• Ключевая ставка ЦБ14,25%
  • USD77.960.6%
  • EUR88.910.4%
  • CNY11.511.2%
  • GBP104.500.8%
  • CHF96.220.9%
  • JPY0.480.7%
  • TRY1.660.6%
  • AED21.230.6%
  • KZT0.172.4%
  • BYN27.010.2%
Назад
Что такое фишинг: как распознать и защититься
Личные финансы
11 мин

Что такое фишинг: как распознать и защититься

Автор: Татьяна Васильева · Обновлено

Главное

  • При подозрении на фишинг и несанкционированное списание средств сообщите банку не позднее следующего дня после уведомления об операции, чтобы потребовать возмещение, если вы не передавали коды и данные карты.
  • Для защиты от мошеннических кредитов, оформленных по фишинговым схемам, установите самозапрет на кредиты через Госуслуги или МФЦ — снятие запрета имеет двухдневный «период охлаждения».
  • При спорной операции банк обязан ответить в течение 30 дней (60 дней для трансграничных переводов) — требуйте письменный ответ для последующей жалобы в ЦБ или суд.
  • Фишинг часто направлен на кражу персональных данных: по закону оператор обязан получать письменное или электронное согласие на обработку ПДн, а хранение данных граждан РФ должно быть на серверах в России.

Каждый день мошенники рассылают тысячи писем и сообщений, маскируясь под банки, госуслуги или онлайн-магазины. Их цель — заставить вас перейти по ссылке и ввести конфиденциальные данные: пароль, код из СМС или реквизиты карты. Если вы попались на удочку, последствия могут быть катастрофическими — от списания денег до оформления кредита на ваше имя. По закону, если вы сообщили банку о спорной операции не позднее следующего дня, он обязан возместить списание (ФЗ-161, ст. 9). Однако лучше не доводить до этого: научитесь распознавать фишинг и защищать свои данные. В статье разберем главные признаки атак, способы проверки ссылок и алгоритм действий, если вы уже стали жертвой.

Что такое Ф-фишинг и почему он опаснее обычного обмана

Ф-фишинг — это узкоспециализированная разновидность фишинга, в которой злоумышленники подделывают не только внешний вид сайта или письма, но и буквы в адресной строке, названия компаний или имена отправителей. В отличие от классического фишинга, где жертву заманивают на поддельную страницу с явными орфографическими ошибками (например, «g00gle.com»), Ф-фишинг использует символы из других алфавитов — кириллицы, латиницы, греческого или даже кириллических букв, визуально неотличимых от латинских. Это позволяет создавать домены, которые в браузере выглядят как точная копия оригинала: «аpple.com» (где первая «а» — кириллическая) вместо «apple.com».

Опасность Ф-фишинга в том, что стандартные фильтры браузеров и антивирусов часто пропускают такие домены, поскольку технически это разные строки. Жертва, видя знакомый адрес, вводит логин, пароль или данные карты, не подозревая подвоха. По данным ЦБ, в 2023 году объём операций без согласия клиентов вырос на 33%, и значительная доля приходится именно на методы социальной инженерии с использованием подмены символов. Ф-фишинг особенно эффективен против пользователей, которые привыкли доверять визуальному сходству, а не проверять сертификаты безопасности или использовать менеджеры паролей.

Технически атака может быть реализована через IDN-домены (интернационализированные доменные имена), где смешиваются символы разных алфавитов. Браузеры, такие как Chrome и Firefox, пытаются бороться с этим, показывая предупреждение или отображая punycode (набор символов в формате «xn--…»), но многие пользователи игнорируют эти предупреждения. Мошенники также используют подмену букв в названиях аккаунтов в мессенджерах и соцсетях, создавая фальшивые страницы поддержки банков или госорганов.

Норма закона

ФЗ-152 «О персональных данных»: оператор ПДн обязан получать согласие в письменной форме (или электронной) до начала обработки. Хранение ПДн граждан РФ — на серверах в РФ (ст. 18 ч. 5).

