• Ключевая ставка ЦБ14,25%
  • USD78.320.5%
  • EUR89.330.5%
  • CNY11.51
  • GBP105.561.0%
  • CHF97.050.9%
  • JPY0.480.5%
  • TRY1.670.5%
  • AED21.330.5%
  • KZT0.170.2%
  • BYN27.150.5%
Назад
Основные виды фишинга: выбор за 5 минут
Личные финансы
11 мин

Основные виды фишинга: выбор за 5 минут

Автор: Маргарита Ушакова · Обновлено

Главное

  • Код из SMS — аналог вашей подписи: назвав его постороннему, вы сами подтверждаете операцию, и банк вправе не возмещать похищенное.
  • Настоящие сотрудники банка никогда не спрашивают коды из SMS — это признак фишинга.
  • «Период охлаждения» по потребительским кредитам: деньги от 50 до 200 тысяч ₽ банк выдаёт не раньше чем через 4 часа после одобрения, свыше 200 тысяч — через 48 часов, что даёт время распознать давление мошенников.
  • Коллекторы по закону не вправе звонить чаще 1 раза в сутки, 2 раз в неделю и 8 раз в месяц, а также беспокоить ночью с 22:00 до 8:00 — нарушения фиксируйте и жалуйтесь в ФССП.

Фишинг — одна из самых распространённых схем кибермошенничества: злоумышленники маскируются под банки, госорганы или сервисы, чтобы выманить ваши данные и деньги. Знать основные виды фишинга необходимо каждому, кто пользуется интернетом и телефоном. Например, если «сотрудник банка» просит назвать код из SMS — это стоп-сигнал: код — аналог вашей подписи, и его передача лишает вас права на возврат средств. Или если вам предлагают «срочный кредит» без ожидания — по закону на суммы от 50 000 ₽ действует период охлаждения от 4 до 48 часов, чтобы вы могли одуматься. Разобравшись в видах фишинга, вы научитесь отличать реальные угрозы от ложных и защитите свои финансы.

Как классифицируют фишинг: основные каналы и цели атак

Фишинг — это не единая схема, а целое семейство атак, объединённых общей целью: получить ваши конфиденциальные данные (логины, пароли, коды из SMS, данные карты) или заставить перевести деньги. Классификация строится по двум главным признакам: каналу доставки атаки и степени её персонализации.

По каналу выделяют: электронную почту (email-фишинг), SMS и мессенджеры (смишинг), телефонные звонки (вишинг), поддельные сайты и приложения (веб-фишинг), а также атаки через социальные сети. По цели — массовый фишинг (одно письмо на миллион адресов, расчёт на случайную жертву) и целевой (spear phishing), когда мошенники заранее собирают информацию о конкретном человеке или компании. Самый опасный подвид целевого фишинга — уэйлинг (whaling): атака на топ-менеджеров и лиц, имеющих доступ к крупным суммам или корпоративным счетам.

Независимо от вида, ключевой элемент — создание срочности или страха: «ваш счёт заблокирован», «вы выиграли приз, но нужно заплатить налог», «родственник попал в беду». По данным Центробанка, именно фишинг остаётся основным инструментом социальной инженерии. Понимание классификации помогает быстрее распознать угрозу: если вы видите письмо с требованием срочно перейти по ссылке — перед вами почти наверняка фишинг, независимо от того, от имени банка, госоргана или знакомого оно пришло.

Норма закона

«Период охлаждения» по потребительским кредитам: деньги от 50 до 200 тысяч ₽ банк выдаёт не раньше чем через 4 часа после одобрения, свыше 200 тысяч — через 48 часов. Пауза даёт время распознать давление мошенников.

Источник: consultant.ru

Фишинг по электронной почте: массовые рассылки и поддельные письма

Email-фишинг — старейший и самый распространённый вид. Мошенники рассылают миллионы писем от имени известных брендов: банков, маркетплейсов, налоговой службы, операторов связи. В письме — логотипы, вёрстка, похожая на официальную, и призыв к действию: «подтвердите данные», «оплатите задолженность», «получите кешбэк». Ссылка ведёт на поддельную страницу, где жертва вводит логин, пароль или данные карты.

