Перейти к основному содержимому

Как защитить себя от фишинговых атак

Фишинг — причина кражи аккаунтов №1. Как работает современный фишинг, тревожные признаки и методы защиты, которые действительно останавливают атаки.

Последнее обновление: 14 апреля 2026 г.

Коротко

  • Фишинг — причина захвата аккаунтов №1: злоумышленники обманом заставляют вас вводить учётные данные на поддельном сайте.
  • Современные фишинговые наборы клонируют страницы входа с точностью до пикселя и перехватывают ваши 2FA-коды в режиме реального времени.
  • Аппаратные ключи безопасности (YubiKey, FIDO2) — единственная защита, устойчивая к фишингу по своей конструкции.
  • Менеджеры паролей защищают вас, отказываясь автозаполнять данные на неверном домене.
  • Перед вводом учётных данных проверяйте точный домен и никогда не входите на сайты по ссылкам из электронных писем.

Что такое фишинг?

Фишинг — это атака методом социальной инженерии, при которой злоумышленник создаёт убедительную копию легитимного сайта — зачастую с точностью до пикселя — и обманом вынуждает жертву ввести там учётные данные. Как только жертва отправляет форму, злоумышленник перехватывает имя пользователя, пароль и любой второй фактор, а затем за считанные секунды использует их для захвата реального аккаунта.

Слово происходит от метафоры «рыбной ловли» (fishing) — охоты на жертв с помощью приманки (как правило, электронного письма). Написание изменилось, чтобы подчеркнуть, что злоумышленники нередко используют phone (телефоны): SMS-фишинг (смишинг) и профессионально выглядящую инфраструктуру.

Почему фишинг по-прежнему является угрозой №1

Большинство крупных утечек аккаунтов сегодня не связаны со взломом, подбором паролей или обходом шифрования. Они связаны с тем, что человек вводит пароль на поддельном сайте. Фишинг:

  • Дёшев — злоумышленник может разослать миллионы писем за стоимость VPS и поддельного домена
  • Трудно фильтруется — современные наборы ротируют домены, используют легитимный хостинг и адаптируются к фильтрам в реальном времени
  • Эффективен — даже технически грамотные пользователи попадаются на хорошо подготовленные целенаправленные атаки (спир-фишинг)
  • Масштабируем — одна успешная фишинговая атака нередко открывает доступ к десяткам связанных сервисов через повторное использование паролей

Согласно отчёту Verizon Data Breach Investigations Report за 2024 год, фишинг был начальным вектором доступа в более чем 36% всех утечек — больше, чем любая другая отдельная причина.

Как работает современный фишинг

Фишинг ушёл далеко за пределы писем «нигерийского принца» 2000-х годов. Современная фишинговая атака, как правило, включает:

1. Убедительную приманку

Обычно это письмо, SMS или сообщение в чате, создающее срочность («Ваш аккаунт будет заблокирован»), авторитетность («Служба безопасности Microsoft») или любопытство («Вас отметили на фотографии»). Спир-фишинг идёт дальше, используя личные сведения, собранные из LinkedIn, баз данных утечек или предыдущей переписки.

2. Поддельный сайт с точностью до пикселя

Злоумышленники используют готовые фишинговые наборы, клонирующие HTML, CSS и JavaScript целевого сайта. Многие наборы продаются как услуга (phishing-as-a-service) с рабочими панелями управления и службой поддержки.

3. Прокси реального времени для 2FA

Самое опасное: современные наборы не просто перехватывают пароль. Они действуют как прокси типа «человек посередине», который пересылает всё, что вы вводите, — включая TOTP-код — на настоящий сайт за считанные секунды, обходя большинство методов 2FA. Эта техника называется adversary-in-the-middle (AiTM) и используется в таких инструментах, как Evilginx2 и Modlishka.

4. Кража токена сессии

После того как вы авторизовались через прокси, злоумышленник перехватывает ваш cookie сессии и может оставаться авторизованным даже после смены пароля. Именно поэтому реагирование на фишинг всегда включает отзыв активных сессий, а не только смену пароля.

Что на самом деле останавливает фишинг

Аппаратные ключи безопасности (FIDO2 / WebAuthn)

Это единственная категория защиты, которая устойчива к фишингу по своей конструкции. При входе с ключом FIDO2 ключ криптографически проверяет точный домен сайта, запрашивающего аутентификацию. Поддельный сайт — каким бы визуально совершенным он ни был — имеет другой домен, поэтому ключ отказывается отвечать. Криптографическое рукопожатие попросту не завершается.

Google в 2017 году обязал всех своих 85 000+ сотрудников использовать YubiKey и сообщил об отсутствии успешных фишинговых атак на корпоративные аккаунты в последующие годы.

Passkey

Passkey — это ориентированная на потребителей эволюция FIDO2. Они используют ту же криптографию с привязкой к домену и встроены в iOS, Android, macOS и Windows. Если сайт, которым вы пользуетесь, поддерживает passkey, включение этой функции делает аккаунт устойчивым к фишингу.

