Перейти до основного вмісту

Як захистити себе від фішингових атак

Фішинг — це причина №1 крадіжки облікових записів. Як працює сучасний фішинг, тривожні ознаки та захист, який дійсно зупиняє атаки.

Останнє оновлення: 14 квітня 2026 р.

Коротко

  • Фішинг — це причина №1 захоплення облікових записів: зловмисники обманом змушують вас вводити облікові дані на підробленому сайті.
  • Сучасні фішингові набори клонують сторінки входу до найдрібніших деталей і проксують ваші 2FA-коди в режимі реального часу.
  • Апаратні ключі безпеки (YubiKey, FIDO2) — єдиний захист, який є стійким до фішингу за своєю архітектурою.
  • Менеджери паролів захищають вас, відмовляючись автозаповнювати дані на неправильному домені.
  • Перевіряйте точний домен перед введенням облікових даних і ніколи не входьте в систему за посиланням з електронного листа.

Що таке фішинг?

Фішинг — це атака соціальної інженерії, при якій зловмисник створює переконливу копію легітимного вебсайту — часто до найдрібніших деталей — і обманом змушує жертву ввести там облікові дані. Щойно жертва надсилає форму, зловмисник перехоплює ім'я користувача, пароль та будь-який другий фактор, а потім використовує їх для захоплення справжнього облікового запису протягом секунд.

Слово походить від метафори «риболовлі» (fishing) на жертв за допомогою наживки (зазвичай електронного листа). Написання змінилося, щоб підкреслити, що зловмисники часто використовують phone numbers (SMS-фішинг, або «смішинг») та професійно виглядаючу інфраструктуру.

Чому фішинг залишається загрозою №1

Більшість масштабних зломів облікових записів сьогодні не пов'язані з хакерством, підбором паролів або обходом шифрування. Вони пов'язані з тим, що людина вводить пароль на підробленому сайті. Фішинг є:

  • Дешевим — зловмисник може надіслати мільйони листів за вартість VPS та підробленого домену
  • Складним для фільтрації — сучасні набори ротують домени, використовують легітимний хостинг та адаптуються до фільтрів у режимі реального часу
  • Ефективним — навіть обізнані з безпекою користувачі піддаються на добре сплановані цільові атаки (спір-фішинг)
  • Масштабованим — одна успішна фішингова атака часто відкриває доступ до десятків пов'язаних сервісів через повторне використання паролів

У звіті Verizon Data Breach Investigations Report за 2024 рік зазначено, що фішинг був початковим вектором доступу більш ніж у 36% всіх зломів — більше, ніж будь-яка інша окрема причина.

Як працює сучасний фішинг

Фішинг еволюціонував далеко за межі листів від «нігерійського принца» 2000-х років. Сучасна фішингова атака зазвичай включає:

1. Переконлива наживка

Зазвичай це електронний лист, SMS або повідомлення в чаті, що створює терміновість («Ваш обліковий запис буде призупинено»), авторитет («Команда безпеки Microsoft») або цікавість («Хтось позначив вас на фотографії»). Спір-фішинг іде далі, використовуючи особисті деталі, отримані з LinkedIn, баз даних зламів або попереднього листування.

2. Ідеально точний підроблений сайт

Зловмисники використовують готові фішингові набори, які клонують HTML, CSS та JavaScript цільового сайту. Багато наборів продаються як сервіс (phishing-as-a-service) із робочими панелями керування та технічною підтримкою.

3. Проксі для 2FA в режимі реального часу

Небезпечна частина: сучасні набори не просто перехоплюють ваш пароль. Вони діють як проксі типу «людина посередині», що пересилає все, що ви вводите, — включно з вашим TOTP-кодом — на справжній сайт протягом секунд, обходячи більшість методів 2FA. Ця техніка називається adversary-in-the-middle (AiTM) і використовується в таких інструментах, як Evilginx2 та Modlishka.

4. Крадіжка токена сесії

Після того як ви автентифікуєтесь через проксі, зловмисник перехоплює ваш файл cookie сесії та може використовувати його для збереження доступу навіть після зміни вами пароля. Саме тому реагування на фішинг завжди включає відкликання активних сесій, а не лише ротацію пароля.

Що насправді зупиняє фішинг

Апаратні ключі безпеки (FIDO2 / WebAuthn)

Це єдина категорія захисту, яка є стійкою до фішингу за своєю архітектурою. Коли ви входите в систему за допомогою ключа FIDO2, ваш ключ криптографічно перевіряє точний домен сайту, що запитує автентифікацію. Підроблений сайт — яким би візуально досконалим він не був — має інший домен, тому ключ відмовляється відповідати. Криптографічне рукостискання просто не завершується.

Компанія Google відомо зобов'язала всіх понад 85 000 своїх співробітників використовувати YubiKey у 2017 році і повідомила про нуль успішних фішингових атак на корпоративні облікові записи в наступні роки.