Массовая рассылка не требует подготовки: адреса собирают из утечек баз данных или просто перебирают. Поэтому такие письма часто содержат ошибки в обращении («Уважаемый клиент!» вместо имени), грамматические опечатки и странный адрес отправителя (например, support@bank-secure-login.ru вместо bank.ru). Однако современные фишеры используют автоматические переводчики и копируют дизайн оригинальных писем — отличить подделку становится сложнее.

Особая опасность — письма с вложениями. Документ PDF или архив .zip может содержать макрос или скрипт, который после открытия устанавливает на компьютер программу-шпион (кейлоггер) или даёт удалённый доступ к системе. Если вы не ждали письмо от конкретного отправителя с вложением — не открывайте его. Лучше перепроверить через официальный канал: позвонить в банк или зайти в личный кабинет напрямую, а не по ссылке из письма.

Целевой фишинг и уэйлинг: атаки на конкретных людей и руководителей

Spear phishing (целевой фишинг) — это атака, подготовленная под конкретную жертву. Мошенники собирают информацию из открытых источников: соцсети, профессиональные форумы, новости о компании. Они знают ваше имя, должность, круг общения, а иногда и текущие проекты. Письмо приходит от имени коллеги, партнёра или начальника — с просьбой перевести деньги, открыть вложение или сообщить пароль.

Уэйлинг (whaling) — атака на «китов»: генеральных директоров, финансовых директоров, владельцев бизнеса. Цель — получить доступ к корпоративным счетам или конфиденциальной информации. Письмо может выглядеть как судебный иск, предписание налоговой или срочный запрос от совета директоров. Поскольку руководители часто имеют право на единичные переводы без дополнительных согласований, ущерб от уэйлинга может достигать миллионов рублей.

Распознать целевую атаку сложнее: в письме нет массовых ошибок, обращение персональное, тема актуальна. Единственный надёжный способ — проверка через второй канал. Если «директор» просит срочно перевести деньги в WhatsApp, позвоните ему по телефону, который вы знаете, а не тот, что указан в сообщении. Ни один руководитель не будет требовать секретных данных через мессенджер. В компаниях стоит внедрить правило двойного подтверждения для всех финансовых операций — это блокирует большинство уэйлинг-атак.

Смишинг и вишинг: мошенничество через СМС и телефонные звонки

Смишинг (SMS + phishing) — фишинг через текстовые сообщения. Вы получаете СМС якобы от банка: «Ваша карта заблокирована, позвоните по номеру…» или «Начислен кешбэк, перейдите по ссылке». Номер отправителя может быть подменён — он выглядит как официальный короткий номер банка. Ссылка ведёт на поддельный сайт, где у вас попросят данные карты и код из СМС. Назвав код, вы сами подтверждаете списание денег, и банк вправе не возмещать похищенное — это ваш аналог подписи, как указано в законодательстве.

Вишинг (voice + phishing) — телефонное мошенничество. Злоумышленник звонит и представляется сотрудником банка, полиции или Центробанка. Голос может быть записан заранее или синтезирован. Типичные сценарии: «на вас пытаются оформить кредит, срочно переведите деньги на безопасный счёт», «ваш родственник попал в аварию, нужны деньги на операцию». Давление на страх и срочность — главный инструмент.

Запомните: настоящий сотрудник банка никогда не попросит код из СМС, данные карты или пароль от личного кабинета. Если звонящий требует назвать эти данные — положите трубку. Вы имеете право перезвонить в банк по официальному номеру на обороте карты. Коллекторы, кстати, тоже ограничены законом: не более 1 звонка в сутки, 2 в неделю и 8 в месяц, запрещены звонки ночью (с 22:00 до 8:00). Любое нарушение — повод жаловаться в ФССП.

Норма закона

Коллекторы по закону не вправе звонить чаще 1 раза в сутки, 2 раз в неделю и 8 раз в месяц, а также беспокоить ночью с 22:00 до 8:00. Нарушения фиксируйте и жалуйтесь в ФССП. ФЗ-230.

Источник: consultant.ru

Фишинг в социальных сетях и мессенджерах: клоны аккаунтов и фейковые розыгрыши

Социальные сети и мессенджеры (Telegram, WhatsApp, Viber) стали идеальной средой для фишинга. Мошенники создают клоны аккаунтов ваших друзей или коллег: копируют фото, имя, список контактов. Затем с фейкового аккаунта пишут: «Привет, срочно займи 10 тысяч до завтра», «Проголосуй за моего племянника в конкурсе — перейди по ссылке». Ссылка ведёт на фишинговую страницу, где нужно ввести номер телефона и пароль от соцсети.