Источник: consultant.ru

Основные сценарии Ф-фишинга: подмена букв и фальшивые аккаунты

Первый сценарий — подмена букв в домене. Злоумышленник регистрирует домен, где одна или несколько латинских букв заменены на кириллические аналоги. Например, для сайта «sberbank.ru» может быть создан «sberbаnk.ru» с кириллической «а». Пользователь получает письмо или сообщение с такой ссылкой, переходит по ней и видит точную копию страницы входа. Вводя данные, он передаёт их мошенникам. По данным исследования «Лаборатории Касперского», в 2022 году было выявлено более 1,5 млн таких доменов, и их количество продолжает расти.

Второй сценарий — фальшивые аккаунты в мессенджерах и соцсетях. Мошенники создают профили, где в имени или никнейме используют символы, визуально похожие на настоящие. Например, вместо «СберБанк» пишут «СберБанк» с кириллической «е» и латинской «к» — разницу заметит только программа, а не глаз. Такие аккаунты рассылают сообщения с предложением «обновить данные», «получить кешбэк» или «подтвердить перевод». Жертва, думая, что общается с официальным представителем, переходит по ссылке или называет код из SMS.

Третий сценарий — подмена отправителя в email. Технология SPF/DKIM/DMARC не всегда защищает от Ф-фишинга, если мошенник использует похожий домен. Например, письмо приходит с адреса «support@yаndex.ru» (где «а» — кириллическая), а не «support@yandex.ru». Пользователь видит знакомое имя отправителя и доверяет. Особенно уязвимы корпоративные пользователи, которые могут получить письмо от «директора» с просьбой срочно перевести деньги — это разновидность бизнес-фишинга (BEC).

Какие права и инструменты защиты предоставляет закон и банки

Законодательство даёт несколько ключевых инструментов для защиты от фишинга и возврата похищенных средств. Согласно ФЗ-161 «О национальной платёжной системе», если картой расплатились без вашего согласия, вы обязаны сообщить банку не позднее следующего дня после того, как узнали об операции. При условии, что вы не передавали никому коды и данные карты, банк обязан возместить списание. Это правило работает и при Ф-фишинге, если вы не называли мошенникам CVV-код или пароль от личного кабинета. Однако если вы добровольно ввели данные на поддельном сайте, банк может отказать — тогда потребуется жалоба в ЦБ или суд.

По заявлению о спорной операции банк обязан ответить в течение 30 дней (по трансграничным переводам — 60 дней). Требуйте письменный ответ — он понадобится для жалобы в Центробанк или для обращения в полицию. Важно: не подписывайте никаких документов о согласии на списание, если вы не совершали операцию. Если мошенники оформили на ваше имя кредит, можно воспользоваться самозапретом на кредиты — он оформляется бесплатно через Госуслуги или МФЦ. После установки запрета банки и МФО не смогут выдать кредит на ваше имя. Снятие запрета вступает в силу только через 2 дня — это «период охлаждения», который защищает от мошенников, вынуждающих вас снять запрет.

Также закон ФЗ-152 «О персональных данных» обязывает операторов ПДн получать ваше согласие в письменной или электронной форме до начала обработки данных. Если вы подозреваете, что ваши данные были украдены и используются без согласия, вы имеете право потребовать их удаления. Хранение персональных данных граждан РФ должно осуществляться на серверах в России (ст. 18 ч. 5). Нарушение этих норм — повод для жалобы в Роскомнадзор.

Дебетовые карты: кешбэк сегодня

на 16 июля 2026 г.
БанкОбслуживаниеКешбэк
Промсвязьбанк Твой Кешбэк0 ₽до 25%Оформить →
ВТБДебетовая карта МИРдо 23%Оформить →
ОТП БанкДебетовая карта «ОТП карта» (выданная карта и транзакция по карте )до 20%Оформить →
Ак Барс Банк0 ₽до 20%Оформить →
БСПБ0 ₽до 15%Оформить →

Как настроить антифишинг-защиту в мобильном банке и браузере

Настройка защиты начинается с мобильного банка. Установите официальное приложение только из магазинов App Store, Google Play или RuStore — никогда не скачивайте APK-файлы из сторонних источников. В настройках приложения включите двухфакторную аутентификацию (2FA) и push-уведомления о всех операциях. Отключите функцию «быстрый платёж» без подтверждения — это снизит риск, если мошенники получат доступ к сессии. Многие банки предлагают функцию «антифишинг-код» — секретное слово или изображение, которое отображается при входе в личный кабинет. Если вы его не видите — значит, сайт поддельный.