Ключі доступу (Passkeys)

Ключі доступу — це орієнтована на споживача еволюція FIDO2. Вони використовують ту саму криптографію, прив'язану до домену, і вбудовані в iOS, Android, macOS та Windows. Якщо сайт, яким ви користуєтеся, підтримує ключі доступу, їх увімкнення робить цей обліковий запис стійким до фішингу.

Менеджери паролів

Менеджер паролів є вашою другою лінією захисту, оскільки він автозаповнює облікові дані лише на точному домені, де вони були збережені. Якщо ви потрапляєте на paypaI.com (з великою літерою I) замість paypal.com, ваш менеджер мовчки відмовляється заповнювати форму. Ця відмова є гучним попередженням про те, що щось не так.

Фільтрація електронної пошти та DNS

Поштові провайдери використовують DMARC, SPF та DKIM для виявлення підроблених адрес відправників. Більшість сучасних провайдерів перехоплюють очевидні спроби, але цільові атаки все одно проходять крізь фільтри. Увімкніть кнопки «Повідомити про фішинг» у своєму поштовому клієнті, щоб допомогти вдосконалити фільтри.

Тривожні ознаки, на які слід звертати увагу

Коли ви отримуєте повідомлення з проханням увійти в систему, підтвердити щось або діяти терміново:

  • Терміновість і погрози — «Ваш обліковий запис буде закрито через 24 години»
  • Загальні привітання — «Шановний клієнте» замість вашого імені
  • Схожі домениpaypaI.com, app1e.com, secure-microsoft-login.net
  • Неочікувані вкладення — особливо файли .zip, .html або .pdf, які просять вас увійти для перегляду
  • Граматичні або форматні помилки — великі компанії перевіряють свої листи
  • Невідповідність посилань — наведіть курсор на посилання і перевірте, чи збігається призначення з текстом

Якщо щось здається підозрілим, закрийте лист. Перейдіть на сайт вручну. Якщо існує реальна проблема, ви побачите її, коли увійдете через звичайний спосіб.

Що робити, якщо ви потрапили на фішинг

Дійте швидко — час має значення, оскільки зловмисники починають використовувати облікові дані протягом хвилин.

  1. Негайно змініть пароль на іншому пристрої (наприклад, на телефоні, якщо ви потрапили на фішинг на ноутбуці)
  2. Відкличте всі активні сесії в налаштуваннях облікового запису — це виведе всіх, хто зараз використовує викрадені токени сесій
  3. Увімкніть 2FA, якщо він ще не був увімкнений, і використовуйте апаратний ключ або ключ доступу, якщо можливо
  4. Перевірте несанкціоновану активність — надіслані листи, нещодавні входи, зміни в білінгу, нові правила переадресації
  5. Повідомте відповідну установу, якщо це фінансовий або робочий обліковий запис
  6. Перевірте інші облікові записи, які використовували той самий пароль — навіть якщо ви впевнені, що не повторюєте паролі, перевірте

Підсумок

Фішинг процвітає, оскільки обходить технологічний захист і атакує людей. Найкращий захист поєднує три рівні: менеджери паролів (відмовляються автозаповнювати на неправильних доменах), 2FA, стійкий до фішингу (апаратні ключі або ключі доступу, прив'язані до справжнього домену), і здорова скептичність (ніколи не входьте за посиланням з електронного листа).

Спочатку увімкніть усі три на своєму найважливішому обліковому записі — електронній пошті. Після цього решта вашого цифрового життя стане помітно безпечнішою.

Як захистити себе від фішингу

Практичний покроковий контрольний список для захисту ваших облікових записів від фішингових атак.

  1. Використовуйте менеджер паролів:Встановіть надійний менеджер паролів (1Password, Bitwarden, Proton Pass) і дозвольте йому автозаповнювати облікові дані. Він відмовиться автозаповнювати дані на схожих доменах, забезпечуючи вбудований детектор фішингу.
  2. Увімкніть 2FA, стійкий до фішингу:Додайте апаратний ключ FIDO2 (YubiKey, Google Titan) або ключ доступу (passkey) до своїх найважливіших облікових записів — спочатку електронна пошта, потім банкінг, хмарне сховище та менеджер паролів. Це єдині методи 2FA, які дійсно зупиняють сучасний фішинг.
  3. Ніколи не входьте в систему за посиланнями з електронних листів:Коли ви отримуєте лист із проханням увійти, закрийте лист і перейдіть на сайт вручну через закладку або вввівши URL. Посилання в листі може вести на ідеальний клон; закладка у вашому браузері — ні.
  4. Перевіряйте точний домен перед введенням даних:Перш ніж вводити будь-який пароль, подивіться на повний URL в адресному рядку. Переконайтеся, що є https, правильне написання та немає зайвих піддоменів на кшталт paypal.com.secure-login.net.
  5. Повідомляйте про фішинг і рухайтеся далі:Повідомте про спробу фішингу своєму поштовому провайдеру (більшість мають кнопку «Повідомити про фішинг»). Потім продовжуйте свій день — фішинг небезпечний лише тоді, коли ви на нього ведетеся, а усвідомленість — це більша частина боротьби.

Часті запитання