1. Вы здесь:  
  2. Главная
  3. Финансовый блог
  4. Защита прав заемщиков
  5. Что такое фишинг и как не стать жертвой мошенников
Что такое фишинг и как не стать жертвой мошенников

Что такое фишинг и как не стать жертвой мошенников

👁 26

Фишинг – это вид интернет-мошенничества, целью которого является выманивание у жертвы конфиденциальных данных (паролей, номеров банковских карт, аккаунтов и т.д.) под ложным предлогом. Другими словами, злоумышленники маскируются под надежные организации или людей, чтобы обманом заставить пользователя раскрыть личную информацию. Название этой схемы происходит от английского слова “fishing” (рыбалка), ведь мошенники как бы «ловят на крючок» доверчивых пользователей, пытаясь «выудить» у них ценные данные. В этой статье мы простыми словами объясним, что представляет собой фишинг, чем он опасен, какие существуют виды фишинговых атак, а также как распознать обман и защититься от него.

Содержание

Чем опасен фишинг?

Фишинговые атаки относятся к числу самых распространенных киберугроз как в мире, так и в Казахстане. Основная цель фишинга – получить ценные персональные данные пользователя (учетные записи, пароли, реквизиты карт и счетов) с последующим их использованием в преступных целях: краже денег со счетов, продаже данных на черном рынке, вымогательстве и т.д.. Попавшись на уловку мошенников, человек рискует потерять сбережения, конфиденциальную информацию и даже репутацию. Например, если злоумышленники завладеют логином и паролем от вашего банковского аккаунта или мобильного банка, они могут получить доступ к деньгам и провести несанкционированные операции. В случае кражи личных данных возможны оформление онлайн-кредитов на ваше имя или использование ваших документов в криминальных схемах.

Особая опасность фишинга в том, что он эксплуатирует человеческую доверчивость и невнимательность, а не уязвимости компьютеров. Мошенники создают видимость срочной и официальной коммуникации, играя на страхе или жадности жертвы. В результате даже опытные пользователи могут поддаться панике и выдать данные, если не проявят бдительность. По сути, фишинг бьет по самому уязвимому звену системы безопасности – по человеку, который может не проверить подлинность письма или сайта. При этом технические меры защиты (антивирусы, шифрование) не всегда спасают, ведь жертва сама добровольно передает злоумышленнику «ключи» от своих данных.

Как работает схема фишинга

Классическая схема фишинга выглядит так: жертве приходит письмо или сообщение, замаскированное под официальное уведомление от известной организации – например, банка, платежной системы, популярного интернет-магазина или госструктуры. В сообщении сообщается о некой срочной проблеме или важном поводе (подозрительный вход в аккаунт, блокировка счета, выигрыш, акция и т.п.) и получателя просят перейти по ссылке для подтверждения данных либо предоставить конфиденциальную информацию. Ссылка ведет на поддельный сайт, внешне практически неотличимый от настоящего. На фальшивой странице пользователя убеждают ввести логин, пароль, PIN-код или другие секретные сведения под предлогом безопасности, проверки или получения бонуса. Как только жертва вводит данные и отправляет форму, информация попадает прямо к мошенникам, которые тут же используют ее для взлома аккаунтов или хищения денег.

Чтобы склонить человека к быстрым действиям, фишеры активно применяют методы социальной инженерии. Они стараются запугать или наоборот соблазнить жертву, оказывая психологическое давление. Часто сообщения содержат угрозы или ультиматумы, например: «Ваш аккаунт будет заблокирован, если вы не подтвердите данные в течение суток». Либо используют «приманку», обещая выгоду: «Вы выиграли приз, чтобы получить его, перейдите по ссылке и заполните форму». В обоих случаях создается ощущение срочности и важности, чтобы у жертвы не осталось времени на раздумья. В итоге пользователь, опасаясь санкций или надеясь на прибыль, переходит по фишинговой ссылке и сам того не осознавая передает конфиденциальную информацию злоумышленникам.

Современные мошенники все чаще придумывают новые уловки и легенды для фишинга. Они внимательно следят за актуальной повесткой и подстраивают обман под сезон или новости. Например, в летний период фиксируется всплеск фишинговых атак с темой путешествий: создаются поддельные сайты бронирования билетов и туров, рассылаются письма с «выгодными» акциями от имени отелей. Могут эксплуатироваться и другие популярные темы: криптовалюты, инвестиции, крупные спортивные и культурные события, громкие кинопремьеры и т.д.. Мошенники нередко предлагают получить что-то раньше остальных или дешевле рынка – будь то новый фильм, дефицитный товар или быстрая прибыль. Настораживающий признак – за любую «заманчивую возможность» обычно просят сообщить личные данные или произвести предоплату.

