Фишинг

Фишинг (от англ. fishing - рыбная ловля) - вид интернет-мошенничества, при котором злоумышленники маскируются под доверенные организации или лица, чтобы выманить у жертвы конфиденциальные данные: логины, пароли, данные банковских карт, персональную информацию. Фишинг является одной из главных угроз информационной безопасности.

В интернет-маркетинге фишинг представляет серьёзную опасность, так как маркетологи имеют доступ к рекламным бюджетам, аккаунтам в рекламных кабинетах, системам аналитики и CRM с данными клиентов. Переход по фишинговой ссылке может привести к потере контроля над аккаунтом и значительным финансовым потерям. По данным «Лаборатории Касперского», в 2024 году было заблокировано более 125 млн фишинговых писем и предотвращено почти 900 млн попыток перехода на поддельные сайты.

Фишинг основан на методах социальной инженерии - манипулировании человеческим поведением, а не на взломе технических средств защиты.

1. Злоумышленник создаёт поддельную страницу, внешне неотличимую от настоящей (например, страница входа в Яндекс, Google, почтовый сервис).
2. Жертве отправляется сообщение (по email, в мессенджере, в SMS) с ссылкой на эту поддельную страницу.
3. Сообщение маскируется под официальное уведомление от банка, сервиса, коллеги или партнёра и содержит тревожный или заманчивый повод перейти по ссылке.
4. Жертва переходит по ссылке и вводит свои данные на поддельной странице.
5. Введённые данные попадают к злоумышленнику, который сразу же использует их для доступа к реальному аккаунту.

• Создание срочности. «Ваш аккаунт будет заблокирован», «Подтвердите платёж немедленно».
• Использование страха. «Обнаружена подозрительная активность», «Несанкционированный доступ».
• Заманчивые предложения. «Вы выиграли приз», «Получите скидку 90 %».
• Маскировка под коллег. Письмо от имени руководителя или коллеги с просьбой срочно предоставить данные.

Фишинг принимает различные формы в зависимости от цели и масштаба атаки.

Рассылка тысяч писем случайным адресатам в надежде, что кто-то попадётся. Используются общие формулировки («Уважаемый клиент банка») и подделка под популярные сервисы.

Атаки, направленные на конкретную компанию или организацию. Злоумышленники изучают структуру компании, собирают информацию о сотрудниках и готовят персонализированные письма.

Атаки на первых лиц компании - топ-менеджеров, руководителей, владельцев бизнеса.

Фишинг через SMS-сообщения и мессенджеры. Жертва получает сообщение с ссылкой на поддельный сайт или просьбой перезвонить.

Голосовой фишинг через телефонные звонки. Злоумышленник представляется сотрудником банка, службы поддержки и выманивает данные.

Перенаправление жертвы на поддельный сайт даже при вводе правильного адреса в браузере (через взлом DNS или вредоносное ПО).

Современный метод, при котором злоумышленник ставит прокси-сервер между жертвой и настоящим сайтом. Это позволяет перехватывать не только логин и пароль, но и сессионные cookie, что делает возможным обход двухфакторной аутентификации. Инструменты вроде Evilginx стали стандартом для таких атак.

Фишинг как услуга - наборы готовых инструментов (Tycoon 2FA, Rockstar 2FA), которые позволяют даже неспециалистам запускать сложные фишинговые кампании. Разработчики постоянно обновляют их, добавляя функции обхода защиты.

• В 2024 году «Лаборатория Касперского» заблокировала более 125 млн фишинговых писем.
• Почти 900 млн попыток перехода на фишинговые сайты предотвращено.
• В январе 2026 года одна фишинг-атака на криптокошелёк привела к потере 284 млн долларов, что составило 71% всех потерь отрасли за месяц.
• 45 % всей глобальной email-переписки в 2025 году составил спам, включая фишинг.

С развитием искусственного интеллекта фишинговые письма становятся всё более убедительными: мошенники используют ChatGPT для автоматической генерации персонализированных сообщений без грамматических ошибок.

• Несоответствие адреса отправителя. Адрес может отличаться одной буквой.
• Общие обращения. «Уважаемый клиент» вместо обращения по имени.
• Орфографические ошибки. Хотя с появлением AI этот признак становится менее надёжным.
• Угрозы и срочность. Требование немедленных действий, угрозы блокировки.
• Подозрительные ссылки. При наведении на ссылку виден адрес, не соответствующий официальному.
• Вложения. Просьба открыть вложение (часто содержащее вредоносный код).

• Несоответствие адреса. Адрес страницы отличается от официального.
• Отсутствие HTTPS. Хотя современные фишеры уже используют HTTPS.
• Плохое качество. Размытые логотипы, несоответствие дизайна.
• Запрос лишних данных. Сайт запрашивает информацию, которую официальный сервис обычно не запрашивает.

• Никогда не переходите по ссылкам из подозрительных писем. Лучше вручную ввести адрес сайта в браузере.
• Проверяйте адрес отправителя. Даже если имя отправителя выглядит знакомым, проверьте сам email-адрес.
• Не вводите данные на сайтах, открытых по ссылкам из писем.
• Не открывайте вложения из подозрительных писем.
• Обучайте сотрудников. Регулярно проводите тренинги по кибербезопасности.

• Используйте двухфакторную аутентификацию. Однако важно понимать, что SMS-коды и даже push-уведомления могут быть перехвачены при AiTM-атаках.
• WebAuthn (FIDO2). Наиболее надёжный метод - аппаратные ключи или встроенные биометрические аутентификаторы. Они привязаны к конкретному домену, поэтому на фишинговом сайте аутентификация просто не сработает.
• Используйте антивирусы и системы защиты почты. Современные почтовые сервисы автоматически помечают фишинговые письма.
• Отслеживайте подозрительные авторизации. В компаниях следует мониторить необычные входы и новые регистрации устройств.

1. Не вводите никакие данные. Закройте страницу.
2. Смените пароли. Немедленно смените пароль от аккаунта, который могли скомпрометировать.
3. Завершите все активные сессии. В настройках аккаунта завершите все текущие сеансы.
4. Проверьте активность аккаунта. Посмотрите, не было ли подозрительных действий.
5. Проверьте привязанные устройства и приложения. Удалите незнакомые.
6. Сообщите в службу поддержки. Если аккаунт был скомпрометирован, свяжитесь с поддержкой сервиса.
7. Проверьте компьютер антивирусом. На случай, если ссылка вела не просто на фишинговую страницу, а содержала вредоносное ПО.

• Двухфакторная аутентификация
• Информационная безопасность
• Кибербезопасность
• Социальная инженерия
• PhaaS
• Искусственный интеллект