В браузере настройте SmartScreen (в Microsoft Edge) или Безопасный просмотр (в Chrome). В Chrome перейдите в «Настройки» → «Конфиденциальность и безопасность» → «Безопасность» и выберите «Улучшенная защита» — это блокирует подозрительные сайты и проверяет ссылки в реальном времени. В Firefox включите защиту от фишинга в разделе «Приватность и защита» → «Блокировка контента». Для всех браузеров отключите автоматическое заполнение паролей на сайтах — используйте менеджер паролей, который проверяет URL перед автозаполнением. Это защитит от Ф-фишинга, так как менеджер не предложит пароль на поддельном домене.

Дополнительно установите расширения-антифишинги, такие как Bitdefender TrafficLight или Avira Browser Safety. Они проверяют ссылки и блокируют известные фишинговые домены. В мобильных браузерах (Safari, Chrome) также доступны встроенные фильтры — убедитесь, что они включены. Для корпоративных пользователей рекомендуется использовать DNS-фильтрацию (например, от Cloudflare или Яндекс.DNS), которая блокирует доступ к вредоносным доменам на уровне сети.

Пошаговый алгоритм: что делать сразу после фишинговой атаки

Шаг 1. Немедленно заблокируйте доступ. Если вы ввели данные на поддельном сайте, смените пароль от учётной записи (почта, соцсети, банк) — используйте другой компьютер или смартфон, чтобы мошенники не перехватили новый пароль. Если вы назвали код из SMS — позвоните в банк по номеру на обратной стороне карты и заблокируйте карту. Не используйте номера из подозрительного сообщения.

Шаг 2. Сообщите банку. Позвоните в банк и сообщите о несанкционированной операции. Требуйте заблокировать карту и оформить заявление о спорной операции. Согласно ФЗ-161, у вас есть один день после уведомления об операции, чтобы потребовать возмещение. Зафиксируйте дату и время звонка, имя оператора и номер обращения. Попросите письменный ответ — он понадобится для жалобы в ЦБ.

Шаг 3. Сохраните доказательства. Сделайте скриншоты подозрительного сайта, письма, сообщения и ссылки. Не закрывайте страницу — сохраните её URL. Если возможно, запишите видео перехода по ссылке. Эти материалы нужны для заявления в полицию и для банка.

Шаг 4. Подайте заявление в полицию. Обратитесь в отделение полиции по месту жительства с заявлением о мошенничестве (ст. 159 УК РФ). Приложите все доказательства. Если сумма ущерба менее 2500 рублей, заявление могут принять как административное правонарушение — настаивайте на возбуждении уголовного дела. Получите талон-уведомление.

Шаг 5. Установите самозапрет на кредиты. Если мошенники могли получить ваши паспортные данные, оформите самозапрет через Госуслуги или МФЦ. Это предотвратит оформление кредитов на ваше имя. Помните: снятие запрета занимает 2 дня — этого времени достаточно, чтобы мошенники не смогли заставить вас снять запрет.

Сроки

По заявлению о спорной операции банк обязан ответить в течение 30 дней (по трансграничным переводам — 60 дней). Требуйте письменный ответ — он понадобится для жалобы в ЦБ или для суда. ФЗ-161.

Источник: consultant.ru

Куда обращаться за помощью: контакты банка, полиции и Центробанка

Банк. Первый контакт — номер горячей линии на обратной стороне карты. Не используйте номера из подозрительных сообщений. Для Сбербанка: 900 (с мобильного) или 8-800-555-55-50. Для Т-Банка: 8-800-755-55-55. Для ВТБ: 8-800-100-24-24. Если вы потеряли доступ к мобильному банку, обратитесь в отделение лично. Требуйте письменный ответ на заявление о спорной операции в течение 30 дней (60 дней для трансграничных переводов).

Полиция. Подайте заявление в отделение по месту жительства или через сайт МВД (мвд.рф). Для онлайн-заявлений используйте сервис «Приём обращений» на сайте МВД. Укажите все обстоятельства: дату, время, сумму, способ перевода, скриншоты. Если ущерб значительный (более 2500 рублей), заявление обязаны принять. В случае отказа — жалуйтесь в прокуратуру.