Важно понимать, что фишинговая атака может произойти не только через электронную почту. Сейчас злоумышленники активно используют и другие каналы связи: SMS, мессенджеры (WhatsApp, Telegram и др.), социальные сети, телефонные звонки. Например, в 2023 году в Казахстане самыми популярными способами распространения фишинга стали именно сообщения в мессенджерах и соцсетях. То есть опасность может ждать в любом приложении для общения, где есть личные сообщения или группы – фишинговую ссылку могут прислать даже знакомые, чьи аккаунты были взломаны. Кроме того, заметна новая тенденция: мошенники применяют современные технологии, такие как чат-боты и нейросети, для масштабирования атак. Уже появляются случаи, когда тексты фишинговых писем или сайтов сгенерированы нейросетью для повышения убедительности. Поэтому каждому пользователю важно знать признаки фишинга и всегда сохранять бдительность.

Основные виды фишинга

Под понятием «фишинг» скрывается целое семейство мошеннических схем. Они различаются по методам доставки сообщения, способам вовлечения жертвы и степени «персонализации» атаки. Рассмотрим самые распространенные виды фишинга.

Массовый фишинг (через рассылки)

Массовый или классический фишинг – это наиболее распространенный сценарий, при котором мошенники рассылают тысячи однотипных писем или сообщений широкой аудитории. Злоумышленники действуют «наугад», надеясь, что хотя бы небольшая часть адресатов перейдет по ссылке. Чаще всего массовые фишинговые письма выдают себя за уведомления от крупных банков, платежных систем, популярных сервисов (например, маркетплейсов) или государственных органов. В тексте обычно присутствует шаблонный призыв: «срочно обновите пароль», «подтвердите платежную информацию», «примите меры, иначе аккаунт будет заблокирован» и т.п.. Подделывается фирменный стиль организации, могут быть использованы официальные логотипы, подписи. Этот вид фишинга нацелен на неопытных или невнимательных пользователей: кто-то обязательно клюнет на массовую рассылку. Несмотря на невысокий процент успеха, масштаб делает свое дело – такие атаки все еще приносят мошенникам прибыль.

Фишинг в мессенджерах и соцсетях

С распространением мобильных мессенджеров и социальных сетей фишеры освоили и эти площадки. Схема аналогична email-фишингу: жертве приходит личное сообщение или даже комментарий с заманчивым предложением либо пугающим уведомлением. Например, вам могут написать в мессенджере от имени знакомого: «Посмотри, твою фотографию опубликовали на сайте, срочно перейди по ссылке!». При переходе вы попадете на сайт с вирусом или фишинговую страницу авторизации. В социальных сетях часто создаются фейковые аккаунты известных брендов или людей, которые массово рассылают спам-вложения и ссылки. Мошенники могут использовать скомпрометированные реальные аккаунты – тогда сообщение приходит как будто от вашего друга, коллеги, знакомого, что повышает доверие. Через мессенджеры также рассылают фальшивые платежные ссылки (например, якобы от сервиса доставки или от покупателя на OLX) с целью украсть данные банковской карты. Будьте особенно осторожны, получая любые ссылки в личных сообщениях вне зависимости от платформы – относитесь к ним с таким же подозрением, как к письмам неизвестного происхождения.

Целевой (адресный) фишинг

Целевой фишинг (также известный как speар-фишинг или «копьевой» фишинг) – это атака, направленная на конкретного человека или организацию. В отличие от массовых рассылок, здесь злоумышленники готовятся заранее и собирают информацию о выбранной жертве, чтобы сделать сообщение максимально правдоподобным. Фишеры могут выяснить ваше место работы, должность, круг знакомых, подписки, недавние покупки и т.д., просматривая соцсети и открытые источники. Обладая этими данными, мошенник составляет персонализированное письмо, которое трудно отличить от реального. Например, адресный фишинг нередко применяется против сотрудников компаний: злоумышленник может от имени директора написать бухгалтеру с просьбой срочно оплатить прикрепленный счет, либо от имени IT-отдела запросить пароль для «настройки системы». Письмо обращается к сотруднику по имени, содержит внутрикорпоративные детали – вероятность, что человек поверит, значительно выше. Целевые фишинговые атаки сложнее выявить без подготовки, поэтому они представляют серьезную угрозу для бизнеса. Важно обучать персонал кибербезопасности, чтобы даже очень убедительное письмо не привело к компрометации компании.

