Прескокни до главната содржина

Како да се заштитите од фишинг напади

Фишингот е причина број 1 за кражба на сметки. Како функционира современиот фишинг, предупредувачки знаци и одбрани кои навистина ги запираат нападите.

Последно ажурирано: 14 април 2026 г.

Резиме

  • Фишингот е причина број 1 за преземање на сметки — напаѓачите ве мамат да ги внесете вашите акредитиви на лажна страница.
  • Современите фишинг комплети клонираат страни за најава со совршена прецизност и ги проксираат вашите 2FA кодови во реално време.
  • Хардверски безбедносни клучеви (YubiKey, FIDO2) се единствената одбрана која е по дизајн отпорна на фишинг.
  • Менаџерите за лозинки ве штитат со тоа што одбиваат да автоматски пополнуваат на погрешен домен.
  • Проверете го точниот домен пред да внесете акредитиви и никогаш не најавувајте се преку врска во е-пошта.

Што е фишинг?

Фишингот е напад на социјален инженеринг каде напаѓач создава убедлива копија на легитимна веб-страница — често со совршена визуелна точност — и го мами жртвата да внесе акредитиви таму. Во моментот кога жртвата ја поднесе формата, напаѓачот ги зема корисничкото име, лозинката и секој втор фактор, а потоа ги користи за да ја преземе вистинската сметка за секунди.

Зборот потекнува од метафората за „риболов" на жртви со примамка (обично е-пошта). Правописот е изменет за да се нагласи дека напаѓачите често користат телефонски броеви (SMS фишинг, или „смишинг") и професионално изгледана инфраструктура.

Зошто фишингот сè уште е закана број 1

Повеќето поголемо-размерни пробивања на сметки денес не вклучуваат хакирање, кршење лозинки или заобиколување на шифрирање. Тие вклучуваат човек кој внесува лозинка на лажна страница. Фишингот е:

  • Евтин — напаѓач може да испрати милиони е-пошти за цената на VPS и лажен домен
  • Тешко е да се филтрира — современите комплети ротираат домени, користат легитимно хостирање и се прилагодуваат на филтрите во реално време
  • Ефективен — дури и корисници свесни за безбедноста паѓаат на добро изработени насочени обиди (спир-фишинг)
  • Скалабилен — еден успешен фишинг напад честопати овозможува пристап до десетици поврзани услуги преку повторна употреба на лозинки

Извештајот на Verizon за истраги на пробивања на податоци за 2024 година покажа дека фишингот бил почетен вектор на пристап во над 36% од сите пробивања — повеќе од кој било друг поединечен причинител.

Како функционира современиот фишинг

Фишингот еволуирал далеку над е-поштите „нигериски принц" од 2000-тите. Современиот фишинг напад обично вклучува:

1. Убедлива мамка

Обично е-пошта, текстуална порака или порака во разговор која создава итност („Вашата сметка ќе биде суспендирана"), авторитет („Тимот за безбедност на Microsoft") или знатижелба („Некој ве означил на фотографија"). Спир-фишингот оди уште подалеку со лични детали извлечени од LinkedIn, бази на пробиени податоци или претходна кореспонденција.

2. Визуелно совршена лажна страница

Напаѓачите користат готови фишинг комплети кои ги клонираат HTML, CSS и JavaScript на целната страница. Многу комплети се продаваат како услуга (фишинг-како-услуга), со функционални контролни табли и корисничка поддршка.

3. Прокси во реално време за 2FA

Опасниот дел: современите комплети не само што ја земаат вашата лозинка. Тие функционираат како прокси маж-во-средина кој го проследува сè што внесувате — вклучувајќи го вашиот TOTP код — до вистинската страница за секунди, заобиколувајќи ја повеќето 2FA. Оваа техника се нарекува противник-во-средина (AiTM) и се користи во алатки како Evilginx2 и Modlishka.

4. Кражба на токен за сесија

Откако ќе се автентицирате преку прокси, напаѓачот ја зема вашата колачиња за сесија и може да ја користи за да остане најавен дури и откако ќе ја смените лозинката. Затоа одговорот на фишинг секогаш вклучува отповикување на активните сесии, а не само ротација на лозинки.

Што навистина го запира фишингот

Хардверски безбедносни клучеви (FIDO2 / WebAuthn)

Ова е единствената категорија на одбрана која е отпорна на фишинг по дизајн. Кога се најавувате со FIDO2 клуч, вашиот клуч криптографски го верификува точниот домен на страницата која бара автентикација. Лажна страница — без разлика колку е визуелно совршена — има различен домен, па клучот одбива да одговори. Криптографското ракување едноставно не се завршува.

Google познато ги задолжи YubiKey клучевите за сите 85.000+ вработени во 2017 година и пријави нула успешни фишинг напади на сметките на компанијата во годините по тоа.

Пасклучеви

Пасклучевите се верзија на FIDO2 насочена кон потрошувачи. Тие ја користат истата криптографија врзана за домен и се вградени во iOS, Android, macOS и Windows. Ако страница која ја користите поддржува пасклучеви, овозможувањето на еден ја прави таа сметка отпорна на фишинг.

