Фишинг — это мошеннический способ получить у человека доступ к данным, деньгам или аккаунту обманным путём. Обычно злоумышленник маскируется под банк, маркетплейс, госорган, работодателя или знакомый сервис и убеждает жертву перейти по ссылке, открыть вложение, ввести пароль, код подтверждения или реквизиты карты.
По сути, фишинг работает на доверии. Поэтому его относят к наиболее распространённым формам социальной инженерии: атака строится вокруг страха, срочности, привычки или авторитета, а не вокруг сложной технической уязвимости.
Как работает фишинг
Типовая схема выглядит просто: человек получает письмо, SMS, сообщение в мессенджере или звонок с правдоподобным предлогом. Ему сообщают о блокировке счёта, подозрительном входе, возврате денег, штрафе, посылке, обновлении данных или просьбе от коллеги, после чего подталкивают к быстрому действию.
Дальше сценарий обычно ведёт в одну из двух точек. Либо жертва сама вводит данные на поддельном сайте, либо запускает файл, который помогает украсть учётные данные, сессионные токены или платёжную информацию.
Что хотят получить мошенники
Чаще всего цель фишинга — логины и пароли, одноразовые коды, данные банковской карты, доступ к корпоративной почте или вход в интернет-банк. В более сложных атаках злоумышленники охотятся за сессионными cookie, документами, персональными данными и доступом к внутренним системам компании.
Для бизнеса последствия часто выходят далеко за пределы одной учётной записи. Успешная фишинговая атака может привести к захвату аккаунта, компрометации деловой переписки, подстановке платёжных реквизитов, кредитному мошенничеству и последующим атакам типа подстановка учетных данных (credential stuffing).
Основные виды
Обычный фишинг — это массовая рассылка писем или сообщений от имени известного бренда или учреждения. Такой сценарий рассчитан на объём: чем больше охват, тем выше шанс, что кто-то введёт данные или откроет вредоносное вложение.
Целевой фишинг (spear phishing) — это персонализированная атака. В сообщении используют имя, должность, название компании, имена коллег или детали текущего проекта, чтобы письмо выглядело как реальная рабочая коммуникация.
Смишинг — это фишинг через SMS. Вишинг — голосовой фишинг по телефону, когда мошенник представляется сотрудником банка, полиции, ФНС или службы безопасности и пытается выманить данные или деньги прямо в разговоре.
Как распознать атаку
Фишинговое сообщение почти всегда пытается ускорить решение. В нём давят на срочность, пугают блокировкой, обещают выплату, требуют подтвердить вход или обновить данные без промедления.
Есть и более технические признаки: домен с ошибкой, странный адрес отправителя, сокращённая ссылка, вложение без понятной причины, форма входа вне официального сайта, просьба назвать код из SMS или push-уведомления. Если сообщение требует немедленного действия и одновременно просит секретные данные, это сильный сигнал риска.
Почему фишинг опасен для верификации
Для систем удалённой идентификации и аутентификации фишинг опасен тем, что компрометирует точку доверия. Даже сильная технология проверки личности не помогает, если пользователь добровольно передаёт злоумышленнику пароль, OTP-код или доступ к сессии.
Именно поэтому фишинг нельзя рассматривать только как проблему кибергигиены конечного пользователя. Для финтеха, e-commerce, маркетплейсов, банков и платформ с KYC это ещё и задача антифрода, управления риском входа, защиты клиентского пути и снижения числа захваченных аккаунтов.
Как снижать риск
На стороне пользователя базовые меры известны, но по-прежнему работают:
- не переходить по ссылкам из неожиданных писем и сообщений;
- проверять домен вручную, а не через визуальное сходство;
- не сообщать коды подтверждения никому, включая «сотрудников банка»;
- не открывать вложения без понятного контекста;
- использовать многофакторную аутентификацию и уникальные пароли для разных сервисов.
На стороне бизнеса защита шире:
- антифишинговые фильтры и мониторинг доменов-двойников;
- анализ цифрового следа устройства и анализ аномалий входа;
- защита от угона аккаунта (account takeover);
- риск-скоринг сессии и операции;
- обучение клиентов и сотрудников типовым сценариям социальной инженерии.
Где термин путают
Фишинг часто смешивают с фармингом, но это не одно и то же. При фишинге жертву убеждают самой перейти по ложному сценарию, а при фарминге её перенаправляют на поддельный сайт без явного решения с её стороны, например через подмену DNS.
Ещё одна частая ошибка — считать фишинг только email-угрозой. На практике атака давно вышла за пределы почты: она приходит в SMS, мессенджеры, соцсети, корпоративные чаты и телефонные звонки.
Что важно запомнить
Фишинг — это форма социальной инженерии, при которой злоумышленник имитирует доверенный источник, чтобы получить доступ к данным, деньгам или аккаунту пользователя. Базовые каналы атаки — email, SMS, мессенджеры, звонки и поддельные сайты; ключевой механизм — не технический взлом, а манипуляция доверием.