«Китовый» фишинг

Отдельный подвид целевых атак – так называемый «китовый» фишинг (whaling). Под «китами» понимают «большую добычу» – высокопоставленных лиц, руководителей компаний, знаменитостей. Мошенники охотятся на этих персон, рассчитывая получить доступ к особенно ценной информации или крупным финансовым ресурсам. Атаки типа whaling, как правило, тщательно продуманы и замаскированы под важные деловые контакты. Например, злоумышленник может выдать себя за партнера по бизнесу или представителя госорганов и напрямую общаться с топ-менеджером, побуждая его добровольно раскрыть конфиденциальные сведения. Поскольку жертвы «китового» фишинга часто имеют высокий уровень доступа и полномочий, успех такой атаки может привести к особо серьезным последствиям. Впрочем, для рядового пользователя вероятность столкнуться с именно «китовым» сценарием невелика, но знать о таком методе стоит хотя бы для общего понимания масштабов проблемы.

Голосовой фишинг (вишинг)

Вишинг (от англ. voice phishing) – это выманивание данных через телефонный звонок. Злоумышленники звонят жертве, представляясь сотрудниками банка, службы безопасности, полиции или другой официальной организации, и под каким-то предлогом выпытывают личную информацию. Часто разыгрывается такая сцена: «служба безопасности банка» сообщает о подозрительной операции или попытке взлома счета и просит срочно подтвердить вашу личность. Вас могут спросить номер и CVV вашей карты, код из SMS, логин-пароль от онлайн-банка, либо уговорить перевести деньги на «безопасный счет». Конечно, все это ловушка – настоящие банки никогда не запрашивают полный PIN или одноразовые пароли по телефону. В Казахстане за последние годы отмечался рост телефонного мошенничества, порой звонящие даже используют подмену номера, чтобы на экране отображался реальный номер банка или госоргана. Помните: любые требования продиктовать код подтверждения или конфиденциальные реквизиты по звонку – верный признак вишинга. Нужно немедленно прекратить разговор и самостоятельно перезвонить в банк по официальному номеру, чтобы проверить информацию.

SMS-фишинг (смишинг)

Смишинг (SMS phishing) – это разновидность фишинга, при которой используются короткие текстовые сообщения (SMS). Вам приходит SMS якобы от известной компании или банка с предупреждением или оффером: «Ваша карта заблокирована, срочно позвоните по номеру…», либо «Вы выиграли приз, подробности по ссылке…». Номер отправителя может маскироваться под официальный (например, название банка вместо телефона). Цель та же – заставить перейти по вредоносной ссылке или позвонить мошенникам. Смishing опасен тем, что SMS смотрят чаще и доверяют им больше, чем email. Многие не ожидают подвоха от обычного сообщения на телефоне. Но сейчас операторы связи и регуляторы стараются бороться с этим: блокируют массовые рассылки мошенников, предупреждают пользователей. Тем не менее, если вы получили подозрительную SMS с ссылкой или требованием действий – ни в коем случае не переходите и не перезванивайте по указанным контактам. Лучше проверьте информацию через официальный сайт или горячую линию организации.

Другие формы онлайн-обмана

Помимо перечисленного, существуют и другие, более специфичные приемы, родственные фишингу. Например, фарминг – это сложная схема, когда мошенники вмешиваются в работу DNS или заражают компьютер жертвы, перенаправляя ее на поддельный сайт даже при правильно набранном адресе. В результате человек думает, что находится на легитимном ресурсе, хотя на самом деле это копия, созданная для кражи данных. Такие атаки технически более сложны и редки, но о них тоже следует знать. Еще одна разновидность – так называемый романтический фишинг (от англ. catfishing): злоумышленник знакомится с жертвой в соцсети или на сайте знакомств, выдает себя за заинтересованного в отношениях, а завоевав доверие, начинает просить деньги или личные сведения. Этот метод сочетает психологический обман с элементами фишинга, хотя прямого «выманивания паролей» может и не быть. В целом же, как бы ни называлась та или иная уловка, суть одна – злоумышленник пытается обманным путем получить от вас ценную информацию или средства. Будьте настороже в любых подозрительных ситуациях онлайн.