Фейковые розыгрыши — ещё один популярный приём. Вам приходит сообщение: «Вы выиграли iPhone! Для получения приза оплатите доставку — 500 рублей». После оплаты мошенники исчезают, а ваши данные карты оказываются скомпрометированы. Официальные розыгрыши никогда не требуют предоплаты. Если в сообщении есть ссылка на сайт, проверьте домен — он может отличаться на одну букву от настоящего (например, vk-prise.ru вместо vk.com).

Особая угроза — взлом аккаунта и рассылка фишинговых сообщений всем контактам от вашего имени. Чтобы этого избежать, включите двухфакторную аутентификацию во всех соцсетях и мессенджерах. Если друг просит деньги или код в личном сообщении — перезвоните ему. Взломанный аккаунт часто выдают странные фразы, грамматические ошибки и просьбы, нехарактерные для этого человека.

Фишинг через поддельные сайты и программы: кейлоггеры и клонирование страниц

Веб-фишинг — создание точной копии сайта банка, маркетплейса или госуслуг. Домен может отличаться на один символ (например, gosuslugi.ru и gosuslugi-info.ru). Жертва переходит по ссылке из письма или рекламы, видит знакомый интерфейс и вводит логин, пароль, данные карты. Вся информация уходит мошенникам, а пользователя перенаправляют на настоящий сайт — он даже не замечает подмены.

Кейлоггеры — программы, которые записывают каждое нажатие клавиш на компьютере или смартфоне. Они могут попасть на устройство через вложение в письме, взломанное приложение или фальшивое обновление. После установки кейлоггер передаёт злоумышленникам все пароли, номера карт и коды из SMS, которые вы вводите. Некоторые кейлоггеры умеют делать скриншоты экрана и перехватывать данные из буфера обмена.

Защита от веб-фишинга и кейлоггеров требует многослойного подхода. Используйте антивирус с модулем веб-защиты (он проверяет сайты на лету). В браузере включите фильтр SmartScreen (в Windows) или встроенную защиту от фишинга (Chrome, Firefox). Никогда не вводите данные карты или пароли на сайтах, которые открылись по ссылке из письма или рекламы — всегда набирайте адрес вручную или используйте закладки. Для банковских операций установите отдельное приложение банка, а не переходите по ссылкам.

Тревожные сигналы: как распознать фишинг любого вида

Независимо от канала атаки, существует набор универсальных признаков, которые выдают фишинг. Первый — требование срочных действий: «переведите деньги в течение часа, иначе счёт заблокируют», «только сегодня вы можете получить приз». Мошенники давят на страх и жадность, чтобы вы не успели подумать и проверить информацию.

Второй сигнал — запрос конфиденциальных данных. Ни один банк, госорган или маркетплейс не попросит вас назвать код из SMS, CVV-код карты или пароль от личного кабинета. Если собеседник (в письме, по телефону, в мессенджере) просит эти данные — это 100% мошенничество. Третий признак — несоответствие адреса отправителя или сайта. Проверьте домен: официальные сайты банков используют простые адреса без лишних слов и дефисов. Адрес отправителя письма часто содержит опечатки или странные символы.

Четвёртый — грамматические ошибки и неестественный язык. Официальные письма проходят корректуру, а фишинговые часто содержат ошибки в падежах, пропущенные буквы или странные обороты. Пятый — неожиданное вложение. Если вы не ждали документ от отправителя, не открывайте его. Шестой — угрозы и запугивание: «ваши данные будут переданы в коллекторское агентство», «заблокируем все счета». Помните: настоящие госорганы и банки уведомляют о проблемах официальными письмами с уведомлением, а не через SMS или звонки.

