FINTAL
  • Ключевая ставка ЦБ14,25%
  • USD77.930.4%
  • EUR88.710.5%
  • CNY11.470.1%
  • GBP103.470.4%
  • CHF96.850.2%
  • JPY0.480.3%
  • TRY1.670.5%
  • AED21.220.4%
  • KZT0.160.1%
  • BYN26.830.4%
Назад
Май фишинг ворлд: что важно знать?
Личные финансы
9 мин

Май фишинг ворлд: что важно знать?

Автор: Татьяна Васильева · Обновлено

Главное

  • При краже денег с карты немедленно заблокируйте её в приложении или по горячей линии, чтобы остановить списания.
  • Банк обязан приостанавливать переводы на счета из базы мошеннических операций ЦБ на два дня, а при пропуске такого перевода — вернуть деньги за 30 дней.
  • Если картой расплатились без вашего согласия, сообщите банку не позднее следующего дня после уведомления об операции для обязательного возмещения.
  • Для возврата средств подайте заявление о несогласии с операцией в банк и заявление в полицию.
  • Банк возместит списание только если вы не передавали никому коды и данные карты.

Фишинг — одна из самых распространённых угроз в интернете, и инструменты вроде «май фишинг ворлд» делают такие атаки доступными даже новичкам. Этот инструмент позволяет быстро создавать поддельные страницы для кражи логинов, паролей и данных карт. Однако если вы стали жертвой фишинга и с карты списали деньги, действовать нужно мгновенно: заблокируйте карту в приложении или по горячей линии — это остановит дальнейшие списания. Согласно ФЗ-161, банк обязан приостановить перевод на счёт из базы мошеннических операций на два дня, а если пропустил — вернуть деньги в течение 30 дней. Если картой расплатились без вашего согласия, сообщите банку не позднее следующего дня после уведомления об операции — тогда он возместит списание, при условии что вы не передавали коды и данные карты. В этом обзоре разберём, как работает «май фишинг ворлд», как настроить атаку и какие меры защиты помогут избежать потерь.

Что такое Май фишинг ворлд: обзор возможностей

May Phishing World (также известный как «Май фишинг ворлд») — это программный инструмент, предназначенный для создания и проведения фишинговых атак в тестовых средах. Он автоматизирует процесс генерации поддельных веб-страниц, имитирующих интерфейсы банков, платёжных систем, социальных сетей и других сервисов. Основная цель инструмента — демонстрация уязвимостей в осведомлённости пользователей и проверка корпоративных политик информационной безопасности.

Функционально May World позволяет: клонировать оригинальные страницы авторизации; настраивать перенаправление жертвы после ввода данных; собирать введённые логины, пароли и одноразовые коды; вести статистику переходов и успешных «захватов» учётных записей. Инструмент поддерживает работу с протоколами HTTP/HTTPS, умеет генерировать SSL-сертификаты для придания легитимности поддельному сайту, а также интегрируется с внешними серверами для рассылки фишинговых писем.

Важно понимать: May Phishing World — это симулятор, созданный для этичного хакинга и обучения сотрудников. В умелых руках специалиста по безопасности он помогает выявить «слабые звенья» в компании. Однако в руках злоумышленника тот же инструмент превращается в средство кражи учётных данных. Законодательство РФ (ст. 272, 273, 274 УК РФ) однозначно квалифицирует несанкционированное использование таких программ как уголовное преступление.

Норма закона

Если картой расплатились без вашего согласия, сообщите банку не позднее следующего дня после уведомления об операции — тогда банк обязан возместить списание, если вы не передавали никому коды и данные карты. ФЗ-161, ст. 9.

Источник: consultant.ru

Где скачать May World и как установить

Официального репозитория или авторизованного дистрибьютора у May Phishing World нет — инструмент распространяется через форумы кибербезопасности, GitHub-зеркала (часто удаляемые после DMCA-жалоб) и закрытые сообщества пентестеров. Найти актуальную версию можно на тематических ресурсах вроде Exploit-DB, XSS.is или Ru-Board, но всегда проверяйте хеш-суммы скачанного архива, чтобы не получить троян вместо рабочего инструмента.

Установка на Linux (рекомендуется Ubuntu 22.04+/Kali Linux):

  • Распакуйте архив: unzip may_phishing_world.zip -d ~/tools/may_world
  • Перейдите в директорию: cd ~/tools/may_world
  • Запустите скрипт установки зависимостей: bash install.sh (или python3 setup.py install — зависит от версии)
На Windows установка возможна через WSL2 (Windows Subsystem for Linux) — инструмент не имеет нативной поддержки Windows, и попытки запустить его через Cygwin или MinGW приводят к ошибкам в работе с сокетами и SSL.

После установки обязательно проверьте, что инструмент не запускается автоматически. Рекомендуется запускать его только в изолированной виртуальной среде (VirtualBox, VMware) с отключённым сетевым мостом — это исключит случайное воздействие на реальную инфраструктуру.