Вид фишинга Краткое описание схемы
Email-фишинг (массовый) Рассылка поддельных писем от имени известных компаний или сервисов. Цель – заставить как можно больше людей перейти по ссылке и ввести данные на фальшивом сайте.
Целевой фишинг (spear phishing) Атака на конкретного человека или организацию. Мошенники тщательно персонализируют сообщение под жертву (имя, должность, контекст), чтобы повысить шанс успеха.
Вишинг Телефонное мошенничество. Звонящий представляется сотрудником банка/службы и под предлогом «защиты» счета выманивает данные или убеждает перевести деньги.
Смишинг Мошенничество через SMS. Жертве приходит SMS с ссылкой или номером для звонка (якобы банка, курьера и т.п.), после чего ее направляют на фейковый сайт или соединяют с мошенником.
Фишинг в соцсетях Обман через сообщения в соцсетях и мессенджерах. Мошенники шлют ссылки от имени друзей или фейковых аккаунтов компаний, побуждая перейти и авторизоваться на поддельном ресурсе.

Признаки фишингового письма

Хотя современные атаки становятся все более изощренными, большинство фишинговых сообщений все же выдают себя при внимательном рассмотрении. Вот ключевые признаки, по которым можно распознать фишинговое письмо или сообщение:

  • Общее обращение вместо персонального. Если письмо начинается с фраз вроде «Уважаемый клиент» без указания вашего имени – это повод насторожиться. Официальные организации обычно обращаются по имени (если оно им известно). Множество рассылок начинаются с безличного приветствия, потому что отправляются тысячам людей сразу.
  • Ошибки и странный язык. Грамматические ошибки, опечатки, невнятные формулировки – частый признак фишинга. Мошенники могут использовать автоматический перевод или просто не уделяют внимания стилю. Конечно, наличие безупречного языка не гарантирует легитимность, но заметные ошибки – тревожный звоночек.
  • Требование предоставить личные данные. Настоящие банки и сервисы **никогда** не просят прислать им пароль, PIN-код, PIN2, CVC/CVV или код из SMS. Если вас об этом просят в письме – перед вами мошенники. Также подозрительны просьбы подтвердить номер карты, паспортные данные и прочую личную информацию через email или мессенджер.
  • Угроза или срочность. «Если вы не перейдете по ссылке прямо сейчас, ваш аккаунт будет заблокирован» – классический прием фишеров. Любые ультимативные сроки (24 часа, «немедленно» и пр.), угрозы негативных последствий или давление на чувство страха – признак мошенничества. Официальные организации обычно не прибегают к запугиванию клиентов.
  • Слишком хорошее предложение. Обратная сторона – обещание большой выгоды: выигрыш в лотерею, крупная скидка, подарок за участие в опросе и т.д. Если предложение выглядит слишком хорошо, чтобы быть правдой – вероятно, это обман. Мошенники играют и на жадности, заставляя потерять бдительность.
  • Подозрительный адрес отправителя. Обратите внимание, с какого email пришло письмо. Часто адрес сильно отличается от официального домена организации. Могут быть лишние слова, цифры или неправильный домен (например, Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в браузере должен быть включен Javascript. вместо @paypal.com). Или SMS поступает с обычного мобильного номера, хотя банк рассылает сообщения под именем. Если адрес не выглядит легитимно – не доверяйте содержимому письма.
  • Неожиданный контекст. Вы получили письмо от банка, услугами которого не пользуетесь? Или уведомление о выигрыше в конкурсе, в котором не участвовали? Любое сообщение «не к месту» – признак возможной аферы. Даже если вы пользуетесь услугами компании, но формат сообщения нетипичный или вас просят сделать то, чего раньше не требовали, нужно проявить осторожность.

