Получить демо

Анатомия фишинга: от SMS до звонка. Как распознать разные виды фишинговых атак


Каждый день российские банки фиксируют тысячи попыток мошенничества. По данным Банка России, ущерб от мошенничества в 2024 году превысил 15 млрд рублей.
И это лишь верхушка айсберга.
Мошенники больше не ограничиваются примитивными письмами от "нигерийских принцев". Современный фишинг — это высокотехнологичная индустрия с четким разделением ролей: одни специализируются на создании поддельных сайтов, другие — на социальной инженерии, третьи — на обналичивании украденных средств.
Разберемся, как работают основные схемы и что делать, чтобы не стать жертвой.

Виды фишинговых атак

Начну с классификации, которой пользуются в ЦБ РФ и крупных банках:
Email-фишинг — дедушка всех мошеннических схем. Работает до сих пор, потому что люди по-прежнему верят "официальным" письмам. Особенно эффективен против пожилых клиентов банков.
Массовый фишинг — стрельба из пушки по воробьям. Рассылают миллионы одинаковых сообщений, рассчитывая на 0,1-0,3% "клевавших". Звучит мало, но если разослать 10 млн писем, то 10-30 тысяч человек попадутся.
Целевые атаки — здесь уже серьезно. Изучают жертву недели, а иногда месяцы. Знают, где вы работаете, какой банк используете, когда последний раз покупали что-то крупное. Успешность таких атак достигает 30-50%.
Бизнес-фишинг — отдельная проблема для корпораций. По данным Group-IB, средний ущерб от BEC-атак (Business Email Compromise) в России в 2024 году составил несколько миллионов рублей. Мошенники компрометируют почту руководителя и от его имени просят перевести деньги.
Есть еще whale phishing — охота на "китов", то есть очень богатых людей. Но это уже почти шпионаж: слежка, анализ окружения, иногда даже физическое наблюдение.

Что такое смишинг и вишинг

Смишинг взорвался в России после 2022 года, когда люди стали меньше доверять электронной почте, но SMS все еще воспринимали как "безопасный" канал.
Вот реальные примеры из базы Сбербанка (номера телефонов изменены):
  • *"Ваша карта 4567 заблокирована. Звоните 8-800-XXX-XXXX код 4829" — классика жанра
  • "Посылка на почте. Доплата 89р gospost-rf.com/pay/HG78K" — эксплуатируют любовь россиян к интернет-покупкам
  • "Штраф ГИБДД 1500р. Скидка 50% до 25.03 gibdd-pay.net" — играют на страхе
Особенность смишинга — краткость. В SMS не впихнешь длинную легенду, поэтому мошенники бьют наверняка: блокировки, штрафы, посылки. То, что заставляет действовать не думая.
Вишинг — самая коварная штука, потому что тут живой человек. И он обучен!
Работал с записями таких разговоров (сами понимаете, как они к нам попадают). Вишеры используют четкие скрипты:
  1. Создание доверия: "Это служба безопасности Сбербанка, меня зовут Анна Сергеевна"
  2. Нагнетание паники: "По вашей карте кто-то пытается снять 50 тысяч рублей"
  3. Ложная помощь: "Мы заблокировали операцию, но нужно подтвердить, что это не вы"
  4. Выуживание данных: "Назовите CVC код, чтобы мы окончательно заблокировали карту"
Самые продвинутые используют подмену номера — звонят с официального номера банка! Технически это называется SIP spoofing, и защититься от этого практически невозможно.

Целевой фишинг (spear phishing) примеры

Целевой фишинг требует длительной подготовки и изучения жертвы. Мошенники анализируют социальные сети, корпоративные сайты, публичные базы данных для создания максимально персонализированных атак.
Основные техники spear phishing:
Корпоративный фишинг — атаки на сотрудников компаний с использованием информации о структуре организации. Злоумышленники изучают иерархию, находят контакты руководства и рассылают письма от имени вышестоящих должностных лиц.
Персонализированные атаки на банковских клиентов — использование данных о недавних транзакциях или покупках для создания правдоподобных уведомлений о подозрительных операциях.
BEC-атаки (Business Email Compromise) — компрометация корпоративной почты с последующими запросами на финансовые переводы от имени руководства.
Атаки через социальные связи — эксплуатация информации о коллегах, партнерах или знакомых жертвы для создания доверительных отношений.
Успешность целевых атак значительно выше массовых рассылок благодаря персонализации и детальному изучению жертвы.
Как работает клон фишинг
Клон фишинг — это создание точных копий легитимных сайтов для перехвата пользовательских данных. Современные мошенники используют автоматизированные инструменты для копирования веб-страниц, включая все элементы дизайна и функциональности.
Технология создания клонов:
Анализ оригинала — автоматическое копирование исходного кода, стилей CSS, JavaScript-функций и всех визуальных элементов сайта.
Регистрация поддельного домена — использование доменов, максимально похожих на оригинальные: добавление лишних букв, замена символов, использование других доменных зон.
Получение SSL-сертификата — мошенники используют бесплатные сертификаты Let's Encrypt, что обеспечивает "зеленый замочек" в браузере.
Перехват данных — все введенные пользователем данные автоматически пересылаются злоумышленникам через скрытые формы.
Типичные поддельные домены:
  • sberbank-onlne.ru (пропущена буква "i")
  • gosuslugi-portal.com
  • alfabank-secure.net
  • vtb-bank-online.ru
Качественные клоны практически неотличимы от оригиналов. Единственный способ защиты — внимательная проверка URL перед вводом конфиденциальных данных.
Фарминг и фишинг отличия
Объясню на примере из практики:
Фишинг: Вам приходит SMS "Заблокирована карта, перейдите sberbank-check.ru". Вы сами решаете — переходить или нет.
Фарминг: Вы набираете в браузере sberbank.ru, но попадаете на поддельный сайт. Причина — ваш роутер заражен, и он подменяет DNS-записи.