Менеджеры паролей

Менеджер паролей — ваша вторая линия обороны, поскольку он выполняет автозаполнение учётных данных только на точном домене, где они были сохранены. Если вы попадёте на paypaI.com (с заглавной I) вместо paypal.com, менеджер молча откажется заполнять форму. Этот отказ — громкий сигнал о том, что что-то не так.

Фильтрация электронной почты и DNS

Почтовые провайдеры используют DMARC, SPF и DKIM для обнаружения поддельных адресов отправителей. Большинство современных провайдеров перехватывают очевидные попытки, однако целенаправленные атаки всё равно проскальзывают. Используйте кнопку «Сообщить о фишинге» в своём почтовом клиенте — так вы помогаете улучшать фильтры.

Тревожные признаки, на которые стоит обратить внимание

Когда вы получаете сообщение с просьбой войти, подтвердить данные или срочно предпринять какие-либо действия:

  • Срочность и угрозы — «Ваш аккаунт будет заблокирован через 24 часа»
  • Обезличенные обращения — «Уважаемый клиент» вместо вашего имени
  • Похожие доменыpaypaI.com, app1e.com, secure-microsoft-login.net
  • Неожиданные вложения — особенно файлы .zip, .html или .pdf, требующие входа для просмотра
  • Грамматические или форматные ошибки — крупные компании вычитывают свои письма
  • Несоответствие ссылки — наведите курсор на ссылку и проверьте, совпадает ли назначение с текстом

Если что-то кажется подозрительным, закройте письмо. Перейдите на сайт вручную. Если проблема реальна, вы увидите её, войдя через обычный рабочий процесс.

Что делать, если вы попались на фишинг

Действуйте быстро — скорость имеет значение, поскольку злоумышленники начинают использовать учётные данные в течение нескольких минут.

  1. Немедленно смените пароль на другом устройстве (например, на телефоне, если вы попались на ноутбуке)
  2. Отзовите все активные сессии в настройках аккаунта — это завершит работу всех, кто использует похищенные токены сессий
  3. Включите 2FA, если он ещё не был активен, и по возможности используйте аппаратный ключ или passkey
  4. Проверьте наличие несанкционированной активности — отправленные письма, недавние входы, изменения в биллинге, новые правила пересылки
  5. Уведомьте затронутое учреждение, если речь идёт о финансовом или рабочем аккаунте
  6. Проверьте другие аккаунты, где использовался тот же пароль — даже если вы уверены, что не используете одинаковые пароли, всё равно проверьте

Итог

Фишинг процветает, потому что обходит технологии и нацелен на людей. Лучшая защита сочетает три уровня: менеджеры паролей (отказываются автозаполнять данные на неверных доменах), 2FA, устойчивый к фишингу (аппаратные ключи или passkey, привязанные к реальному домену), и здоровый скептицизм (никогда не входить на сайты по ссылкам из писем).

Включите все три меры прежде всего на своём самом важном аккаунте — электронной почте. После этого вся остальная ваша цифровая жизнь станет значительно безопаснее.

Как защитить себя от фишинга

Практический пошаговый чек-лист для защиты аккаунтов от фишинговых атак.

  1. Используйте менеджер паролей:Установите надёжный менеджер паролей (1Password, Bitwarden, Proton Pass) и доверьте ему автозаполнение учётных данных. Он откажется заполнять данные на похожих доменах — это встроенный детектор фишинга.
  2. Включите фишинго-устойчивый 2FA:Добавьте аппаратный ключ FIDO2 (YubiKey, Google Titan) или passkey к наиболее важным аккаунтам — в первую очередь к электронной почте, затем к банкингу, облачному хранилищу и менеджеру паролей. Это единственные методы 2FA, которые действительно останавливают современный фишинг.
  3. Никогда не входите на сайты по ссылкам из писем:Если вы получили письмо с просьбой войти в аккаунт, закройте письмо и перейдите на сайт вручную через закладку или вводя URL. Ссылка в письме может вести на идеальную копию сайта; закладка в вашем браузере — нет.
  4. Проверяйте точный домен перед вводом данных:Перед вводом пароля обратите внимание на полный URL в адресной строке. Убедитесь в наличии https, правильном написании домена и отсутствии посторонних поддоменов вроде paypal.com.secure-login.net.
  5. Сообщайте о фишинге и двигайтесь дальше:Сообщите о попытке фишинга своему почтовому провайдеру (в большинстве клиентов есть кнопка «Сообщить о фишинге»). Затем продолжайте свой день — фишинг опасен, только если вы на него попались, а осведомлённость — это половина победы.

Часто Задаваемые Вопросы

Похожие статьи

Что такое 2FA?

Чек-лист онлайн-приватности

Что такое шифрованная электронная почта?