
Фишинг на русском: выбор за 5 минут
Автор: Виктор Тарасов · Обновлено
Главное
- Банк обязан ответить на заявление о спорной операции в течение 30 дней (60 дней для трансграничных переводов), требуйте письменный ответ для жалобы в ЦБ или суда.
- Коллекторам запрещено звонить чаще 1 раза в сутки, 2 раз в неделю и 8 раз в месяц, а также беспокоить ночью с 22:00 до 8:00 — фиксируйте нарушения и жалуйтесь в ФССП.
- По потребительским кредитам от 50 до 200 тысяч рублей действует «период охлаждения» в 4 часа, а свыше 200 тысяч — 48 часов, что помогает распознать давление мошенников.
Каждый день сотни россиян теряют деньги из-за рус фишинга — мошеннических атак, где злоумышленники подделывают сайты Сбербанка, Госуслуг или Ozon. Выглядит всё убедительно: логотипы, формы входа, даже SMS-уведомления. Но цель одна — украсть ваши логины, пароли и данные карт. Как распознать подделку за 10 секунд? И что делать, если уже ввели данные? Разберём главные признаки фишинговых сайтов, схемы с подменой номеров и алгоритм действий при утечке. Вы узнаете, как закон защищает вас: банк обязан ответить на спорную операцию за 30 дней (ФЗ-161), а коллекторам запрещено звонить ночью (ФЗ-230). И главное — «период охлаждения» по кредитам даёт вам 4–48 часов, чтобы одуматься и не отдать деньги мошенникам.
Что такое рус фишинг и в чём его особенность
Рус фишинг — это категория фишинговых атак, нацеленных исключительно на русскоязычных пользователей. В отличие от массовых международных рассылок на английском, злоумышленники используют локальные бренды, платёжные системы и социальные инженерные приёмы, адаптированные под менталитет и привычки жителей РФ. Главная особенность — высокая степень персонализации: мошенники оперируют данными из утечек баз российских сервисов, знают структуру госуслуг и банковских интерфейсов, а также активно эксплуатируют доверие к «официальным» каналам связи.
Русский фишинг не ограничивается подделкой страниц входа в «Сбербанк Онлайн» или «Госуслуги». В арсенале — клоны сайтов маркетплейсов, операторов связи, налоговой службы и даже страниц оплаты штрафов ГИБДД. Отличие от западных схем — в способах доставки: чаще используются мессенджеры (Telegram, WhatsApp), звонки через VoIP и рассылки в соцсетях, а не только email. Кроме того, фишеры активно применяют SEO-отравление, продвигая поддельные сайты в выдаче Яндекса по запросам вроде «скачать квитанцию ЖКХ» или «проверить задолженность по ИНН».
Ещё одна характерная черта — использование психологического давления через срочность и угрозы. Например, сообщение о блокировке карты с требованием немедленно перейти по ссылке, или уведомление о выигрыше в лотерею с просьбой оплатить «комиссию за перевод». Жертву торопят, лишая времени на проверку. Понимание этих особенностей — первый шаг к защите: если вас просят действовать быстро и ввести конфиденциальные данные, почти наверняка это фишинг.
Сроки
По заявлению о спорной операции банк обязан ответить в течение 30 дней (по трансграничным переводам — 60 дней). Требуйте письменный ответ — он понадобится для жалобы в ЦБ или для суда. ФЗ-161.
Источник: consultant.ru
Самые популярные фишинговые схемы в рунете
Лидером по числу атак остаётся подделка страниц авторизации банков. Пользователю приходит SMS или сообщение в мессенджере якобы от службы безопасности банка с предупреждением о подозрительном входе в личный кабинет. Ссылка ведёт на сайт-клон, где жертва вводит логин, пароль и код из SMS. Получив доступ, мошенники мгновенно переводят деньги на подконтрольные счета или оформляют кредит. По данным Центробанка, именно такие схемы составляют основную массу жалоб.
Вторая по распространённости схема — фишинг под «Госуслуги». Злоумышленники рассылают уведомления о необходимости подтвердить учётную запись из-за «технического сбоя» или о задолженности, которую нужно срочно оплатить. Перейдя по ссылке и введя данные, жертва передаёт мошенникам доступ к порталу, через который можно получить кредиты, переоформить недвижимость или украсть цифровую подпись. Ущерб от таких атак исчисляется миллионами рублей.