Настройка окружения: зависимости и первый запуск

Для корректной работы May Phishing World требуется строго определённый набор зависимостей. Минимальный список включает: Python 3.8+, PHP 7.4+, MySQL/MariaDB (для хранения логов), Nginx или Apache (для отдачи поддельных страниц), OpenSSL (для генерации сертификатов), а также библиотеки requests, flask, beautifulsoup4 и selenium. Установка через пакетный менеджер: sudo apt install python3 python3-pip php mysql-server nginx openssl, затем pip3 install -r requirements.txt.

Первый запуск выполняется командой python3 main.py --setup — инструмент предложит создать базу данных, задать мастер-пароль для доступа к собранным логам и настроить SMTP-сервер для отправки писем. Обратите внимание: если вы не укажете собственный SMTP-релей, May World будет использовать встроенный локальный почтовый сервер, который большинство современных почтовиков (Gmail, Yandex, Mail.ru) заблокируют как спам.

Критически важно: перед запуском убедитесь, что порты 80 и 443 не заняты другими службами. Если на машине уже работает веб-сервер, укажите нестандартные порты через флаг --port 8080. Все логи атак по умолчанию сохраняются в директорию /var/log/may_world/ — настройте ротацию логов, чтобы диск не переполнился за час тестирования. После завершения настройки выполните python3 main.py --start — в консоли появится сообщение «May World listening on 0.0.0.0:443», что означает готовность инструмента к работе.

Актуальные ставки по дебетовым картам

на 5 июля 2026 г.
БанкПродуктСтавка
Промсвязьбанк Твой КешбэкПромсвязьбанк ДК Твой Кешбэк25%Подробнее
ВТБВТБ - Дебетовая карта МИР23%Подробнее
Ак Барс БанкАк Барс Банк - ДК Карта жителя Республики Татарстан Активация RU *20%Подробнее
АК Барс банк Карта жителя Республики ТатарстанАК Барс банк Карта жителя Республики Татарстан20%Подробнее
ВТБВТБ - Дебетовая карта Привилегия19%Подробнее

Интерфейс и основные функции инструмента

May Phishing World имеет два режима работы: консольный (CLI) и веб-интерфейс (GUI). Веб-интерфейс запускается на локальном хосте по адресу https://127.0.0.1:5000 и представляет собой дашборд с тремя основными разделами: «Campaigns» (кампании), «Templates» (шаблоны) и «Logs» (логи). Интерфейс минималистичен — никакой анимации, только таблицы, формы ввода и кнопки действий. Авторизация в веб-интерфейсе происходит по мастер-паролю, заданному при настройке.

Основные функции инструмента:

  • Cloner — автоматически скачивает HTML/CSS/JS указанного URL и создаёт локальную копию страницы. Поддерживает подмену action-атрибутов форм на собственный обработчик.
  • Phishlet Editor — позволяет вручную править клонированную страницу: менять текст, изображения, ссылки. Работает как простой текстовый редактор с подсветкой синтаксиса.
  • Mailer — модуль рассылки фишинговых писем. Поддерживает вставку персонализированных переменных (имя, должность, компания) из CSV-файла.
  • Redirect Manager — настройка цепочки перенаправлений после ввода данных: на оригинальный сайт (жертва не замечает подмены), на страницу ошибки, на скачивание вредоносного файла.

В консольном режиме доступны те же функции, но через аргументы командной строки. Например, python3 main.py --clone https://bank.ru/login запустит клонирование страницы логина банка. Для продвинутых пользователей доступен API на порту 8080, позволяющий интегрировать May World с другими инструментами пентеста (Metasploit, Bettercap).

Создание фишинг-кампании: выбор шаблона и настройка

Создание кампании начинается с выбора шаблона. May World поставляется с библиотекой из 50+ предустановленных шаблонов для российских банков (Сбер, ВТБ, Т-Банк), платёжных систем (ЮMoney, Qiwi), соцсетей (VK, Telegram Web) и почтовых сервисов (Яндекс.Почта, Mail.ru). Шаблоны хранятся в каталоге /templates/ в формате ZIP-архива, содержащего HTML, CSS, JS и конфигурационный файл config.json с описанием полей для сбора.

Настройка кампании включает:

  • Выбор целевого домена — например, sberbank-online.xyz. Инструмент автоматически сгенерирует Let's Encrypt-сертификат через DNS-01 challenge (требуется доступ к управлению DNS). Если сертификат не нужен, используйте флаг --no-ssl.
  • Настройка страницы сбора — какие поля выводить: «Логин», «Пароль», «Код из SMS», «CVV». Для каждого поля можно задать маску ввода и регулярное выражение для валидации.
  • Настройка редиректа — после ввода данных жертву можно перенаправить на реальный сайт банка (чтобы не вызвать подозрений) или на страницу «Технические работы».
  • Загрузка базы целей — CSV-файл с колонками email, имя, компания. Инструмент подставит эти данные в письмо через шаблонизатор Jinja2.

