Фишинг или рыбалка в мутной воде

Почему вас чаще не «взламывают», а просят отдать пароль сами

Письмо от «службы безопасности Госуслуг» — срочно подтвердите телефон. Сообщение в MAX «от коллеги» со странной ссылкой. СМС «Сбербанк: карта заблокирована».

Вас пытались поймать на крючок.

Фишинг (от англ. fishing — рыбалка) — обман под видом банка, госуслуг, магазина или знакомого, чтобы вы сами отдали пароль, код из СМС, данные карты или установили вирус.

Разберём: как это устроено, 6 главных «наживок», как проверить подделку за 30 секунд и что делать, если уже клюнули.

1. Почему «рыбалка в мутной воде»

В мутной воде рыба плохо видит крючок. В интернете мошенники создают шум, панику и срочность, чтобы вы перестали думать холодной головой.

Классика — построена на психологии:

• Страх — «аккаунт заблокируют через 2 часа»;
• Жадность — «выиграли приз, заберите»;
• Любопытство — «кто смотрел ваше фото — жмите»;
• Доверие — «это директор, срочно переведи контрагенту»;
• Помощь — «пришли код, я случайно указал твой номер».

Золотое правило: любое сообщение с ссылкой и требованием срочно что-то сделать — подозрительно по умолчанию.

Мошенникам не нужно взламывать серверы Сбера или Яндекса. Достаточно, чтобы вы сами нажали ссылку и ввели данные.

2. Шесть частых видов фишинга

1) Email-фишинг

Письмо от «PayPal», «Apple», «Сбера», «налоговой», Wildberries/Ozon («проблема с заказом»).

Признаки: «Уважаемый клиент» без имени, ошибки в тексте, ссылка sber-security-login.ru, кнопка «Подтвердить данные».

2) Смишинг (SMS)

«Карта заблокирована. Перейдите: short.ru/xyz»

В СМС не видно полного адреса — обман легче. Сокращённые ссылки особенно опасны.

3) Вайшинг (голос)

Звонок «служба безопасности банка» — часто с подменой номера (spoofing: на экране «банк», говорит мошенник).

Настоящий банк не просит код из СМС по телефону.

Не перезванивайте на номер из СМС или с экрана звонка. Только номер с оборота карты или с официального сайта, набранный вручную.

4) Фишинг в мессенджерах

«Не отправляй код… ой, отправь обратно» — захват VK, MAX, Telegram, WhatsApp.

«Ссылка на билеты / видео на тебя» — [взломанный друг](контекст серии).

5) Целевой фишинг (spear phishing)

Атака на вас лично или на компанию: изучили переписку, имена коллег, проекты — письмо «от руководителя» выглядит правдоподобно.

Проходит мимо спама: бьёт не в код, а в голову.

6) QR-фишинг (quishing)

Наклейка на парковке, «оплата штрафа», QR в письме. Камера открывает поддельный сайт.

Подробнее в материале про [мошенников и пожилых](контекст серии) — та же схема.

Дополнительно: поддельная «техподдержка» VK/MAX; фейковый сайт в рекламе поиска; голос «родственника» (deepfake) — «срочно переведи».

3. Spoofing — не путать с «spear phishing»

Spoofing — подделка того, от кого якобы письмо или звонок (номер банка, адрес support@sber.ru).

Spear phishing — целевая подделка под конкретного человека.

Разные вещи; в быту оба называют «обманом от банка».

4. Как распознать фишинг за 30 секунд

Пауза перед кликом. Четыре вопроса:

Кто отправитель?
На почте — реальный адрес (не только имя). support@google.com и google-security.net — не одно и то же.

Куда ведёт ссылка?
На ПК — наведите курсор (не кликайте). На телефоне — долгое нажатие → показать URL. Странный домен — стоп.

Что просят?
Пароль, паспорт, код из СМС, данные карты в письме или чате — стоп. Сервисы так не работают.

Как я сюда попал?
Не участвовали в розыгрыше, не писали в поддержку — «случайное» письмо почти всегда приманка.

Правило: при сомнении не кликайте. Откройте сайт сами — закладка или адрес с упаковки карты / из памяти.

5. Уже попались: что делать

Не паникуйте. По порядку:

1. Смените пароли — на всех сервисах, где был тот же пароль. Лучше с другого устройства, если есть подозрение на вирус. Используйте менеджер паролей, не «тот же, но с единичкой».

2. Включите 2FA — приложение-аутентификатор, не только SMS (риск подмены SIM).

3. Проверьте активные сессии — VK, MAX, почта, банк: отключите чужие устройства.

4. Банк — если вводили данные карты: звонок по номеру с карты или блокировка в приложении. Не по номеру из СМС.

5. Антивирус — полное сканирование; ссылка могла скачать троян.

6. Предупредите коллег и друзей — возможно, идёт рассылка от вашего имени.

7. Ущерб деньгам — заявление в полицию; при необходимости — 112 (экстренные случаи).

6. Памятка

1. Срочность + ссылка = подозрительно.
2. Код из СМС никому — ни «другу», ни «банку» в чате.
3. Банк и Госуслуги — только свой вход вручную.
4. QR с улицы — не сканировать без проверки.
5. Звонок «от банка» — перезвонить сами на официальный номер.
6. Разные пароли + 2FA — вторая линия после фишинга.

Заключение

Фишинг — не кино про гениев-хакеров. Это массово, дёшево и цинично: вас просят сами отдать ключи.

Теперь вы знаете главные наживки, 4 вопроса перед кликом и план, если крючок всё же зацепил.

Читайте также: пароли, соцсети, вредоносное ПО.

Подпишитесь на наш канал — цифровая грамотность и безопасность простым языком.

Изображение сгенерировано ИИ