Также популярны фейковые розыгрыши и лотереи от имени крупных ритейлеров (Wildberries, Ozon, «Пятёрочка»). Пользователю обещают крупный приз за прохождение опроса, но для получения выигрыша просят оплатить «комиссию за перевод» или ввести данные карты якобы для зачисления бонусов. Отдельно стоят схемы с поддельными объявлениями на Avito и «Юле»: продавец просит перейти по ссылке для оплаты безопасной сделкой, а ссылка ведёт на фишинговую страницу, где похищают данные карты покупателя.
Как отличить фишинговый сайт от настоящего
Первый и самый надёжный признак — адресная строка. Настоящий сайт банка или госуслуг использует домен первого уровня (например, sberbank.ru, gosuslugi.ru). Фишеры часто заменяют буквы на похожие визуально: латинскую «o» на кириллическую «о», «a» на «а» или используют поддомены вроде sberbank-online.ru или gosuslugi-verify.ru. Всегда проверяйте, нет ли лишних дефисов, цифр или необычных символов. Также обращайте внимание на протокол: HTTPS с замком обязателен, но его наличие не гарантирует безопасность — мошенники тоже ставят SSL-сертификаты.
Второй маркер — качество вёрстки и контент. Фишинговые страницы часто выглядят неаккуратно: размытые логотипы, съехавшие блоки, грамматические ошибки в тексте, неработающие ссылки на другие разделы. Настоящие сайты проходят многоуровневую проверку, поэтому даже мелкие опечатки — повод насторожиться. Кроме того, фишеры редко дублируют полный функционал: например, на поддельном сайте «Госуслуг» может не работать поиск или раздел «Помощь».
Третий признак — поведение сайта при вводе данных. Если после ввода логина и пароля вас просят ввести SMS-код, а затем — ещё и CVV-код карты или ПИН-код, это стопроцентный фишинг. Настоящий банк никогда не запрашивает ПИН-код или полный номер карты на странице входа. Также насторожитесь, если сайт требует установить какое-либо приложение или расширение для браузера — это может быть вредоносное ПО. Лучшая защита — вручную вводить адрес сайта в строку браузера, а не переходить по ссылкам из писем и сообщений.
Норма закона
Коллекторы по закону не вправе звонить чаще 1 раза в сутки, 2 раз в неделю и 8 раз в месяц, а также беспокоить ночью с 22:00 до 8:00. Нарушения фиксируйте и жалуйтесь в ФССП. ФЗ-230.
Источник: consultant.ru
Пошаговая инструкция: что делать, если вы уже перешли по ссылке
Шаг 1. Не паникуйте и прекратите любые действия на подозрительном сайте. Если вы ввели данные, но ещё не подтвердили операцию кодом из SMS — немедленно закройте страницу. Если код уже введён — переходите к шагу 2.
Шаг 2. Смените пароли. Зайдите на настоящий сайт банка или сервиса (через официальное приложение или вручную набранный адрес) и смените пароль. Используйте сложную комбинацию, которой нет на других сайтах. Если доступ к аккаунту уже заблокирован мошенниками — немедленно звоните в банк или техподдержку сервиса по номеру с обратной стороны карты или из официального приложения. Не используйте номера с подозрительного сайта.
Шаг 3. Заблокируйте карту. Если вы вводили данные банковской карты (номер, срок, CVV), немедленно заблокируйте её через мобильное приложение или позвонив в банк. После блокировки закажите перевыпуск — новая карта будет с другими реквизитами. Даже если деньги ещё не списаны, мошенники могут сохранить данные и использовать их позже.
Шаг 4. Подайте заявление о спорной операции. Если мошенники уже списали деньги, напишите заявление в банк об оспаривании операции. По закону (ФЗ-161) банк обязан рассмотреть заявление в течение 30 дней (60 — для трансграничных переводов). Требуйте письменный ответ — он понадобится для жалобы в ЦБ или для суда. Шанс вернуть деньги есть, если вы не нарушали правила безопасности (например, не сообщали ПИН-код и не передавали карту третьим лицам).
Шаг 5. Обратитесь в полицию. Напишите заявление в отделении МВД по факту мошенничества (ст. 159 УК РФ). Приложите все скриншоты, переписку и выписки по карте. Даже если ущерб небольшой, ваше заявление поможет сформировать статистику и, возможно, найти преступников по цепочке.
