Фишинг — это онлайн-мошенничество, при котором злоумышленник выдаёт себя за банк, почтовый сервис или знакомого человека, чтобы выманить пароль, код из SMS или данные карты. Распознать атаку можно по адресу отправителя, домену сайта и искусственной спешке в тексте. В 2025 году CERT-UA обработала 1727 фишинговых инцидентов — вдвое больше, чем в 2024-м.
Формально фишинг — это приём социальной инженерии, построенный на том, что человек под давлением убедительной легенды сам отдаёт доступ к своим аккаунтам или деньгам. Злоумышленник взламывает не компьютер, а доверие.
Умение отсеивать подделки — первый практический шаг к безопасности в интернете в целом: именно с фишингового письма начинается немалая часть цифровых неприятностей — от взломанной почты до пустой карты.
Как работает фишинг
Фишинг эксплуатирует психологию, и схема почти всегда одна: сообщение вызывает сильную эмоцию — страх, любопытство или азарт, — затем создаёт дефицит времени («аккаунт заблокируют уже сегодня»), а под конец подсказывает «спасительное» действие: перейти по ссылке и ввести данные. Обмануть человека для мошенника дешевле и быстрее, чем взломать сервер.
Приём далеко не новый. Слово «phishing» родилось в середине 1990-х в среде взломщиков аккаунтов America Online: созданная в 1994 году программа AOHell рассылала сообщения якобы от службы поддержки AOL и выманивала у пользователей пароли, а первое упоминание термина в публичной сети Usenet датируют 2 января 1996 года. Написание через «ph» — наследие субкультуры телефонных взломщиков-фрикеров.
Масштаб с тех пор вырос на порядки, и свежие отчёты фиксируют его в конкретных цифрах:
- Verizon DBIR 2025: примерно в 60% утечек данных замешан человек — ошибка или манипуляция, — а около 16% проанализированных взломов начались именно с фишинга.
- APWG: около 3,8 миллиона фишинговых атак за 2025 год; второй квартал стал рекордным по числу атак с середины 2023-го.
- ФБР (IC3): 193 407 жалоб на фишинг и спуфинг за 2024 год — больше, чем на любое другое интернет-преступление; совокупный ущерб от интернет-преступности достиг 16,6 миллиарда долларов — на треть больше, чем годом ранее.
Какие виды фишинга встречаются чаще всего
Чаще всего фишинг приходит по электронной почте, но тот же трюк давно работает в SMS, мессенджерах и телефонных разговорах. Каналов много, суть одна — подделка доверенного отправителя.
- Классические письма. «Ваш аккаунт заблокирован», «вам поступил платёж», «подтвердите данные». Логотип и подпись скопированы тщательно, адрес отправителя — нет.
- Смишинг. SMS или сообщение в мессенджере: «ваша посылка задержана, оплатите пошлину по ссылке».
- Вишинг. Звонок из «службы безопасности банка» с требованием назвать код из SMS или срочно перевести деньги на «защищённый счёт».
- Целевой фишинг. Письмо, написанное под конкретного человека или компанию: с настоящим именем, должностью и рабочими деталями, собранными из соцсетей.
- QR-фишинг. Код на наклейке, объявлении или в письме, ведущий на поддельную страницу оплаты. Адрес сайта человек здесь обычно не читает вовсе — на это и расчёт.
- Сайты-двойники. Копии страниц входа почты, банков и маркетплейсов, на которые ведут ссылки из всех перечисленных каналов.
По Украине это бьёт прежде всего по картам. По данным Национального банка, в 2025 году убытки от мошенничества с платёжными картами достигли 1,4 миллиарда гривен — на четверть больше, чем годом ранее, хотя самих мошеннических операций стало меньше. 90% этой суммы пришлось именно на социальную инженерию — случаи, когда человек сам отдал данные или деньги, — а 83% операций произошли в интернете.
Как распознать мошенническое письмо
Самый надёжный признак мошеннического письма — расхождение между тем, кем отправитель представляется, и тем, с какого адреса он пишет и куда ведут его ссылки. Прежде чем отвечать или кликать, пройдитесь по короткому списку:
- Адрес отправителя. «Служба поддержки» с адресом на постороннем домене — уже приговор. Смотрите не на имя, а на то, что стоит после символа @.
- Искусственная спешка. «Последнее предупреждение», «аккаунт удалят сегодня» — настоящие сервисы редко давят дедлайном и никогда не просят вводить данные по ссылке из письма.
- Скрытая ссылка. Наведите курсор на кнопку, не нажимая, — почтовый клиент покажет реальный адрес перехода. На телефоне сработает долгое удержание.
- Неожиданное вложение. Архив, файл .exe или документ, который просит «включить макросы», лучше не открывать.
