Что такое фишинг в 2026 году и как не попасться
Слово «фишинг» знают все. Большинство представляют его примерно так: нигерийский принц пишет письмо с просьбой перевести деньги. Или банк присылает подозрительное письмо со ссылкой. Легко распознать, легко избежать.
Проблема в том, что фишинг в 2026 году выглядит совсем не так. Он стал персонализированным, технически сложным и в некоторых случаях практически неотличимым от настоящего. Жертвами становятся не только пенсионеры — но и технически грамотные люди, которые были уверены, что им это не грозит.
Как работает классический фишинг — и почему он всё ещё работает
Базовая схема не изменилась: злоумышленник создаёт копию легитимного сайта — банка, госуслуг, маркетплейса — и заставляет жертву перейти по ссылке и ввести данные. Ссылка приходит по почте, в SMS, через мессенджер.
Казалось бы, в 2026 году все знают об этом. Но статистика говорит обратное: фишинг остаётся одним из самых распространённых методов кражи данных и денег. Причин несколько.
Первая — качество подделок выросло радикально. Поддельный сайт Сбербанка или Госуслуг сегодня визуально неотличим от настоящего. Те же шрифты, те же кнопки, тот же дизайн. Пять лет назад можно было найти кривой текст или сломанную вёрстку. Сейчас — нет.
Вторая — автоматизация. Раньше фишинговое письмо рассылалось миллионам людей в надежде, что кто-то клюнет. Сейчас атаки часто таргетированы: злоумышленник знает твоё имя, компанию, должность, недавние транзакции. Письмо написано лично для тебя — и именно поэтому не вызывает подозрений.
Спир-фишинг: атака с именем
Spear phishing — таргетированный фишинг, направленный на конкретного человека. Злоумышленник собирает информацию через открытые источники: LinkedIn, социальные сети, утечки баз данных. Потом пишет письмо, которое выглядит как сообщение от коллеги, руководителя или партнёра.
«Привет, [имя]. Смотри, тут прислали договор на подпись — нужно до конца дня. Ссылка ниже.»
Если ты действительно ждёшь договор и письмо пришло с адреса, похожего на корпоративный — легко открыть не глядя. Подмена адреса может быть тонкой: support@sberbank.ru против support@sberbank-online.ru. Или вообще точный адрес коллеги, если его почту взломали раньше.
Спир-фишинг направлен не только против сотрудников компаний. Мошенники атакуют людей с доступом к деньгам или ценным данным: бухгалтеров, администраторов аккаунтов, людей с крупными суммами на инвестиционных счетах.
Голосовой фишинг и дипфейки: новая реальность
Это то, чего не было пять лет назад и что сейчас вызывает настоящую тревогу у специалистов по безопасности.
Голосовой фишинг (вишинг) — звонок от «сотрудника банка» или «следователя» — существовал давно. Но раньше можно было ориентироваться на голос: звонит незнакомый человек, не похожий на того, за кого себя выдаёт.
Сейчас нейросети синтезируют голос по нескольким секундам аудио. Достаточно найти видео человека в соцсетях — и можно создать дипфейк-звонок от его имени. Зафиксированы случаи, когда мошенники звонили жертвам голосом их детей или родителей с просьбой срочно перевести деньги. В реальном времени.
Видеодипфейки пока сложнее, но уже используются: в мошеннических схемах с «руководителем компании» по видеосвязи, который даёт инструкции перевести деньги на другой счёт.
Как защититься: договориться с близкими о кодовом слове для экстренных ситуаций. Если звонит «сын» и говорит, что попал в беду — спроси кодовое слово. Дипфейк его не знает.
QR-фишинг: новая точка входа
QR-коды стали повсеместными после пандемии. Мошенники воспользовались этим быстро.
Схема простая: фальшивый QR-код наклеивается поверх настоящего — на парковочном терминале, в кафе, на рекламном объявлении. Или рассылается в письме под видом «QR-код для получения выплаты». Человек сканирует — попадает на фишинговый сайт.