Куда и как сообщить о фишинге в России
Первый адрес — Центральный банк РФ. На сайте ЦБ есть форма для приёма жалоб на действия финансовых организаций и мошеннические сайты. Также работает интернет-приёмная Банка России, куда можно направить обращение с описанием схемы и ссылкой на фишинговый ресурс. ЦБ аккумулирует такие данные и передаёт их в правоохранительные органы, а также может инициировать блокировку сайта по решению суда.
Второй канал — МВД России. Заявление о мошенничестве подаётся в территориальный отдел полиции по месту жительства. Если вы не знаете, куда именно обращаться, можно подать электронное заявление через официальный сайт МВД (мвд.рф) в разделе «Приём обращений». Укажите все известные данные: адрес фишингового сайта, номер телефона мошенников, реквизиты счёта, куда ушли деньги. К заявлению приложите скриншоты и выписки из банка.
Третий — Роскомнадзор. Ведомство ведёт реестр запрещённых сайтов. Сообщить о фишинговом ресурсе можно через форму на сайте rkn.gov.ru или через «Единый реестр запрещённой информации». После проверки Роскомнадзор направляет провайдерам хостинга требование заблокировать доступ к сайту. Это не вернёт деньги, но предотвратит новые жертвы.
Дополнительно можно сообщить о фишинге в техническую поддержку Яндекса и Google — они удаляют поддельные страницы из поисковой выдачи. Для Яндекса есть форма «Сообщить о мошенничестве» в разделе «Вебмастер», для Google — специальная страница Safe Browsing. Чем быстрее вы сообщите, тем меньше людей перейдёт по опасной ссылке.
Простые привычки, которые защитят от фишинга
Привычка 1: Никогда не переходите по ссылкам из неожиданных сообщений. Если вам пришло письмо от банка с требованием срочно подтвердить данные, не кликайте на ссылку. Откройте браузер и вручную введите адрес сайта банка или воспользуйтесь официальным приложением. Любой настоящий банк никогда не попросит вас перейти по ссылке для решения проблемы — все уведомления дублируются в личном кабинете.
Привычка 2: Используйте двухфакторную аутентификацию (2FA) везде, где это возможно. Даже если мошенники узнают ваш пароль, без второго фактора (кода из SMS или push-уведомления) они не смогут войти в аккаунт. Для «Госуслуг» и банков 2FA обязателен, но включите его и для почты, соцсетей, мессенджеров. Используйте приложения-аутентификаторы (например, Google Authenticator) вместо SMS — это безопаснее.
Привычка 3: Регулярно проверяйте, не было ли утечки ваших данных. Сервисы вроде «Яндекс.Утечки» или Have I Been Pwned позволяют проверить, не попал ли ваш email или номер телефона в базы, которые продаются в даркнете. Если обнаружили утечку — немедленно смените пароль на всех сайтах, где использовали этот email. Также полезно настроить оповещения о входе в аккаунт с нового устройства.
Привычка 4: Не сохраняйте пароли в браузере. Менеджеры паролей (встроенные или сторонние) удобны, но если злоумышленник получит доступ к вашему компьютеру через вредоносное ПО, он вытащит все сохранённые пароли. Используйте отдельный менеджер паролей с мастер-паролем (например, KeePass, Bitwarden) и не синхронизируйте его с облаком без шифрования.
Привычка 5: Будьте осторожны с QR-кодами. Мошенники всё чаще наклеивают свои QR-коды поверх настоящих на платёжных терминалах, в кафе или на парковках. Отсканировав такой код, вы можете перейти на фишинговый сайт. Перед оплатой проверяйте, не наклеен ли QR-код поверх оригинального, и используйте только официальные приложения для сканирования.