Признаки фишингового сайта

Допустим, вы перешли по сомнительной ссылке из письма или просто случайно попали на сайт, где вас просят ввести конфиденциальные данные. Как понять, не фишинговый ли это сайт-двойник? Обратите внимание на следующие моменты:

  • Адрес сайта (URL). Всегда проверяйте URL в адресной строке браузера. Мошенники часто регистрируют адрес, очень похожий на настоящий, с небольшими и незаметными отличиями. Например, paypai.com вместо paypal.com (замена латинской буквы l на i), либо добавляют лишние слова/символы (kasp3rsky.com вместо kaspersky.com). Иногда используют поддомен: bank.security-login.com вместо официального bank.com. Если адрес кажется странным или содержит лишние элементы – сразу закройте такой сайт.
  • Наличие SSL-сертификата. Легитимные сайты банков и платежных систем всегда используют защищенное соединение (адрес начинается с https://, а рядом с URL отображается значок замка). Отсутствие шифрования – серьезный признак подделки. Однако учтите, что сейчас и мошенники могут получить базовый SSL-сертификат. Поэтому наличие «https» – необходимое условие, но недостаточное для полной гарантии.
  • Дизайн и содержание. Визуально поддельные страницы часто очень похожи на оригинал: используют логотипы, фирменные цвета. Но нередко бывают огрехи – плохое качество изображений, криво отображающийся текст, ошибки в переводе (если копировали международный сайт). Также на фишинговом сайте может не работать часть ссылок (например, раздел «О нас», «Контакты» никуда не ведет). Отсутствие детальной информации о компании, пользовательского соглашения, контактов службы поддержки – повод заподозрить неладное.
  • Неадекватные запросы. Если сайт сразу при заходе требует ввести секретные данные – это подозрительно. Обычно официальные сервисы сначала предлагают войти (логин+пароль), и только в личном кабинете вы совершаете операции. Фишинговые же сайты часто на первой же странице требуют ввести номер карты, PIN, код из SMS – то есть данные, которые обычно никогда не вводятся *до* авторизации. Также насторожитесь, если запрашивается информация, которую обычно не спрашивают (например, девичья фамилия матери, полный набор паспортных данных для «верификации» и т.п.) без веской причины.
  • Всплывающие предупреждения браузера. Современные браузеры имеют встроенные фильтры и зачастую распознают фишинговые ресурсы. Если при попытке перехода вас встречает красный экран с предупреждением о небезопасном сайте – ни в коем случае не игнорируйте его. Такие сигналы явно указывают, что ресурс занесен в черный список как фальшивый или вредоносный. Лучше сразу закрыть страницу.

Помните, что фишинговые сайты обычно «живут» недолго – в среднем около 5 дней, пока их не обнаружат и не заблокируют фильтры. Поэтому злоумышленники постоянно создают новые копии на других адресах. В случае малейшего сомнения в подлинности сайта, не вводите никаких данных. Лучше самостоятельно найдите официальный веб-сайт организации через поисковик или введя адрес вручную, и уточните там необходимую информацию.

Как защититься от фишинга

Полностью исключить риск столкновения с фишингом невозможно, но следуя ряду правил можно значительно снизить вероятность стать жертвой. Вот основные рекомендации для защиты от фишинговых атак:

