Лайфстайл July 1 9 минут

Фишинг — что это значит, какова его цель и как от него защититься в 2026 году

Письмо от банка, SMS от госуслуг, сообщение от коллеги — каждый день мы получаем десятки таких уведомлений и давно привыкли им доверять. Привычка работает против нас: когда канал кажется знакомым, а оформление — официальным, мозг отключает бдительность раньше, чем успевает задать вопросы. Именно в этот момент и срабатывает фишинг — мошенничество, построенное не на взломе систем, а на эксплуатации доверия.

Gem Space — все инструменты для работы в одном приложении!

Попробуйте бесплатно прямо сейчас и откройте новые возможности для вашей команды.

Статья будет полезна, если вы:

  • получили подозрительное письмо или SMS и не знаете, как проверить, настоящее ли оно;

  • хотите понять риски от перехода по незнакомым ссылкам;

  • уже столкнулись с мошенниками и не знаете, что делать дальше;

  • отвечаете за информационную безопасность в компании или просто хотите защитить близких.

Фишинг — что это такое и откуда взялось слово

Фишинг — это вид мошенничества, при котором злоумышленник притворяется доверенным источником, чтобы путём манипуляций получить личные данные, деньги или доступ к аккаунтам.

Слово пришло из английского. Пишется как phishing, заметно что это — намеренное искажение слова fishing, рыбалка. Логика та же, мошенник забрасывает наживку — поддельное, фишинговое письмо или сайт, и ждёт, кто клюнет. Термин появился в середине 1990-х, когда злоумышленники начали массово рассылать письма от имени компании AOL, выуживая у пользователей пароли.

С тех пор инструменты изменились, но принцип остался. Теперь преступники притворяются Сбером, Госуслугами или даже вашим работодателем. Вместо примитивных писем с опечатками создают точные копии официальных уведомлений и сайтов, которые с первого взгляда не отличить от оригиналов.

Ради чего всё затевается — цели фишинговых атак

Фишинг не бывает случайным. По данным Group-IB, 68% утечек корпоративных данных начинались именно с фишинговой атаки — и за каждой из них стояла конкретная цель:

  • Кража данных для входа — логины и пароли от банков, Госуслуг, почты, корпоративных систем. Это самая распространённая цель.

  • Доступ к банковским картам и счетам — номер карты, CVV, код подтверждения из СМС. Достаточно одного удачного перехвата, чтобы вывести все деньги.

  • Установка вредоносного ПО — ссылка в письме ведёт не к форме, а к файлу, который незаметно устанавливает шпионскую программу, шифровальщик или вирус.

  • Корпоративный шпионаж — доступ к переписке, коммерческим тайнам и внутренним системам через взломанный аккаунт одного сотрудника.

  • Продажа данных — похищенные логины, номера карт и паспортные данные продаются на закрытых площадках в даркнете пачками, по несколько центов за запись.

Семь масок фишинга — виды атак с примерами

Фишинг давно перестал быть одним методом. Сегодня это целый набор техник, каждая из которых бьёт через свой канал — почту, SMS, телефонный звонок, мессенджер или поддельный сайт. Механика разная, но принцип один: создать иллюзию доверия и выбить почву из-под ног раньше, чем жертва успеет усомниться.

Почтовая приманка — классика жанра

Письмо от «Госуслуг» с предупреждением: «Ваш аккаунт будет заблокирован, подтвердите данные в течение 24 часов». Адрес отправителя выглядит почти правдоподобно —  и слово gosuslugi на месте и info есть. Но в отличие от официальной ссылки на портал, будут отличия либо в порядке слов или в одной букве или символе. Сама ссылка ведёт на сайт с верификацией, где нужно ввести логин и пароль.

Это шаблонная схема, которая работает именно потому, что давит на страх и не даёт времени подумать. Признаки всегда одни: поддельный домен отправителя, нагнетание срочности, ссылка на посторонний сайт.

Сайт-двойник — когда глаз не видит подвоха

Страница, которую вы видите, выглядит в точности как личный кабинет вашего банка: тот же логотип, те же цвета, та же форма входа. Разница — в адресной строке. Вместо sber.ru — sber-online net или sberbank-lk ru. Иногда разница в одной букве: sbeer.ru. 

Современные сайты-двойники делаются за считанные минуты с помощью автоматизированных инструментов. Некоторые даже получают HTTPS-сертификат — замочек в браузере теперь не всегда не гарантирует подлинность сайта, только шифрование соединения.

Смишинг — атака через SMS

«Ваша карта заблокирована по подозрению в мошенничестве. Для разблокировки позвоните: 8-800-XXX-XX-XX». Номер подделывается под настоящий банковский — технология подмены ID отправителя доступна и стоит не дорого.

