязательный признак, как воздействие на компьютерную информацию или информационно-телекоммуникационные сети.
Значительную роль в толковании уголовно-правовых норм сыграло Постановление Пленума Верховного Суда РФ № 48 где есть разъяснения, что в случаях, когда хищение совершается путем использования учетных данных собственника независимо от способа их получения (тайно или путем обмана), такие действия подлежат квалификации как кража. В частности, пункт «г» части 3 статьи 158 УК РФ прямо предусматривает ответственность за кражу с банковского счета.
В то же время, Пленум указывает, что если хищение осуществляется путем распространения заведомо ложных сведений в сети «Интернет» (например, создание поддельных сайтов), то такое мошенничество следует квалифицировать по статье 159 («Мошенничество»), а не по специальным нормам. Данное разъяснение, с одной стороны, относит создание фишинговых сайтов к традиционному мошенничеству, основанному на обмане, а с другой - указывает на кражу при использовании полученных таким путем данных, что порождает внутреннее противоречие и сложности в правоприменении.
Квалификация по статьям главы 28 УК РФ (преступления в сфере компьютерной информации) также представляется проблематичной. Состав статьи 272 УК РФ («Неправомерный доступ к компьютерной информации») является материальным и требует наступления последствий в виде уничтожения, блокирования, модификации либо копирования информации.
При фишинге, даже если и усматривать корыстную заинтересованность, целью субъекта преступления является не модификация информации как таковая, а списание денежных средств. Изменение данных о балансе счета является следствием хищения, а не самоцелью, что не позволяет в полной мере инкриминировать данную статью без дополнительной квалификации.
Таким образом, фишинг является не просто техническим мошенничеством, а сложным социально-правовым явлением, представляющим серьезную угрозу для экономической стабильности, социального благополучия и национальной безопасности.
Противодействие этому явлению требует комплексного подхода, объединяющего усилия государства по защите информационного пространства и повышению цифровой грамотности населения.