← Что делать при утечке данныхСоциальная инженерия →

Фишинг: поддельные письма и сайты

Фишинг — самый распространённый способ кражи аккаунтов. Тебе подсовывают поддельную страницу входа, ты вводишь пароль — и он уходит злоумышленнику. Научимся узнавать подделку.

Фишинг — это обман, при котором мошенник маскируется под доверенный сервис (банк, соцсеть, игру), чтобы выманить твой пароль, код или деньги.

Как выглядит атака

Тебе приходит письмо или сообщение: «Ваш аккаунт заблокирован, срочно войдите по ссылке, чтобы разблокировать». Ссылка ведёт на сайт, неотличимый от настоящего. Ты вводишь логин и пароль — и они мгновенно оказываются у мошенника. Он входит в твой настоящий аккаунт.

Красные флаги фишинга

  • Срочность и угроза: «аккаунт удалят через час», «срочно подтвердите». Спешка отключает критическое мышление — на это и расчёт.
  • Просьба ввести пароль по ссылке из письма. Настоящие сервисы не присылают такие ссылки внезапно.
  • Странный адрес отправителя: вместо [email protected] — что-то вроде [email protected].
  • Ошибки и кривой перевод в тексте.
  • Слишком хорошее предложение: «вы выиграли приз», «вам начислен бонус».

Главный навык: проверять адрес сайта

Прежде чем что-то вводить, посмотри на адрес в строке браузера. Мошенники используют двойники:

НастоящийПодделка
sberbank.rusbnerbank.ru
vk.comvk-com.security-login.ru
steampowered.comsteampowered.com.gift-cs.ru

Смотри на самую правую часть адреса перед первым / — это и есть настоящий домен. В vk-com.security-login.ru настоящий домен — security-login.ru, а не vk. Никакого отношения к ВКонтакте он не имеет.

Золотые правила защиты от фишинга

  1. Не переходи по ссылкам из писем и сообщений для входа в аккаунт. Заходи на сайт сам — набери адрес вручную или открой из закладок.
  2. Не торопись. Если тебя торопят — это почти всегда обман. Остановись и подумай.
  3. Проверяй адрес сайта перед вводом пароля.
  4. Включи 2FA. Даже если пароль украли через фишинг, второй фактор может спасти.
  5. Сомневаешься — спроси. Позвони в банк по номеру с карты, спроси у родителей, напиши в официальную поддержку.

Фишинг бывает не только в почте

Поддельные ссылки приходят в мессенджерах, SMS, всплывают в играх и даже в комментариях. Принцип везде один: тебя заманивают на фальшивую страницу. Правило «не ввожу пароль по ссылке, прихожу на сайт сам» защищает во всех случаях.

Помни: ни один настоящий сервис никогда не попросит тебя сообщить пароль или код из SMS. Если просят — это мошенник, точка.

Проверьте себя
1. В адресе vk-com.security-login.ru какой домен является настоящим (кому реально принадлежит сайт)?
Avk-com
Bvk
Csecurity-login.ru
Dcom
2. Пришло письмо «Ваш аккаунт заблокируют через час, войдите по ссылке». Как поступить правильно?
AСрочно перейти по ссылке и ввести пароль, пока не поздно
BНе переходить по ссылке, а зайти на сайт самостоятельно через закладку или ручной ввод адреса
CОтветить на письмо и спросить, точно ли заблокируют
DПереслать письмо друзьям, чтобы предупредить их
Поддержать проект