Смишинг хорошо работает, потому что SMS воспринимаются как более официальный канал, чем мессенджеры. Мы годами привыкали получать так реальные уведомления от банков. А ещё, в SMS нет встроенных антифишинговых фильтров — в отличие от почтовых клиентов, которые давно умеют помечать подозрительные письма.

Вишинг — голос в трубке

Звонит «сотрудник службы безопасности», говорит уверенно, называет вас по имени, упоминает последние четыре цифры карты. Сообщает о подозрительной операции и просит подтвердить личность или перевести деньги на «защищённый счёт».

Голос создаёт иллюзию живого общения. Поэтому вишинг до сих пор работает даже на людей, которые слышали о таких схемах. Звонок застаёт врасплох, давление и срочность отключают критическое мышление раньше, чем человек начинает сомневаться.

Фишинг в мессенджерах

Приходит сообщение от контакта из вашей телефонной книги: «Привет, я попал в беду, можешь помочь?». Аккаунт друга взломан, а вы этого не знаете. Дальше — просьба перевести деньги, отсканировать QR-код или перейти по ссылке.

В мессенджерах с end-to-end шифрованием подделать отправителя сложнее, чем в обычной почте — сообщение приходит именно с того аккаунта, которому принадлежит. Поэтому схема другая, мошенники сначала взламывают аккаунт жертвы, а уже через него атакуют её контакты.

Целевой удар — спир-фишинг

Обычный фишинг — это ловля большой сетью, неводом. Так рассылают миллионы писем в расчёте на то, что кто-нибудь клюнет. Спир-фишинг — это даже не рыбалка, а целенаправленная охота. Мошенник заранее изучает жертву, смотрит соцсети, сайт компании и любые открытые профили. В фишинговом письме точно укажет имя, должность, упоминание коллеги или реального проекта.

«Добрый день, Андрей. Игорь Петрович просил передать документы по проекту — см. вложение». Вложение заражено. Так начинаются большинство серьёзных корпоративных взломов.

Спир-фишинг особенно опасен тем, что у жертвы нет оснований для сомнений: имена реальные, контекст знакомый. Стандартный совет «не открывать письма от незнакомых» здесь не работает — письмо пришло будто бы от коллеги.

Голосовые дипфейки — новейший вид 2025–2026

Руководителю финансового отдела звонит «директор» с просьбой срочно перевести крупную сумму контрагенту. Голос, интонации, манера речи — всё совпадает. Только это не директор, а нейросеть, обученная на аудиозаписях из публичных выступлений.

Технология дипфейк-голоса стала доступной и дешёвой в 2024–2025 годах. По данным ФБР, потери от атак на корпоративную почту и подобных мошенничеств (BEC-атак) превысили 55 миллиардов долларов в 2023 году, и дипфейки стали одним из главных инструментов, которые подтолкнули эту цифру вверх.

Шесть сигналов тревоги — как распознать фишинг до нажатия на ссылку

Большинство фишинговых атак можно остановить ещё до того, как куда то кликнуть. Достаточно знать, на что смотреть:

  • Нагнетание срочности. «Ваш аккаунт будет заблокирован через 24 часа», «Последнее предупреждение» — цель одна: не дать вам времени подумать и проверить. Любое давление с таймером — уже повод насторожиться.

  • Домен с опечаткой или лишним словом. Через поисковики всегда можно быстро проверить, как выглядит адрес реального сайта. Поэтому перед вводом данных всегда смотрите на адресную строку целиком.

  • Просьба ввести данные прямо в письме или форме по ссылке. Банки и госорганы не просят сообщать пароли, CVV или коды подтверждения по электронной почте — никогда и ни при каких обстоятельствах.

  • Адрес отправителя не совпадает с организацией. Например, sberbank@gmail.com, support@gosuslugi-help.ru — это не официальные адреса. Проверяйте домен после @, а не только то, что написано в поле «От кого».

  • Ошибки, странное оформление, кривоватый дизайн. Хотя качество фишинговых писем в 2025–2026 годах сильно выросло, грамматические ошибки, нелогичные шрифты и размытые логотипы по-прежнему встречаются.

  • Ссылка в письме и реальный URL не совпадают. Наведите мышь на ссылку, не кликая — браузер покажет реальный адрес в нижнем углу экрана. Если он отличается от того, что написано в тексте письма, открывать не стоит.

Личный щит — что сделать прямо сейчас для защиты

Чтобы понять, как защититься от фишинга, нужно сформировать несколько привычек, которые все вместе закроют большинство уязвимостей.

Включите двухфакторную аутентификацию. Даже если пароль попал к мошенникам, без второго фактора они не войдут. Используйте приложение-аутентификатор (Google Authenticator, Яндекс.Ключ, 2FAS) — это надёжнее SMS, которые можно перехватить.  

Не переходите по ссылкам из писем. Если получили письмо якобы от банка — не кликайте. Откройте браузер и введите адрес вручную или войдите через официальное приложение.