  • Всегда будьте бдительны и скептичны. Самая лучшая защита – критическое мышление. Внимательно читайте полученные письма и сообщения. Если что-то вызывает подозрение – лучше перестраховаться и проверить еще раз. Мошенники рассчитывают на спешку и невнимательность пользователей, поэтому не поддавайтесь панике и ажиотажу, каким бы срочным ни казалось сообщение.
  • Никогда не предоставляйте конфиденциальные данные по запросу. Ни при каких обстоятельствах не сообщайте пароли, PIN-коды, коды из SMS, CVV-коды вашей карты и т.п. третьим лицам в переписке или по телефону. Настоящие банки, сервисы платежей, госорганы **никогда** не запрашивают такую информацию у клиентов через email, мессенджеры или звонки. Если у вас требуют секретные данные – это 100% мошенники.
  • Не переходите по ссылкам из подозрительных сообщений. Даже если письмо выглядит правдоподобно, старайтесь не кликать ссылки непосредственно из него. Лучше откройте браузер и вручную введите адрес сайта, если требуется проверить информацию. Опасно также скачивать вложенные файлы из неожиданных писем – в них может быть не только фишинг, но и вирус.
  • Проверяйте подлинность сайта самостоятельно. Если вас просят выполнить действия на веб-сайте, удостоверьтесь, что это официальный ресурс. Как проверять сайт – мы подробно описали выше: смотрите на адрес, сертификат, используйте поиск. При малейших сомнениях лучше прекратить операцию и связаться с организацией напрямую через официальные контакты.
  • Используйте сложные пароли и двухфакторную аутентификацию. Надежные уникальные пароли для каждой важной учетной записи минимизируют ущерб, если каким-то образом один из них утечет. А подключение двухфакторной аутентификации (2FA) – например, подтверждение входа по SMS или через приложение – защитит аккаунт даже если злоумышленник узнал ваш пароль. Фишеру тогда понадобится еще и ваш телефон, что значительно сложнее.
  • Обновляйте программное обеспечение и антивирус. Регулярно обновляйте браузер, почтовый клиент, операционную систему – в новых версиях улучшаются встроенные средства безопасности и антифишинговые фильтры. Установите надежный антивирус с функцией интернет-безопасности, он будет предупреждать о вредоносных сайтах и письмах. Такие решения не дают 100% гарантии, но могут вовремя отсеять часть угроз.
  • Следите за финансовыми счетами. Даже при всей осторожности время от времени проверяйте историю банковских операций, счета мобильного банка и другие важные аккаунты. Если мошенники все же где-то получили доступ, вы быстрее заметите подозрительную активность – несанкционированный перевод, попытки входа – и успеете принять меры (заблокировать карту, сменить пароль и т.д.).
  • Повышайте свою киберграмотность. Мошенники не стоят на месте и придумывают новые схемы, поэтому полезно быть в курсе актуальных угроз. Читайте новости о кибербезопасности, ознакомьтесь с примерами фишинга. Банки и регуляторы часто публикуют предупреждения о всплеске тех или иных мошенничеств. Чем больше вы знаете о методах обмана, тем проще вам будет распознать угрозу в реальной жизни.

Если соблюдать перечисленные правила, вероятность “попасться на крючок” существенно снизится. Как отметил эксперт, «фишеры делают ставку на невнимательность и эмоциональное воздействие. Поэтому важно несколько раз проверять любую информацию, особенно если вас просят сообщить личные или платежные данные и давят на срочность». Не доверяйте сомнительным письмам и звонкам – лучше лишний раз проверьте по официальным каналам. Здоровая осторожность – ваш лучший помощник в защите от фишинга.

Что делать, если вы стали жертвой фишинга

Если вы подозреваете, что все-таки передали конфиденциальные данные мошенникам или перешли по фишинговой ссылке, действовать нужно немедленно. Быстрые шаги могут помочь минимизировать ущерб:

  • Срочно смените пароли. Если вы ввели где-то свой пароль, немедленно смените его на этом сервисе. Если пароль повторялся на других ресурсах (что нежелательно, но бывает) – поменяйте и там. Начните с электронной почты и банковских аккаунтов. Убедитесь, что новые пароли надежные и нигде больше не используются.
  • Заблокируйте банковские карты/счета. Когда вы поняли, что ввели данные банковской карты на фишинговом сайте или сообщали реквизиты по телефону, сразу звоните в банк и блокируйте карту. Объясните ситуацию, чтобы банк отметил возможное мошенничество. Чем быстрее карта будет заблокирована, тем меньше шансов у злоумышленников списать с нее деньги. Если речь про доступ к интернет-банку – попросите временно приостановить операции по счету.
  • Проверьте устройство на вирусы. Перейдя по мошеннической ссылке или скачав файл, вы могли заразить компьютер/смартфон вредоносной программой (например, шпионским ПО). Просканируйте устройство актуальным антивирусом. Желательно провести полную проверку системы. Если обнаружены угрозы – удалите их и перезагрузитесь. До очистки устройства не выполняйте операции в онлайн-банке и не вводите пароли.
  • Обратитесь в службу поддержки соответствующего сервиса. Если фишинг затронул аккаунт какого-то сервиса (почты, соцсети, платежной системы) – свяжитесь с их техподдержкой. Сообщите, что ваши учетные данные скомпрометированы. Возможно, они помогут восстановить доступ, отменить несанкционированные действия или пометить аккаунт для дополнительной проверки.
  • Сообщите о случае мошенничества. В Казахстане вы можете обратиться в правоохранительные органы с заявлением о интернет-мошенничестве (статья 190 УК РК). Также имеет смысл проинформировать регулятора или профильные организации. Например, отправить жалобу/описание инцидента в Киберщит КЗ (CERT Kazakhstan) или Нацбанк (если дело касается финансовых мошенников). Чем больше данных получают компетентные органы, тем эффективнее борьба с фишерами в будущем.