Менаџери за лозинки

Менаџерот за лозинки е вашата втора линија на одбрана бидејќи автоматски пополнува акредитиви само на точниот домен каде биле зачувани. Ако завршите на paypaI.com (главно I) наместо на paypal.com, вашиот менаџер тивко одбива да ја пополни формата. Тоа одбивање е гласно предупредување дека нешто не е во ред.

Филтрирање на е-пошта и DNS

Давателите на е-пошта користат DMARC, SPF и DKIM за откривање лажни адреси на испраќачи. Повеќето современи даватели ги фаќаат очигледните обиди, но насочените напади сепак поминуваат. Овозможете ги копчињата „пријави фишинг" во вашиот клиент за е-пошта за да помогнете во подобрувањето на филтрите.

Предупредувачки знаци на кои треба да внимавате

Кога ќе примите порака со барање да се најавите, верификувате или да дејствувате итно:

  • Итност и закани — „Вашата сметка ќе биде затворена за 24 часа"
  • Генерички поздрави — „Почитуван корисник" наместо вашето ime
  • Домени кои наликуваат на вистинскитеpaypaI.com, app1e.com, secure-microsoft-login.net
  • Неочекувани прилози — особено .zip, .html или .pdf датотеки кои бараат да се најавите за да ги прегледате
  • Граматички или форматирачки грешки — големите компании ги коректираат своите е-пошти
  • Несовпаѓање на врски — задржете го курсорот над врската и проверете дали дестинацијата се совпаѓа со текстот

Ако нешто изгледа несоодветно, затворете ја е-поштата. Рачно отидете на страницата. Ако постои вистински проблем, ќе го видите кога ќе се најавите преку вашиот нормален работен тек.

Што да направите ако паднавте на фишинг

Дејствувајте брзо — брзината е важна бидејќи напаѓачите почнуваат да ги користат акредитивите за минути.

  1. Веднаш сменете ја лозинката на друг уред (на пример, вашиот телефон, ако паднавте на лаптопот)
  2. Отповикајте ги сите активни сесии во поставките на сметката — ова ги исфрла сите кои моментално користат украдени токени за сесија
  3. Овозможете 2FA ако не бил веќе вклучен, и користете хардверски клуч или пасклуч ако е можно
  4. Проверете за неовластена активност — испратени е-пошти, неодамнешни најави, промени на наплата, нови правила за препраќање
  5. Известете ја засегнатата институција ако е финансиска или работна сметка
  6. Проверете ги другите сметки кои ја користеле истата лозинка — дури и ако сте сигурни дека не повторувате лозинки, проверете

Суштината

Фишингот напредува затоа што ја заобиколува технологијата и ги напаѓа луѓето. Најдобрите одбрани комбинираат три слоеви: менаџери за лозинки (одбиваат да пополнуваат на погрешни домени), 2FA отпорна на фишинг (хардверски клучеви или пасклучеви кои се врзани за вистинскиот домен) и здрав скептицизам (никогаш не се најавувајте преку врска во е-пошта).

Овозможете ги сите три на вашата најважна сметка — вашата е-пошта — прво. Оттаму, остатокот на вашиот дигитален живот станува значително побезбеден.

Како да се заштитите од фишинг

Практична, подредена контролна листа за зацврстување на вашите сметки против фишинг напади.

  1. Користете менаџер за лозинки:Инсталирајте реномиран менаџер за лозинки (1Password, Bitwarden, Proton Pass) и дозволете му да ги пополнува акредитивите автоматски. Тој ќе одбие да пополнува на домени кои наликуваат на вистинските, давајќи ви вграден детектор за фишинг.
  2. Овозможете 2FA отпорна на фишинг:Додадете FIDO2 хардверски клуч (YubiKey, Google Titan) или пасклуч на вашите најважни сметки — прво е-поштата, потоа банкарството, складирањето во облак и менаџерот за лозинки. Ова се единствените 2FA методи кои навистина го запираат современиот фишинг.
  3. Никогаш не се најавувајте преку врски во е-пошта:Кога ќе добиете е-пошта со барање да се најавите, затворете ја е-поштата и рачно отидете на страницата преку обележувач или со внесување на URL. Врската во е-поштата може да биде совршен клон; обележувачот во вашиот прелистувач не е.
  4. Проверете го точниот домен пред да внесете:Пред да внесете која било лозинка, погледнете го целосниот URL во адресната лента. Проверете дали има https, точен правопис и дали нема дополнителни поддомени како paypal.com.secure-login.net.
  5. Пријавете и продолжете:Пријавете го обидот за фишинг кај вашиот давател на е-пошта (повеќето имаат копче „Пријави фишинг"). Потоа продолжете со вашиот ден — фишингот е опасен само ако паднете на него, а свесноста е поголемиот дел од битката.

Најчесто поставувани прашања