Сообщение «карта заблокирована, перейдите по ссылке» или первая строка в поиске после запроса «вход в банк» выглядят обычным делом. Страница знакомая, кнопка «Войти» на месте. Разница в том, что пароль, код из SMS или данные карты вы вводите уже на чужой странице, а мошенник забирает доступ к вашему аккаунту.
Я Ника, главный редактор «Без IT-тишного». Здесь разберём, что такое фишинг, почему он прячется не только в письмах, но и в поиске, и что проверить до клика «Войти». Это не «вирус в телефоне». Это обман, где вас убеждают, что перед вами ваш банк, магазин или Госуслуги, хотя сайт или сообщение поддельные.
Что такое фишинг
Слово *phishing* переводят как «рыбалка». Мошенники рассылают тысячи одинаковых писем и ссылок и ждут, пока кто-то клюнет. Им нужны логин, пароль, код из SMS, данные карты или доступ к почте, чтобы перевести деньги или закрепиться в аккаунте.
То есть на деле вас чаще не «взламывают по воздуху». Вас просят сделать привычное действие на странице, которая выглядит как настоящая, потому что скопированы цвета, логотип и формулировки вроде «срочно подтвердите».
Как устроена атака
Сначала контакт. Это письмо, SMS, ссылка из поиска, сообщение в мессенджере или звонок «из банка» с просьбой открыть адрес. Вы попадаете на копию сайта и вводите пароль или код. После этого злоумышленник распоряжается доступом. Обман строится на спешке и на доверии к знакомому виду, а не на «суперсложном взломе».
Почему опасен поиск, а не только письма
Многие ищут банк или Госуслуги в Яндексе или Google и кликают по первой ссылке, иногда по блоку «Реклама». Поисковик показывает то, что похоже на запрос и хорошо продвигается. Он не проверяет, кому на самом деле принадлежит сайт. В обзорах безопасности такие подделки в выдаче называют SEO-фишингом или SERP-фишингом.
Поддельная страница может повторять дизайн настоящего сервиса, а адрес при этом чуть «не тот». Бывают лишние слова вроде sber-bank-security.ru, зоны .click, опечатка в названии или похожее латинское написание вместо привычного домена банка. Замок слева от адреса означает, что связь с сайтом зашифрована. Он не подтверждает, что это ваш банк. У мошенников подделка тоже бывает с замком.
Если вам нужен личный кабинет банка, Госуслуг или брокера, привычнее открывать приложение на телефоне, сохранённую закладку или адрес с карты или договора. Когда вы всё же зашли из поиска, сначала спокойно прочитайте адрес в строке браузера и только потом вводите пароль или код.
Письмо, SMS и мессенджеры
Та же логика, другие каналы. В почте приходят «подтвердите платёж» или «обновите пароль». В SMS пишут «карта заблокирована», «посылка» или дают короткую ссылку. В мессенджере иногда пишет «знакомый», хотя аккаунт уже могли взломать. Во всех случаях вас торопят и ведут не в приложение, которое вы открыли сами, а на чужую страницу. Схема «звонок из банка плюс ссылка в SMS» пересекается с телефонным мошенничеством, и в ленте канала есть отдельный разбор на эту тему.
Что проверить перед вводом пароля
Перед списком ниже одна мысль. Если сомневаетесь, выигрывает пауза и вход через приложение или закладку, а не ускорение по ссылке из сообщения.
Пауза. Если в тексте «в течение часа» или «иначе блокировка», это повод не ускоряться, а остановиться на полминуты.
Свой вход. Закройте письмо или вкладку из поиска и откройте банк через приложение или закладку, которую сохраняли раньше.
Адрес в браузере. На компьютере наведите на ссылку курсор без клика. На телефоне зажмите ссылку и выберите «показать адрес». Смотрите, чей это сайт, обычно по концу домена. Ниже два коротких списка, что успокаивает и что должно насторожить.
Адресу можно доверять, если
- в строке браузера один понятный домен банка или сервиса, без лишних слов вроде secure- или login- перед названием;
- вы зашли из приложения или закладки, а не «наугад» из поисковой выдачи;
- зона привычная, чаще всего .ru для российского сервиса;
- домен узнаёте с первого взгляда, тот же, что на карте, в приложении или в договоре, без «похожих» слов и лишних частей.
Лучше закрыть вкладку и открыть сервис заново, если
- вы попали на страницу только из первой строки поиска или рекламы;
- в адресе зоны вроде .click, .top или длинная цепочка слов через дефис;
- адрес похож на банк, но написан иначе, другое слово, лишний дефис, цифра вместо буквы; типичная подделка почти всегда целиком латиницей, без «смешанного» русского и английского в одном имени.
Если сработал хотя бы один пункт из второго списка, на этой странице не продолжаем. Откройте банк или Госуслуги через приложение или закладку и проверьте адрес там.
Код из SMS. Одноразовый код вводите только там, куда зашли сами. Если вас привела ссылка из письма или SMS, код на этой странице не вводим.
Письмо. Адрес отправителя вроде support-bank-mail.ru не равен официальному сайту банка. Если сомневаетесь, звоните в поддержку по номеру с карты, а не по номеру из письма.
Если данные уже ввели. Смените пароль на сайте банка, который откроете вручную, не по ссылке из сообщения, отключите лишние сессии в настройках и позвоните в банк с номера, указанного на карте.
Несколько заблуждений
Красивый дизайн не доказывает, что сайт настоящий, копию собирают за часы. Первое место в поиске тоже не гарантия, туда часто попадают SEO-подделки. Антивирус помогает, но не ловит всё, и спешка с невниманием к адресу опаснее, чем «слабый пароль» сам по себе.
Что запомнить
Фишинг устроен просто. Вам подсовывают знакомую картинку и просят ввести секреты на чужой странице. Защита тоже простая, если сделать её привычкой. В банк и госуслуги заходите через приложение или закладку. В поиске не доверяйте первой ссылке. В адресе ищите подмену. Код из SMS не отдавайте по чужой ссылке.
Спасибо, что дочитали. Вопрос к вам. Вы когда-нибудь открывали «банк» из поиска, а не из приложения? Что увидели в адресной строке? Напишите в комментариях, можно без названия банка.
Ника, главный редактор «Без IT-тишного».