Ты думаешь что слишком умён для фишинга? Мошенники тоже так думают

Фишинг в 2025 году — это не безграмотные письма про «выиграйте миллион». Это дипфейки, подмена голоса, боты которые общаются как живые люди, и сайты которые невозможно отличить от настоящих.

За последний год количество атак на пользователей p2p-площадок выросло на 40 процентов. И жертвами становятся не «бабушки с тремя классами образования», а опытные геймеры, айтишники и продавцы которые «всё знают про безопасность».

Я разобрал 5 схем которые работают прямо сейчас.

Схема 1: Идеальная копия сайта

Раньше фишинговый сайт можно было распознать по кривой вёрстке или неработающим ссылкам. Теперь мошенники используют технологию Real-Time Phishing.

Вы переходите по ссылке из Telegram. Открывается сайт который выглядит точь-в-точь как настоящий. Но это не просто копия — это прокси-сервер который в реальном времени подгружает контент с настоящего сайта. Вы видите актуальные объявления, работающий чат, даже уведомления.

Единственное отличие — домен в адресной строке. Вместо svoylot.ru там svoylott.ru или svoylot.login.com. Заметили разницу с первого взгляда? Большинство — нет.

Вы вводите логин и пароль. Они уходят мошеннику. А вас переадресовывают на настоящий сайт — вы даже не замечаете что только что отдали ключ от своего аккаунта.

Схема 2: Боты которые говорят как люди

Раньше фишинг-бота выдавали шаблонные фразы. «Здравствуйте, я продавец. Отправьте деньги на карту. Спасибо». Сейчас мошенники подключают ChatGPT.

Бот в Telegram общается с вами 15 минут. Отвечает на вопросы об аккаунте, шутит, использует игровой сленг, торгуется. Вы думаете что говорите с живым человеком. А когда уровень доверия достигает пика — бот скидывает фишинговую ссылку: «Вот ссылка на безопасную сделку».

Вы переходите, потому что «продавец» был таким убедительным. И теряете деньги.

Схема 3: Подмена голоса при звонке

Это самое страшное с чем я сталкивался. Технология Audio Deepfake позволяет создать убедительную копию голоса из 30-секундной записи.

Мошенник находит запись голоса реального продавца — например, из стрима на Twitch. Генерирует дипфейк. Созванивается с вами в Discord и говорит голосом того самого продавца.

Вы слышите живую речь, интонации, смех. Ваш мозг автоматически верит: «Это реальный человек, всё честно». После звонка вы переводите деньги — и теряете их.

Голосовой звонок больше не является доказательством. В 2025 году — это просто ещё один вектор атаки.

Схема 4: Фишинг через «кешбэк» и «розыгрыши»

Вам приходит сообщение от «поддержки»: «Поздравляем! Вы выиграли розыгрыш призов. Для получения 3 000 рублей перейдите по ссылке».

Сумма выглядит реалистично — не миллион, а 3 000 рублей. Тон официальный. Ссылка ведёт на сайт который выглядит как страница авторизации. Вы вводите логин и пароль чтобы «подтвердить личность для получения выигрыша».

Никакого выигрыша нет. Ваш аккаунт угнан. А вы даже не поняли что произошло — вы же просто «вошли в свой профиль».

Схема 5: QR-коды убийцы

Продавец присылает QR-код: «Отсканируй для подтверждения сделки». Вы сканируете телефоном и попадаете на сайт. Вводите данные.

QR-код опасен тем что вы не видите URL до перехода. На телефоне адресная строка маленькая, её легко не заметить. Мошенники создают QR-коды ведущие на фишинговые домены которые отличаются от настоящих на одну букву.

Как я защищаюсь

Я пользуюсь тремя правилами которые пока ни разу не подвели:

1. Никаких ссылок из чата. Если продавец присылает ссылку для оплаты или входа — это мошенник. Я оплачиваю только через кнопку «Купить» на платформе.
2. Секретное слово. В настройках профиля я задал кодовое слово. При вводе email на странице входа оно появляется. На фишинговом сайте его нет — и я сразу закрываю вкладку.
3. Ручной ввод адреса. Я не перехожу по ссылкам из Telegram, Discord или email. Я вбиваю адрес сайта руками. Это занимает 3 секунды и спасает от 99 процентов фишинговых атак.

А вы сталкивались с фишингом при покупке аккаунтов?