- Обезличенное обращение и ошибки. «Уважаемый клиент» вместо вашего имени, корявые фразы, смешанные языки.
- Запрос секретов. Ни одна настоящая служба не спрашивает пароль, PIN или код из SMS — ни письмом, ни по телефону.
Одно совпадение из списка — ещё не доказательство: бывают и неуклюжие настоящие письма. Два-три совпадения сразу — практически гарантированная подделка: удаляйте, а при желании перед этим сообщите в поддержку самого сервиса. Сомневаетесь — откройте его сайт привычным способом и проверьте уведомления в личном кабинете: реальная проблема с аккаунтом будет видна и там.
Как распознать фишинговый сайт
Фишинговый сайт выдаёт домен в адресной строке. Скопировать дизайн мошенник может за час, а вот настоящее имя сайта ему недоступно — поэтому читайте всё, что стоит между «https://» и первой косой чертой.
Коварство в том, что домен-двойник иногда вообще не отличается на глаз. В 2017 году исследователь Сюйдун Чжэн зарегистрировал домен, который браузеры показывали как «apple.com», хотя каждая буква в нём была кириллической: наша «а» на экране выглядит в точности как латинская. После этой демонстрации браузеры усилили защиту от таких доменов, но приём с символами-двойниками никуда не делся. На смартфоне будьте особенно внимательны: мобильный браузер прячет часть длинного адреса, так что поддельный домен там легче пропустить.
| Признак | Настоящий сайт | Сайт-подделка |
|---|---|---|
| Домен | Точный известный адрес: gmail.com, ukr.net | Лишние слова, дефисы, другая зона: ukr-net-login.site |
| Как вы на него попали | Закладка, ручной набор, официальное приложение | Ссылка из письма, SMS или рекламы |
| Что запрашивает | Логин и пароль на странице входа | Сразу всё: номер карты, PIN, код из SMS |
| Ошибки и странные фразы | Редкость | Встречаются часто, местами со смешанными языками |
| Замочек HTTPS | Есть | Чаще всего тоже есть |
Отдельно про замочек. Он означает лишь то, что соединение зашифровано, — а не то, что владелец сайта честен. По данным APWG, ещё в конце 2020 года сертификат HTTPS имели 84% фишинговых сайтов, а в 2023-м — более 90%: замочек у них тот же, что и у настоящих сервисов. Поэтому на важный сайт заходите так, как советует таблица: по закладке или по адресу, набранному вручную.
Что делать, если вы уже кликнули
Сам переход по фишинговой ссылке редко оборачивается катастрофой: браузер не отдаёт пароли автоматически. Опасность начинается тогда, когда вы что-то ввели на поддельной странице или открыли вложение. В этом случае счёт идёт на минуты.
- Смените пароль аккаунта, данные которого вводили, — и везде, где стоял такой же пароль.
- В настройках аккаунта завершите все активные сеансы, чтобы выбросить мошенника, если он уже успел войти.
- Если вводили данные карты — сразу позвоните в свой банк: там подскажут дальнейшие шаги.
- Сообщите в Киберполицию: через электронную форму на сайте cyberpolice.gov.ua или письмом на [email protected].
- Если открывали вложение — обновите систему, проверьте устройство антивирусом и до конца проверки не вводите на нём никаких паролей.
- Предупредите близких: взломанную почту или мессенджер мошенники сразу пускают в ход для рассылки по вашим контактам.
Как защититься заранее
Лучшая защита от фишинга — сделать так, чтобы даже украденный пароль ничего не дал мошеннику. Для этого есть два инструмента — дополнительное подтверждение входа и менеджер паролей — плюс привычка не принимать решений впопыхах.
Исследование Google, Нью-Йоркского университета и Калифорнийского университета в Сан-Диего в 2019 году показало: даже простой одноразовый код в SMS останавливает 96% массовых фишинговых атак, а аппаратный ключ безопасности — практически все. Так что двухфакторная аутентификация оставляет злоумышленника перед запертой дверью даже тогда, когда пароль уже у него в руках. Подключите её как минимум к почте и соцсетям — аккаунтам, через которые восстанавливаются все остальные пароли.
У менеджера паролей — Bitwarden, KeePass или встроенного в браузер — есть менее очевидное преимущество: он подставляет сохранённый пароль только на том домене, где вы его сохранили. На сайте-двойнике поле входа останется пустым, и эта пустота сама по себе — сигнал тревоги.
Остальное — повседневная гигиена безопасности в интернете. Обновлённый браузер предупреждает об известных фишинговых страницах, почтовый фильтр отправляет часть подделок в спам, а свежие мошеннические схемы Нацбанк разбирает в материалах кампании #ШахрайГудбай. И правило на каждый день: если письмо требует действовать немедленно — это лучший повод остановиться и перечитать адрес отправителя.