После настройки нажмите «Deploy Campaign» — инструмент создаст виртуальный хост на Nginx, применит шаблон, запустит сборщик логов и сгенерирует письмо для рассылки. Все собранные данные (учётные записи, IP-адреса, User-Agent, временные метки) сохраняются в базе данных MySQL и доступны в разделе «Logs».

Важно знать

При краже денег с карты: сразу заблокируйте карту в приложении или по горячей линии, подайте заявление о несогласии с операцией в банк и заявление в полицию. Блокировка останавливает дальнейшие списания.

Источник: consultant.ru

Запуск атаки и анализ полученных данных

Запуск атаки в May World осуществляется командой python3 main.py --attack --campaign campaign_name или через веб-интерфейс кнопкой «Start Campaign». Инструмент активирует все настроенные компоненты: веб-сервер начинает отдавать поддельную страницу, SMTP-модуль отправляет письма целям, а модуль сбора логов фиксирует каждое действие жертвы. В реальном времени на дашборде отображается количество переходов по ссылке, количество заполненных форм и количество успешных редиректов.

Анализ собранных данных — ключевой этап для пентестера. В разделе «Logs» доступны:

  • Таблица захваченных учётных данных — логин, пароль, одноразовый код (если был введён), IP-адрес жертвы, страна, браузер, время ввода.
  • График конверсии — сколько целей открыло письмо, перешло по ссылке, ввело данные. Типичная конверсия для хорошо сделанной кампании — 30-40%.
  • Экспорт в CSV/PDF — для отчёта заказчику. В отчёт автоматически добавляются рекомендации по усилению защиты (внедрение 2FA, обучение сотрудников, фильтрация писем).

Важно: после завершения тестирования немедленно удалите все созданные виртуальные хосты и домены. Оставленный без присмотра фишинговый сайт может быть обнаружен и использован злоумышленниками. Используйте команду python3 main.py --cleanup — она удалит конфиги Nginx, сертификаты и базу данных с логами. Никогда не храните логи реальных пентестов дольше срока, указанного в договоре с заказчиком.

Легальные рамки и защита от несанкционированного использования

Использование May Phishing World без письменного согласия владельца атакуемой системы является уголовно наказуемым деянием. Согласно ст. 272 УК РФ («Неправомерный доступ к компьютерной информации») и ст. 273 УК РФ («Создание, использование и распространение вредоносных программ»), максимальное наказание составляет до 7 лет лишения свободы. Даже если вы не нанесли реального ущерба, сам факт запуска фишингового сервера на чужом домене или IP-адресе может быть квалифицирован как преступление.

Если вы стали жертвой фишинга — действуйте немедленно. При краже денег с карты: сразу заблокируйте карту в приложении или по горячей линии банка, подайте заявление о несогласии с операцией в банк и заявление в полицию. Блокировка останавливает дальнейшие списания. Согласно ФЗ-161 (ред. 369-ФЗ, с 25.07.2024), банк обязан на два дня приостанавливать переводы на счета из базы мошеннических операций ЦБ РФ. Если банк пропустил перевод на счёт из этой базы, он обязан вернуть клиенту деньги в течение 30 дней.

Если картой расплатились без вашего согласия, сообщите банку не позднее следующего дня после уведомления об операции — тогда банк обязан возместить списание, при условии что вы не передавали никому коды и данные карты (ст. 9 ФЗ-161). Никогда не называйте коды из SMS, CVV и PIN-коды — даже если звонящий представляется сотрудником банка. Положите трубку и перезвоните по официальному номеру банка.

Часто спрашивают

Сколько времени есть, чтобы сообщить банку о краже денег с карты?
Сообщить банку о несанкционированной операции нужно не позднее следующего дня после того, как вы узнали о списании. Если вы не передавали никому коды и данные карты, банк обязан возместить вам деньги.
Какой срок у банка на возврат денег, если перевод прошёл на мошеннический счёт из базы ЦБ?
Если банк пропустил перевод на счёт из базы мошеннических операций ЦБ РФ, он обязан вернуть вам деньги в течение 30 дней. Это правило установлено законом ФЗ-161 (ред. 369-ФЗ, с 25.07.2024).
Можно ли сразу заблокировать карту при подозрении на мошенничество?
Да, при краже денег с карты нужно немедленно заблокировать её в приложении или по горячей линии банка. Блокировка остановит дальнейшие списания с вашего счёта.
Как вернуть деньги, если мошенники украли их с карты?
Сразу заблокируйте карту, подайте заявление о несогласии с операцией в банк и заявление в полицию. Если вы сообщите банку не позднее следующего дня после уведомления об операции, банк обязан возместить списание при условии, что вы не передавали никому коды и данные карты.
Нужно ли подавать заявление в полицию при краже денег с карты?
Да, помимо блокировки карты и обращения в банк, необходимо подать заявление в полицию. Это поможет в расследовании и повысит шансы на возврат средств.

Информационный сервис. Не является финансовой рекомендацией. Окончательные условия уточняйте на сайте банка.