Помните: оказаться жертвой фишинга может любой, стыдиться этого не нужно. Главное – не медлить и принять меры как можно скорее. Если оперативно сообщить в банк и полицию, есть шанс предотвратить крупные потери. В дальнейшем тщательно проанализируйте, как произошел инцидент, и учтите этот опыт, чтобы впредь не попадаться на уловки мошенников.

FAQ: что такое фишинг — признаки, проверка сайтов и защита

Фишинг — это обман в интернете, когда мошенники притворяются банком, госслужбой или известным сервисом и пытаются заставить вас выдать данные (пароль, SMS-код, реквизиты карты) или перейти на поддельный сайт. Цель одна — получить доступ к вашим деньгам или аккаунтам.

Через фишинг уводят деньги со счета, оформляют покупки, получают доступ к интернет-банкингу или кошелькам. Иногда «цепляют» сразу несколько сервисов, если вы используете одинаковые пароли или даёте коды подтверждения.

Чаще всего — письма на e-mail, сообщения в SMS/мессенджерах, поддельные сайты «как у банка», звонки с просьбой «подтвердить операцию», а также фишинг через соцсети и рекламу с «выгодным предложением».

Это фишинг «под вас»: мошенники используют ваши имя, место работы, покупки или переписки, чтобы сообщение выглядело правдоподобно. Такой обман опаснее, потому что кажется личным и «реальным».

Обычно там есть «крючок»: срочность (заблокируют аккаунт), страх (подозрительная операция), выгода (компенсация/скидка), и обязательно действие — перейти по ссылке, «подтвердить» через SMS-код или ввести данные на странице.

SMS-код подтверждения — это ключ к операции. Его нельзя сообщать никому, даже если человек представился банком или «поддержкой». Если просят код — это почти всегда попытка фишинга или захвата аккаунта.

Смотрите на адресную строку: домен должен быть ровно официальным (без лишних букв, точек, «-secure», «-verify»). Не переходите по ссылке из сообщения — лучше введите адрес сайта вручную или откройте приложение сервиса.

Нет. https означает только шифрование соединения, но не честность сайта. Мошенники тоже могут сделать https. Важнее проверить домен, название компании, и не вводить данные по ссылкам из сообщений.

Ошибки в тексте, странные формы «введите всё сразу», просьба указать CVV/PIN или SMS-код, неожиданная «проверка личности», редиректы на другие домены, а также слишком настойчивые окна «срочно подтвердите».

Да, потому что вы не видите конечный адрес. Мошенники любят сокращатели, чтобы скрыть поддельный домен. Для финансовых действий лучше вообще не открывать короткие ссылки — заходите на сайт вручную.

Да. Иногда мошенники покупают рекламу на похожие запросы и ведут на сайт-двойник. Перед вводом данных всегда проверяйте домен, а ещё лучше — используйте официальные приложения и закладки.

Это фишинг через SMS: «посылка», «штраф», «компенсация», «ваш аккаунт заблокирован». Цель — чтобы вы перешли по ссылке или установили приложение. Правило простое: не открывать ссылки из SMS, если вы их не ждали.

Да, и очень часто. Могут писать «из поддержки», «от курьера», «от знакомого» (если его аккаунт взломали). Не переходите по ссылкам и не отправляйте коды — лучше подтвердите информацию через официальный канал.

Это когда вредная ссылка «спрятана» в QR-коде. Вы сканируете код — и попадаете на поддельный сайт оплаты или входа. Перед подтверждением проверьте адрес сайта, который открылся после сканирования.

Да, если письмо неожиданное. Вложения могут содержать вредоносные макросы или ссылки на «страницу входа». Если вы не запрашивали документ — не открывайте, а отправителя проверяйте через официальный контакт компании.

Мошенники могут навязывать приложения для удалённого доступа или поддельные «банковские» APK. Это позволяет перехватывать SMS, пароли и управлять телефоном. Финансовые сервисы не просят устанавливать «проверочные» программы по ссылке из чата.

Если вы ничего не вводили — закройте страницу, очистите вкладки, обновите браузер. На всякий случай проверьте устройство антивирусом и следите за уведомлениями банка. Опаснее всего — ввод данных и установка приложений.