Проверяйте URL перед вводом данных. HTTPS — необходимость, но не гарантия. Смотрите на домен: он должен точно совпадать с официальным сайтом без лишних слов, цифр и символов.

Используйте менеджер паролей. Уникальный пароль для каждого сервиса — если один утечёт, остальные останутся в безопасности. KeePass, Bitwarden или встроенные решения в браузерах справятся с этой задачей.

Включите антифишинговые фильтры в браузере. В Chrome, Firefox и Яндекс.Браузере они встроены — проверьте, что функция активна в настройках безопасности.

При любом «срочном» запросе — перезвоните сами. Если письмо или звонок требуют немедленных действий, положите трубку и наберите официальный номер банка или организации самостоятельно, а не в самом сообщении.

Для общения в мессенджерах, выбирайте приложения со сквозным шифрованием: в них значительно сложнее незаметно подделать отправителя или перехватить переписку. Например, в Gem Space шифрование работает для всех типов чатов — и личных, и групповых.

Что делать, если фишинг уже сработал

Главное правило — не паниковать и действовать быстро. Чем раньше вы среагируете, тем больше шансов минимизировать ущерб.

В первую очередь немедленно смените пароль на пострадавшем аккаунте — желательно с другого устройства, на котором точно нет вредоносного ПО. Если использовали этот же пароль где-то ещё, то поменяйте там тоже. Заблокируйте карту через приложение банка или позвоните на горячую линию. Номер может быть либо на обороте карты, либо на официальном сайте. Не ищите его в письме, которое вам пришло.

Сообщите в банк о подозрительной операции как можно скорее. В первые сутки есть реальный шанс оспорить перевод и вернуть деньги, потому что чем больше времени пройдёт, тем ниже вероятность отменить операцию.

Проверьте остальные аккаунты, особенно если пароль был одинаковым. Зайдите в настройки безопасности почты, соцсетей, Госуслуг и посмотрите, нет ли активных чужих сессий. Если есть, нужно закрыть их и сменить пароли.

Сообщите о фишинговом сайте в Google Safe Browsing, Яндекс.Браузер и напрямую в банк или организацию, от имени которой велась атака.

FAQ

Что такое фишинг простыми словами? Это мошенническая схема, при которой преступник притворяется кем-то другим, чтобы выманить пароль, деньги или личные данные.

Какова основная цель фишинга? В большинстве случаев это кража данных для входа в аккаунт или получение доступа к деньгам. Корпоративный фишинг чаще нацелен на проникновение в инфраструктуру компании.

Чем фишинг отличается от спама? Спам это нежелательная реклама или информационная рассылка, которая раздражает, но обычно не несёт прямой угрозы. Фишинг всегда преследует конкретную мошенническую цель.

Как проверить ссылку на фишинг перед переходом? Наведите курсор на ссылку — в нижней строке браузера отобразится реальный адрес. Можно также вставить ссылку в сервис проверки, например на сайт Dr.Web. Главный признак подозрительной ссылки — домен, который не совпадает с официальным сайтом организации.

Несёт ли жертва фишинга юридическую ответственность? Нет. Жертва мошенничества это пострадавшая сторона, а не соучастник. Уголовная ответственность лежит на злоумышленниках. Единственный случай, когда могут возникнуть сложности — если человек участвовал в схеме осознанно, что к классическому фишингу не относится. Важно зафиксировать всё произошедшее: сохранить переписку, скриншоты сайта, данные о транзакциях, потому что это поможет при обращении в полицию и банк.

Заключение

Фишинг эволюционирует быстрее, чем успевают появляться публичные предупреждения о нём. Дипфейк-голоса, безупречные копии банковских сайтов, персонализированные письма с именами коллег — всё это уже реальность 2026 года.

Хорошая новость в том, что защита не требует технической подготовки. Достаточно нескольких устойчивых привычек: проверять домен перед вводом данных, не кликать по ссылкам из писем, включить двухфакторную аутентификацию и никогда не передавать пароли или коды подтверждения — ни по телефону, ни по почте, ни в мессенджере.

Расскажите об этих правилах близким. Особенно тем, кто доверяет официально выглядящим письмам и не привык сомневаться в том, что написано крупным шрифтом на красивом бланке.

Gem Space — все инструменты для работы в одном приложении!

Попробуйте бесплатно прямо сейчас и откройте новые возможности для вашей команды.

Еще статьи

Как понять, что за телефоном следят: полная проверка на прослушку и слежку

Как понять, что за телефоном следят: полная проверка на прослушку и слежку

11 минут
Одна галочка, нет фото, не отвечает — как понять, что тебя заблокировали в ТГ

Одна галочка, нет фото, не отвечает — как понять, что тебя заблокировали в ТГ

8 минут