Особенность QR-фишинга в том, что URL не видно до перехода. При вводе адреса в браузере вручную есть шанс заметить подозрительный домен. При сканировании QR — нет.
Правило простое: QR-код в публичном месте стоит проверить физически — не наклеен ли он поверх другого. QR в письме от незнакомого источника — лучше не сканировать вообще.
Фишинг через мессенджеры
Telegram, WhatsApp и другие мессенджеры стали главным каналом фишинга в России. Схемы разные:
«Голосование за племянника» — просьба перейти по ссылке и проголосовать. Ссылка ведёт на фишинговый сайт, имитирующий авторизацию Telegram. Вводишь номер телефона и код — аккаунт угнан.
Фейковые боты и каналы. Канал с именем «Сбербанк Официальный» или бот «Поддержка Госуслуг» — выглядит легитимно, запрашивает данные.
Взломанный аккаунт знакомого. Получаешь сообщение от реального контакта: «Привет, можешь одолжить денег до завтра?» Аккаунт знакомого взломан, пишет мошенник.
Перед переходом по любой ссылке из мессенджера стоит задать себе вопрос: я ожидал этого сообщения? Если нет — насторожиться.
Как распознать фишинг: конкретные признаки
Домен с подвохом. Смотри внимательно на адресную строку. sberbank.ru — настоящий. sberbank-online.ru, sberbank.com.ru, sberbonk.ru — подделки. Особенно коварны домены с кириллическими символами, которые выглядят как латиница.
Срочность и давление. «Ваш аккаунт будет заблокирован через 24 часа», «срочно подтвердите данные», «вы выиграли приз, осталось 10 минут». Создание паники — стандартный приём фишинга. Настоящие организации так не работают.
Запрос лишних данных. Банк не просит PIN-код, CVV и одноразовый пароль одновременно. Госуслуги не запрашивают данные паспорта через письмо. Если сервис просит то, что явно не нужно для заявленной цели — это красный флаг.
Несовпадение отправителя. В письме написано «Сбербанк», а адрес отправителя — support@mail.ru или что-то похожее. Проверяй не имя отправителя, а сам email-адрес.
Нет HTTPS или невалидный сертификат. Сайт без замочка в адресной строке — сразу нет. Если браузер показывает предупреждение о сертификате — тоже нет.
Что реально защищает
Двухфакторная аутентификация. Если злоумышленник получил твой пароль — 2FA даёт второй барьер. Приложение-аутентификатор (Google Authenticator, Aegis) надёжнее SMS: SIM-карту можно перевыпустить мошеннически, код из приложения — нет.
Менеджер паролей. Он автозаполняет пароль только на правильном домене. Если ты на фишинговом сайте — менеджер паролей не предложит данные, потому что домен не совпадает. Это неочевидная, но очень практичная защита именно от фишинга.
Антифишинговые расширения. uBlock Origin блокирует известные фишинговые домены. Браузеры Chrome и Firefox имеют встроенную защиту через Google Safe Browsing — она перехватывает часть известных фишинговых ссылок автоматически.
Привычка проверять домен. Перед вводом любых данных — паузу и взгляд на адресную строку. Не на дизайн страницы, а именно на домен. Это занимает секунду и закрывает большинство базовых атак.
Здоровый скептицизм к срочным запросам. Если что-то требует немедленных действий — это повод замедлиться, а не ускориться. Позвони в банк напрямую по номеру с официального сайта, а не по тому, что указан в письме.
Если попался
Если ввёл данные на подозрительном сайте — действуй быстро.
Пароль: смени немедленно на всех сервисах, где использовался такой же. Данные карты: позвони в банк и заблокируй карту, попроси перевыпустить. Данные аккаунта: проверь активные сессии в настройках безопасности сервиса, завершь все чужие. Если угнали аккаунт Telegram или WhatsApp — обратись в поддержку для восстановления.
Фишинг работает не потому что люди глупые. Он работает потому что хороший фишинг создаётся специально так, чтобы усыпить бдительность. Знание схем — это и есть главная защита.