Дебетовые карты: кешбэк сегодня

на 17 июля 2026 г.
БанкОбслуживаниеКешбэк
Промсвязьбанк Твой Кешбэк0 ₽до 25%Оформить →
ВТБДебетовая карта МИРдо 23%Оформить →
ОТП БанкДебетовая карта «ОТП карта» (выданная карта и транзакция по карте )до 20%Оформить →
АК Барс банк0 ₽до 20%Оформить →
Россельхозбанкдебетовая карта UnionPayдо 15%Оформить →

Если вы стали жертвой: чек-лист неотложных мер для разных видов фишинга

Если вы перешли по ссылке и ввели данные карты: Немедленно заблокируйте карту через мобильное приложение банка или позвоните на горячую линию. Затем напишите заявление в банк о несанкционированном списании — у вас есть право оспорить операцию в течение 30 дней. Если вы назвали код из SMS, банк может отказать в возмещении, но попробовать стоит. Обратитесь в полицию с заявлением о мошенничестве.

Если вы перевели деньги добровольно (по просьбе мошенника): Немедленно звоните в банк — иногда перевод можно отменить в течение нескольких минут, пока он ещё не исполнен. Если деньги ушли, подайте заявление в банк и в полицию. Шансы вернуть средства невелики, особенно если вы сами подтвердили перевод кодом из SMS, но без заявления вы их точно не вернёте.

Если вы установили программу-шпион (кейлоггер) или открыли подозрительное вложение: Отключите компьютер от интернета, чтобы злоумышленники не могли удалённо управлять им. Запустите полную проверку антивирусом. Если антивирус не находит угрозу, обратитесь к специалисту. Смените все пароли (почта, соцсети, банки) с другого устройства. Включите двухфакторную аутентификацию везде, где возможно.

Если взломали аккаунт в соцсети или мессенджере: Попробуйте восстановить доступ через форму «забыли пароль» — часто можно войти по номеру телефона или резервной почте. Если не получается, напишите в службу поддержки соцсети. Предупредите всех контактов, что ваш аккаунт взломан, чтобы они не переходили по ссылкам и не переводили деньги.

Проактивная защита: как не попасться ни на один вид фишинга

Лучшая защита — привычка сомневаться. Любое неожиданное сообщение, письмо или звонок с просьбой о деньгах или данных должно вызывать подозрение. Прежде чем действовать, остановитесь и проверьте информацию через второй канал: позвоните в банк по номеру с карты, напишите другу в другой мессенджер, зайдите на официальный сайт напрямую.

Технические меры: включите двухфакторную аутентификацию (2FA) на всех аккаунтах. Используйте менеджер паролей — он автоматически заполняет пароли только на реальных сайтах и не даст ввести их на подделке. Установите антивирус с веб-защитой и регулярно обновляйте его. В браузере включите фильтр фишинга (в Chrome — «Безопасный просмотр», в Edge — SmartScreen). Для банковских операций используйте отдельное устройство или приложение, которое не открывает сторонние ссылки.

Помните о «периоде охлаждения» для кредитов: если вам звонят и говорят, что на вас оформляют заём, знайте — по закону деньги от 50 до 200 тысяч рублей выдаются не раньше чем через 4 часа, а свыше 200 тысяч — через 48 часов. Это время дано, чтобы вы могли одуматься и не переводить деньги мошенникам. Никогда не называйте код из SMS — это аналог вашей подписи. Настоящие сотрудники банка никогда его не спрашивают. Если сомневаетесь — положите трубку и перезвоните сами.

Часто спрашивают

Сколько раз в день могут звонить коллекторы по закону?
Не чаще 1 раза в сутки, 2 раз в неделю и 8 раз в месяц согласно ФЗ-230. Ночью с 22:00 до 8:00 звонить запрещено.
Какой период охлаждения действует для кредитов от 50 до 200 тысяч рублей?
Банк обязан выдать деньги не раньше чем через 4 часа после одобрения. Это время даёт возможность распознать давление мошенников.
Можно ли называть код из SMS сотруднику банка?
Нет, код из SMS — аналог вашей подписи. Назвав его, вы сами подтверждаете операцию, и банк вправе не возмещать похищенное.
Как фиксировать нарушения коллекторов?
Фиксируйте все звонки, сообщения и время. Жалобу можно подать в ФССП, которая контролирует соблюдение ФЗ-230.
Нужно ли ждать 48 часов при кредите свыше 200 тысяч рублей?
Да, банк обязан выдать деньги не раньше чем через 48 часов после одобрения. Пауза помогает избежать мошеннических схем.

Информационный сервис. Не является финансовой рекомендацией. Окончательные условия уточняйте на сайте банка.

Материал был полезен?

Поделиться

Из словаря

Разберём термины из статьи простыми словами.