Что такое фишинг и как распознать мошенническое письмо или сайт

Фишинг — это онлайн-мошенничество, при котором злоумышленник выдаёт себя за банк, почтовый сервис или знакомого человека, чтобы выманить пароль, код из SMS или данные карты. Распознать атаку можно по адресу отправителя, домену сайта и искусственной спешке в тексте. В 2025 году CERT-UA обработала 1727 фишинговых инцидентов — вдвое больше, чем в 2024-м.

Формально фишинг — это приём социальной инженерии, построенный на том, что человек под давлением убедительной легенды сам отдаёт доступ к своим аккаунтам или деньгам. Злоумышленник взламывает не компьютер, а доверие.

Умение отсеивать подделки — первый практический шаг к безопасности в интернете в целом: именно с фишингового письма начинается немалая часть цифровых неприятностей — от взломанной почты до пустой карты.

Как работает фишинг

Фишинг эксплуатирует психологию, и схема почти всегда одна: сообщение вызывает сильную эмоцию — страх, любопытство или азарт, — затем создаёт дефицит времени («аккаунт заблокируют уже сегодня»), а под конец подсказывает «спасительное» действие: перейти по ссылке и ввести данные. Обмануть человека для мошенника дешевле и быстрее, чем взломать сервер.

Приём далеко не новый. Слово «phishing» родилось в середине 1990-х в среде взломщиков аккаунтов America Online: созданная в 1994 году программа AOHell рассылала сообщения якобы от службы поддержки AOL и выманивала у пользователей пароли, а первое упоминание термина в публичной сети Usenet датируют 2 января 1996 года. Написание через «ph» — наследие субкультуры телефонных взломщиков-фрикеров.

Масштаб с тех пор вырос на порядки, и свежие отчёты фиксируют его в конкретных цифрах:

  • Verizon DBIR 2025: примерно в 60% утечек данных замешан человек — ошибка или манипуляция, — а около 16% проанализированных взломов начались именно с фишинга.
  • APWG: около 3,8 миллиона фишинговых атак за 2025 год; второй квартал стал рекордным по числу атак с середины 2023-го.
  • ФБР (IC3): 193 407 жалоб на фишинг и спуфинг за 2024 год — больше, чем на любое другое интернет-преступление; совокупный ущерб от интернет-преступности достиг 16,6 миллиарда долларов — на треть больше, чем годом ранее.

Какие виды фишинга встречаются чаще всего

Чаще всего фишинг приходит по электронной почте, но тот же трюк давно работает в SMS, мессенджерах и телефонных разговорах. Каналов много, суть одна — подделка доверенного отправителя.

  • Классические письма. «Ваш аккаунт заблокирован», «вам поступил платёж», «подтвердите данные». Логотип и подпись скопированы тщательно, адрес отправителя — нет.
  • Смишинг. SMS или сообщение в мессенджере: «ваша посылка задержана, оплатите пошлину по ссылке».
  • Вишинг. Звонок из «службы безопасности банка» с требованием назвать код из SMS или срочно перевести деньги на «защищённый счёт».
  • Целевой фишинг. Письмо, написанное под конкретного человека или компанию: с настоящим именем, должностью и рабочими деталями, собранными из соцсетей.
  • QR-фишинг. Код на наклейке, объявлении или в письме, ведущий на поддельную страницу оплаты. Адрес сайта человек здесь обычно не читает вовсе — на это и расчёт.
  • Сайты-двойники. Копии страниц входа почты, банков и маркетплейсов, на которые ведут ссылки из всех перечисленных каналов.

По Украине это бьёт прежде всего по картам. По данным Национального банка, в 2025 году убытки от мошенничества с платёжными картами достигли 1,4 миллиарда гривен — на четверть больше, чем годом ранее, хотя самих мошеннических операций стало меньше. 90% этой суммы пришлось именно на социальную инженерию — случаи, когда человек сам отдал данные или деньги, — а 83% операций произошли в интернете.

Как распознать мошенническое письмо

Самый надёжный признак мошеннического письма — расхождение между тем, кем отправитель представляется, и тем, с какого адреса он пишет и куда ведут его ссылки. Прежде чем отвечать или кликать, пройдитесь по короткому списку:

  • Адрес отправителя. «Служба поддержки» с адресом на постороннем домене — уже приговор. Смотрите не на имя, а на то, что стоит после символа @.
  • Искусственная спешка. «Последнее предупреждение», «аккаунт удалят сегодня» — настоящие сервисы редко давят дедлайном и никогда не просят вводить данные по ссылке из письма.
  • Скрытая ссылка. Наведите курсор на кнопку, не нажимая, — почтовый клиент покажет реальный адрес перехода. На телефоне сработает долгое удержание.
  • Неожиданное вложение. Архив, файл .exe или документ, который просит «включить макросы», лучше не открывать.
  • Обезличенное обращение и ошибки. «Уважаемый клиент» вместо вашего имени, корявые фразы, смешанные языки.
  • Запрос секретов. Ни одна настоящая служба не спрашивает пароль, PIN или код из SMS — ни письмом, ни по телефону.