Аспект

Фишинг

Фарминг

Роль жертвы

Активная (нужно кликнуть ссылку)

Пассивная (автоматическое перенаправление)

Техническая сложность

Низкая

Очень высокая

Масштабируемость

Высокая (массовые рассылки)

Ограниченная (нужен доступ к сети)

Обнаружение

Возможно (проверка URL)

Крайне сложно

Защита

Бдительность пользователя

Техническая защита

Реальный кейс фарминга в России:
В 2023 году в Екатеринбурге мошенники заразили вирусом около 300 роутеров в одном районе. Когда жители пытались зайти на сайты крупных банков, их автоматически перенаправляло на поддельные страницы.
Обнаружили схему случайно — один IT-специалист заметил, что SSL-сертификат "Сбербанка" выпущен не Сбербанком, а неизвестной компанией.
Методы фарминга:
  • Подмена DNS через зараженные роутеры (самое распространенное)
  • Модификация файла hosts в Windows
  • BGP hijacking (перехват сетевого трафика на уровне провайдера)
  • ARP spoofing в локальных сетях
Фарминг страшнее фишинга тем, что даже параноик, который всегда проверяет URL, может попасться.
Примеры фишинговых писем 2025
Вот реальные примеры из "горячих" писем, которые сейчас активно используют мошенники:
1. Эксплуатация темы цифрового рубля
От: info@cbrf-digital.ru
Тема: Регистрация кошелька цифрового рубля - последние дни

Гражданин РФ!
Согласно ФЗ №259 "О цифровом рубле" регистрация кошелька
обязательна до 15.04.2025.

Штраф за несоблюдение: 15 000 руб.
Регистрация: cbr-digital-wallet.com

Банк России

2. Поддельные штрафы и налоги
От: no-reply@nalog.gov-ru.org
Тема: Исполнительное производство №4582/2025

В отношении вас возбуждено исполнительное производство
по взысканию 47 350 руб. (налог на имущество + пени).

Арест счетов через 72 часа.
Оплата: nalog-urgent.ru/pay/4582

ФНС России

3. Фальшивые социальные выплаты
От: vyplaty@pfr-rf.net
Тема: Одобрена доплата к пенсии 8 500 руб/мес

По программе "Активное долголетие" вам одобрена
ежемесячная доплата 8 500 рублей.

Первая выплата за 3 месяца: 25 500 руб.
Получить: pfr-payments.org/dolgoletie

ПФР

4. Обман с маркетплейсами
От: security@wildberries-info.ru
Тема: Попытка взлома аккаунта - требуется подтверждение

21.03.2025 в 14:23 зафиксирована попытка несанкционированного
входа в ваш аккаунт с IP 185.***.***.***

Если это были не вы, срочно смените пароль:
wb-security.net/account/verify

Wildberries

5. Криптовалютная тема
От: alert@binance-security.com
Тема: Подозрительный вывод 1.2 BTC - подтвердите операцию

Обнаружена попытка вывода 1.2 BTC (~2 850 000 руб)
на кошелек bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh

Если это не вы, заблокируйте операцию в течение 30 минут:
binance-verify.net/stop-withdrawal

Binance Security Team

Что делает эти письма опасными:
  • Актуальные темы — цифровой рубль, новые налоги, изменения в соцвыплатах
  • Психологическое давление — штрафы, аресты, взломы, потеря денег
  • Качественная подделка — правильные логотипы, официальная терминология
  • Временные рамки — "72 часа", "30 минут", создают ощущение срочности
  • Правдоподобные домены — nalog.gov-ru.org вместо nalog.ru
Главное правило: если письмо требует срочных действий с деньгами или данными — это 99% фишинг. Настоящие банки и госорганы не работают через "срочно перейдите по ссылке".