Дебетовые карты: кешбэк сегодня
на 8 июля 2026 г.| Банк | Обслуживание | Кешбэк | |
|---|---|---|---|
| Промсвязьбанк Твой Кешбэк | 0 ₽ | до 25% | Оформить → |
| ВТБ | Дебетовая карта МИР | до 23% | Оформить → |
| Ак Барс Банк | 0 ₽ | до 20% | Оформить → |
| Россельхозбанк | дебетовая карта UnionPay | до 15% | Оформить → |
| БСПБ | 0 ₽ | до 15% | Оформить → |
Какая ответственность грозит фишерам по законам РФ
Фишинг в России квалифицируется как мошенничество (ст. 159 УК РФ) или неправомерный доступ к компьютерной информации (ст. 272 УК РФ), в зависимости от способа совершения. Если фишеры использовали поддельные сайты для кражи логинов и паролей, это подпадает под ст. 272 — наказание до 4 лет лишения свободы. Если же они непосредственно похитили деньги с карты или со счёта, то применяется ст. 159 — до 10 лет лишения свободы, если ущерб признан особо крупным (более 1 млн рублей).
На практике фишеров редко привлекают к уголовной ответственности, если ущерб невелик (до 2500 рублей — административное правонарушение). Однако при систематической деятельности или крупных суммах возбуждаются уголовные дела. В 2023 году МВД отчиталось о раскрытии нескольких организованных групп, специализировавшихся на фишинге под «Госуслуги» и банки. Злоумышленникам грозят реальные сроки, конфискация оборудования и обязанность возместить ущерб потерпевшим.
Кроме уголовной, существует административная ответственность. За создание и распространение фишинговых сайтов могут оштрафовать на сумму до 500 тысяч рублей (ст. 13.11 КоАП РФ — нарушение законодательства о персональных данных). Также фишеров могут привлечь за незаконный оборот средств платежей (ст. 187 УК РФ) — до 7 лет лишения свободы. Важно понимать: даже если вас обманули на небольшую сумму, вы имеете право подать заявление в полицию — это поможет создать прецедент и, возможно, предотвратить новые преступления.
Краткий алгоритм действий при встрече с русским фишингом
1. Не переходите по ссылке. Если сообщение кажется подозрительным — не кликайте. Лучше проверить информацию через официальный канал (сайт, приложение, звонок в банк по номеру с карты).
2. Если перешли — не вводите данные. Закройте страницу. Если данные уже введены, немедленно смените пароль на настоящем сайте и заблокируйте карту, если вводили её реквизиты.
3. Зафиксируйте улики. Сделайте скриншоты страницы, сохраните URL, запишите номер телефона или адрес электронной почты отправителя. Это пригодится для заявления.
4. Сообщите о фишинге. Направьте жалобу в ЦБ, Роскомнадзор, МВД и техподдержку поисковиков. Чем больше людей сообщит, тем быстрее заблокируют сайт.
5. Обратитесь в банк. Если пострадали финансы — подайте заявление о спорной операции. Требуйте письменный ответ в течение 30 дней (60 — для трансграничных переводов).
6. Напишите заявление в полицию. Даже при небольшом ущербе это важно для статистики и возможного раскрытия преступления. Приложите все собранные доказательства.
7. Расскажите другим. Предупредите родных и коллег о схеме — это снизит риск, что они попадутся на ту же удочку. Фишинг — социальная атака, и лучшая защита — информированность.
Часто спрашивают
- Сколько времени есть у банка на ответ по спорной операции?
- Банк обязан ответить в течение 30 дней, а по трансграничным переводам — 60 дней. Требуйте письменный ответ, он понадобится для жалобы в ЦБ или для суда.
- Как часто коллекторы могут звонить по закону?
- Коллекторы не вправе звонить чаще 1 раза в сутки, 2 раз в неделю и 8 раз в месяц. Также запрещены звонки ночью с 22:00 до 8:00.
- Можно ли вернуть кредит, если понял, что это мошенники?
- Да, закон предусматривает «период охлаждения»: при сумме от 50 до 200 тысяч ₽ деньги выдаются не раньше чем через 4 часа, а свыше 200 тысяч — через 48 часов. Эта пауза даёт время распознать давление мошенников.
- Какой закон защищает от фишинга и мошеннических кредитов?
- Основные законы — ФЗ-161 о банковских операциях и ФЗ-230 о коллекторах. Они регулируют сроки ответа банка, периоды охлаждения по кредитам и ограничения для коллекторов.
- Нужно ли фиксировать нарушения коллекторов для жалобы?
- Да, нарушения фиксируйте и жалуйтесь в ФССП. Например, если коллекторы звонят чаще разрешённого или ночью, это прямое нарушение ФЗ-230.
Информационный сервис. Не является финансовой рекомендацией. Окончательные условия уточняйте на сайте банка.