Одно совпадение из списка — ещё не доказательство: бывают и неуклюжие настоящие письма. Два-три совпадения сразу — практически гарантированная подделка: удаляйте, а при желании перед этим сообщите в поддержку самого сервиса. Сомневаетесь — откройте его сайт привычным способом и проверьте уведомления в личном кабинете: реальная проблема с аккаунтом будет видна и там.

Как распознать фишинговый сайт

Фишинговый сайт выдаёт домен в адресной строке. Скопировать дизайн мошенник может за час, а вот настоящее имя сайта ему недоступно — поэтому читайте всё, что стоит между «https://» и первой косой чертой.

Коварство в том, что домен-двойник иногда вообще не отличается на глаз. В 2017 году исследователь Сюйдун Чжэн зарегистрировал домен, который браузеры показывали как «apple.com», хотя каждая буква в нём была кириллической: наша «а» на экране выглядит в точности как латинская. После этой демонстрации браузеры усилили защиту от таких доменов, но приём с символами-двойниками никуда не делся. На смартфоне будьте особенно внимательны: мобильный браузер прячет часть длинного адреса, так что поддельный домен там легче пропустить.

Признак Настоящий сайт Сайт-подделка
Домен Точный известный адрес: gmail.com, ukr.net Лишние слова, дефисы, другая зона: ukr-net-login.site
Как вы на него попали Закладка, ручной набор, официальное приложение Ссылка из письма, SMS или рекламы
Что запрашивает Логин и пароль на странице входа Сразу всё: номер карты, PIN, код из SMS
Ошибки и странные фразы Редкость Встречаются часто, местами со смешанными языками
Замочек HTTPS Есть Чаще всего тоже есть

Отдельно про замочек. Он означает лишь то, что соединение зашифровано, — а не то, что владелец сайта честен. По данным APWG, ещё в конце 2020 года сертификат HTTPS имели 84% фишинговых сайтов, а в 2023-м — более 90%: замочек у них тот же, что и у настоящих сервисов. Поэтому на важный сайт заходите так, как советует таблица: по закладке или по адресу, набранному вручную.

Что делать, если вы уже кликнули

Сам переход по фишинговой ссылке редко оборачивается катастрофой: браузер не отдаёт пароли автоматически. Опасность начинается тогда, когда вы что-то ввели на поддельной странице или открыли вложение. В этом случае счёт идёт на минуты.

  1. Смените пароль аккаунта, данные которого вводили, — и везде, где стоял такой же пароль.
  2. В настройках аккаунта завершите все активные сеансы, чтобы выбросить мошенника, если он уже успел войти.
  3. Если вводили данные карты — сразу позвоните в свой банк: там подскажут дальнейшие шаги.
  4. Сообщите в Киберполицию: через электронную форму на сайте cyberpolice.gov.ua или письмом на [email protected].
  5. Если открывали вложение — обновите систему, проверьте устройство антивирусом и до конца проверки не вводите на нём никаких паролей.
  6. Предупредите близких: взломанную почту или мессенджер мошенники сразу пускают в ход для рассылки по вашим контактам.

Как защититься заранее

Лучшая защита от фишинга — сделать так, чтобы даже украденный пароль ничего не дал мошеннику. Для этого есть два инструмента — дополнительное подтверждение входа и менеджер паролей — плюс привычка не принимать решений впопыхах.

Исследование Google, Нью-Йоркского университета и Калифорнийского университета в Сан-Диего в 2019 году показало: даже простой одноразовый код в SMS останавливает 96% массовых фишинговых атак, а аппаратный ключ безопасности — практически все. Так что двухфакторная аутентификация оставляет злоумышленника перед запертой дверью даже тогда, когда пароль уже у него в руках. Подключите её как минимум к почте и соцсетям — аккаунтам, через которые восстанавливаются все остальные пароли.

У менеджера паролей — Bitwarden, KeePass или встроенного в браузер — есть менее очевидное преимущество: он подставляет сохранённый пароль только на том домене, где вы его сохранили. На сайте-двойнике поле входа останется пустым, и эта пустота сама по себе — сигнал тревоги.

Остальное — повседневная гигиена безопасности в интернете. Обновлённый браузер предупреждает об известных фишинговых страницах, почтовый фильтр отправляет часть подделок в спам, а свежие мошеннические схемы Нацбанк разбирает в материалах кампании #ШахрайГудбай. И правило на каждый день: если письмо требует действовать немедленно — это лучший повод остановиться и перечитать адрес отправителя.

Об авторе
Богдан Лисенко
Богдан помогает людям чувствовать себя уверенно среди технологий. Пишет о цифровых навыках и защите приватности простым языком: как не потерять деньги на мошенниках, настроить пароли и понять, куда идут твои данные. Считает, что безопасность в сети — это привычки, а не магия, и терпеливо объясняет каждый шаг так, будто помогает соседу настроить телефон.