Сразу свяжитесь с банком и попросите заблокировать карту/перевыпустить. Проверьте операции и лимиты, включите уведомления. Чем быстрее вы отреагируете, тем выше шанс остановить списания.

Немедленно смените пароль через официальный сайт/приложение, выйдите из всех сессий, включите двухфакторную защиту (если доступно). Затем позвоните в банк и предупредите о риске компрометации аккаунта.

Срочно звоните в банк: попросите остановить операции и временно заблокировать доступ. После этого меняйте пароли и проверяйте устройства. Если есть списания — фиксируйте их и подавайте обращение в банк и заявление в полицию.

Подозрительно, если письмо требует срочно «подтвердить» через ссылку, содержит ошибки, странный адрес отправителя или вложения без запроса. Надёжный вариант — не нажимать ничего и проверить информацию в приложении банка или по официальному телефону.

Двухфакторная аутентификация, уникальные пароли, менеджер паролей, обновления ОС и браузера, уведомления о входах, лимиты по карте и запрет онлайн-платежей, если вы ими не пользуетесь.

Нежелательно. Лучше использовать менеджер паролей или встроенное хранилище с защитой. Заметки и чаты проще потерять при взломе аккаунта или при доступе к телефону.

Включите push/SMS-уведомления, ограничьте лимиты, отключите онлайн-платежи и международные операции, если они не нужны, используйте отдельную карту для интернет-покупок и пополняйте её только перед оплатой.

Не переходите по ссылкам из неожиданных сообщений. Открывайте госуслуги только через официальный сайт и приложение, проверяйте уведомления в личном кабинете, а сомнения уточняйте через официальный контакт-центр.

Если пострадали деньги — сначала в банк, затем в полицию. Если это подделка сервиса — сообщите в поддержку настоящей компании (банк/маркетплейс/госслужба), чтобы они быстрее заблокировали вредные страницы и предупреждали клиентов.

Дайте простое правило: «никому не говорить коды и пароли, не переходить по ссылкам из сообщений, а при сомнениях — сразу звонить вам». Можно вместе настроить блокировку спама и уведомления банка.

Мифы: «со мной такого не случится», «если есть замок — сайт безопасный», «банк может спросить SMS-код», «один пароль на всё — нормально». Эти ошибки и приводят к большинству взломов и потерь денег.

Куда сообщить о попытке фишинга?

Если вы получили подозрительное письмо, SMS или звонок, правильно будет уведомить об этом соответствующие организации. Во-первых, перешлите полученное письмо или информацию о звонке в службу поддержки той компании, от чьего имени действовали мошенники (банк, почтовый сервис, онлайн-магазин). У многих крупных компаний на сайтах есть раздел «Безопасность» или «Сообщить о мошенничестве». Во-вторых, вы можете предупредить других пользователей, поделившись информацией на форумах или в соцсетях, но без публикации своих личных данных. В Казахстане случаи интернет-мошенничества можно также сообщать на горячие линии правоохранительных органов или через портал eGov (раздел киберпреступности). Чем больше людей будут сообща бороться с фишингом – тем безопаснее станет онлайн-среда для всех нас.

Итого: фишинг остаётся серьезной угрозой в интернете, но вооружившись знаниями и соблюдая элементарную осторожность, вы можете уберечь свои деньги и данные от посягательств мошенников. Помните золотое правило: никому и никогда не сообщайте секретные данные и всегда проверяйте, куда ведут полученные ссылки. Берегите свою цифровую безопасность!

Защита прав заемщиков

Вопросы и комментарии

Пока нет комментариев. Будьте первым!

Задать вопрос или оставить комментарий

Сайт FinUslugi.kz (Витрина Финансовых Услуг Казахстана) – это бесплатный обзор финансовых продуктов: кредиты, микрозаймы, вклады, карты. Сравнивайте ставки, сроки и условия от банков и МФО с помощью удобных фильтров. Еженедельные рейтинги, обзоры и советы помогут принять взвешенные решения и повысить финансовую грамотность. Контент обновляется регулярно.

Контакты

Email: info@finuslugi.kz

Адрес: Казахстан, г. Алматы, ул. Гоголя 109

Мы в социальных сетях

Facebook
Instagram

Finuslugi.kz — независимый информационный сервис о финансовых услугах Казахстана. Мы не предоставляем займы и не являемся МФО.

Полезно

Важно!

Драгоценные металлы

Последние статьи