На прошлой неделе мне прислали ссылку на «личный кабинет банка». Я открыл и завис: сайт выглядел чище и быстрее настоящего. Шрифты ровнее, кнопки приятнее, даже капча человечнее.
Это и есть главный парадокс 2026 года. Фишинговые страницы перегнали оригиналы по дизайну. Просто потому что у мошенников нет тонны старого кода, юридических футеров и десяти отделов согласования.
Я занимаюсь цифровой безопасностью семь лет и разобрал больше 300 поддельных страниц. Расскажу, почему красивая обёртка стала ловушкой, и покажу один элемент, который мошенники не могут подделать в принципе.
Почему подделка выглядит лучше оригинала
Скопировать дизайн любого сайта банка занимает пять минут. Браузер сам сохранит HTML, CSS и картинки. Дальше мошенник чистит лишнее, убирает баннеры про ипотеку и оставляет только форму входа.
И вот результат. Настоящий сайт грузится с десятком трекеров, виджетами поддержки и анимацией промо-акции. А подделка летает. Один экран, одна кнопка, ноль отвлекающих элементов.
Я заметил три причины, по которым фишинг визуально выигрывает.
Причина первая: у мошенников нет наследия. Настоящий банк тащит за собой код десятилетней давности, поэтому страница тяжёлая. Подделка собирается с нуля под одну задачу: украсть пароль.
Причина вторая: они тестируют конверсию. Серьёзно. Я видел админки фишинговых ботов, где есть A/B-тесты кнопок «Войти» и «Подтвердить». Мошенники подбирают цвет, который чаще нажимают.
Причина третья: ИИ-генерация. Сейчас за час можно собрать копию любого интерфейса через нейросеть-конструктор. Раньше для этого требовался верстальщик и неделя работы.
Один элемент, который нельзя скопировать
Дизайн повторяется, логотипы повторяются, даже SSL-замочек повторяется. Это давно не показатель безопасности. А вот доменное имя в адресной строке подделать невозможно.
Это физика интернета. Каждый домен в мире уникален. Если адрес «sberbank.ru» занят настоящим Сбером, никто другой его получить не может.
Но мошенники научились играть с восприятием. Они регистрируют похожие домены, и человек просто не замечает разницу. Вот пять трюков, которые я встречаю чаще всего.
Подмена букв на похожие. «sberbаnk.ru» с кириллической «а» вместо латинской. Глазом не видно.
Лишний поддомен. «sberbank.security-check.ru». Человек читает «sberbank» и расслабляется. А настоящий домен здесь «security-check.ru», и принадлежит он кому угодно.
Дефис в неожиданном месте. «sber-bank.ru» вместо «sberbank.ru».
Другая зона. «sberbank.com» вместо «.ru». Настоящий банк работает в своей зоне, а мошенник перехватывает невнимательных.
Сокращённые ссылки. «bit.ly/sber-vhod». Здесь вообще не видно, куда вас ведут, пока не нажмёте.
Как читать адресную строку за три секунды
Я протестировал этот приём на 40 знакомых. Из них 32 человека находили подделку быстрее, чем за пять секунд. Остальные просто не пробовали.
Суть простая. Не смотрите на весь адрес целиком. Найдите главный домен.
Главный домен стоит прямо перед «.ru», «.com», «.рф» или другой зоной. И ещё одно слово левее, через точку. Всё, что левее этого, не имеет значения. Совсем.
Пример. В адресе «https://lk.client.sberbank.ru/login» главный домен это «sberbank.ru». Безопасно.
Другой пример. В адресе «https://sberbank.lk-client.ru/login» главный домен это «lk-client.ru». Это уже не Сбер, а кто угодно, зарегистрировавший такой домен.
Видите фокус? Слово «sberbank» одинаково есть в обоих адресах. Но когда оно стоит справа от главного домена, вы в безопасности. Когда слева, вас уже ведут куда надо мошеннику. Это меняет всё.
Личный случай, который меня многому научил
Три года назад я сам чуть не попался. Получил письмо «от Госуслуг» про неоплаченный штраф. Письмо было идеальное. Логотип, вёрстка, даже подпись инспектора с фамилией.
Я кликнул, открыл страницу. Дизайн копия. Дошёл до ввода логина, и пальцы уже легли на клавиатуру. И тут я по привычке посмотрел в адресную строку.
В адресной строке стояло «gosuslugi-oplata.com». Главный домен «gosuslugi-oplata.com», не «gosuslugi.ru». Я закрыл вкладку. Через два дня в новостях писали про массовую рассылку этих писем и тысячи списанных карт.
С тех пор у меня правило. Перед вводом любого пароля я три секунды смотрю на адрес. Просто три секунды. Это спасает деньги, нервы и доступ к аккаунтам.
Четыре признака, которые помогают кроме адреса
Адресная строка это основное. Но есть ещё несколько быстрых сигналов.
Как пришла ссылка. Если письмо или СМС с просьбой срочно зайти, насторожитесь. Банки и сервисы не отправляют ссылок на вход. Они просят открыть приложение или сайт самостоятельно.
Давление по времени. «Подтвердите в течение 15 минут, иначе счёт заблокируют». Это классическая социальная инженерия. Настоящие сервисы дают сутки минимум.
Просьба ввести полные реквизиты карты, включая срок и три цифры с обратной стороны. На странице входа эта информация не нужна. Никогда.
Странные шрифты на отдельных элементах. Иногда мошенник копирует не весь сайт, а только форму. И тогда заголовок одним шрифтом, а кнопка другим. Глаз цепляется за это, если знать.
Что сделать прямо сейчас: четыре шага
Откройте браузер. Зайдите на сайт вашего банка через закладку или ручной ввод. Посмотрите внимательно на главный домен. Запомните его визуально.
Добавьте этот сайт в закладки. С этого момента заходите только через закладку. Никогда не переходите по ссылкам из писем или мессенджеров.
Включите двухфакторную аутентификацию везде, где она есть. Даже если пароль украдут через фишинг, без второго фактора в аккаунт не попадут.
Проверьте сохранённые пароли в браузере. Если есть сохранённый пароль для домена, которого вы не помните, удалите его и смените на настоящем сервисе.
И последнее. Расскажите этот трюк с адресной строкой родителям и детям. Большинство жертв фишинга это не глупые люди. Это просто люди, которым никто не показал, куда смотреть.
Красивая обёртка теперь ничего не доказывает. Дизайн ничего не доказывает. Сертификат ничего не доказывает. Доказывает только адрес. Три секунды на проверку. Это всё, что отделяет вас от потерянных денег.