Центробанк (ЦБ РФ). Подайте жалобу через интернет-приёмную на сайте cbr.ru или через мобильное приложение «ЦБ Онлайн». ЦБ рассматривает жалобы на действия банков и может обязать финансовую организацию провести расследование. Если банк отказал в возмещении, жалоба в ЦБ — следующий шаг. Также можно обратиться в Роскомнадзор по факту утечки персональных данных (заявление через сайт rkn.gov.ru).

ФССП (Федеральная служба судебных приставов). Если мошенники использовали коллекторов для давления, фиксируйте нарушения: звонки чаще 1 раза в сутки, 2 раз в неделю или 8 раз в месяц, а также звонки ночью (с 22:00 до 8:00). Жалуйтесь в ФССП через сайт fssp.gov.ru. По закону ФЗ-230 коллекторы обязаны соблюдать эти ограничения.

Как предотвратить повторные атаки и укрепить цифровую гигиену

Используйте менеджер паролей. Программы вроде Bitwarden, 1Password или Keeper автоматически проверяют URL перед автозаполнением. Если домен поддельный, менеджер не предложит пароль. Это лучшая защита от Ф-фишинга, так как даже при визуальном сходстве адреса программа распознает подмену символов. Установите уникальные пароли для каждого сервиса — это предотвратит массовую кражу данных.

Проверяйте сертификаты безопасности. Перед вводом данных на сайте нажмите на значок замка в адресной строке. Сертификат должен быть выдан на имя компании (например, «Sberbank of Russia»), а не на неизвестное лицо. Если замок отсутствует или сайт открывается по HTTP, а не HTTPS — не вводите данные. В мобильных браузерах также можно проверить сертификат через меню «Информация о сайте».

Включите двухфакторную аутентификацию (2FA). Используйте приложения-аутентификаторы (Google Authenticator, Authy, Яндекс.Ключ) вместо SMS — это защитит от перехвата кодов. Если мошенники получат ваш пароль, без второго фактора они не смогут войти в аккаунт. Для банковских приложений включите биометрическую аутентификацию (отпечаток пальца, Face ID).

Регулярно обновляйте ПО. Установите автоматические обновления для браузера, операционной системы и антивируса. Разработчики регулярно добавляют сигнатуры новых фишинговых доменов. Для Windows включите SmartScreen и Windows Defender. На мобильных устройствах обновляйте приложения банков и магазинов — старые версии могут содержать уязвимости.

Обучайте близких. Фишинг часто нацелен на пожилых родственников. Проведите с ними короткий инструктаж: не переходить по ссылкам из сообщений, не называть коды из SMS, проверять адрес сайта вручную. Установите на их устройства антифишинговые расширения и менеджер паролей. Помните: жертвой может стать каждый, и профилактика — лучшая защита.

Часто спрашивают

Сколько раз в день могут звонить коллекторы?
По закону коллекторы не вправе звонить чаще 1 раза в сутки, 2 раз в неделю и 8 раз в месяц. Также запрещены звонки ночью с 22:00 до 8:00.
Какой срок ответа банка на заявление о спорной операции?
Банк обязан ответить в течение 30 дней, а по трансграничным переводам — 60 дней. Требуйте письменный ответ, он понадобится для жалобы в ЦБ или суда.
Можно ли оформить самозапрет на кредиты бесплатно?
Да, самозапрет на кредиты оформляется бесплатно через Госуслуги или МФЦ. Снятие запрета вступает в силу только через 2 дня — это «период охлаждения» против мошенников.
Как вернуть деньги, если картой расплатились без моего согласия?
Сообщите банку не позднее следующего дня после уведомления об операции. Если вы не передавали никому коды и данные карты, банк обязан возместить списание.
Нужно ли согласие на обработку персональных данных?
Да, по ФЗ-152 оператор обязан получить согласие в письменной или электронной форме до начала обработки. Хранение ПДн граждан РФ должно осуществляться на серверах в России.

Информационный сервис. Не является финансовой рекомендацией. Окончательные условия уточняйте на сайте банка.

Материал был полезен?

Поделиться

Из словаря

Разберём термины из статьи простыми словами.