Глоссарий

#фишинг #MFA #безопасность почты #социальная инженерия

Что такое фишинг? Виды атак и защита надёжнее, чем «распознать»

Фишинг выдаёт себя за того, кому вы доверяете, чтобы заманить вас на поддельный сайт и украсть пароли. Виды (целевой фишинг, BEC, smishing, AiTM) и защита надёжнее «осторожности»: устойчивая к фишингу MFA, проверка доменов, аутентификация почты.

Опубликовано 2026-06-13 Обновлено 2026-06-13 6 мин чтения

«Притворяться кем-то, кому вы доверяете, чтобы заманить вас на поддельный сайт» — это и есть фишинг. Вот виды и более надёжные способы защиты (без шагов атаки).

В одну строку

В одну строку: фишинг — это мошенничество, выдающее себя за доверенную сторону, чтобы заманить вас на поддельную страницу входа и украсть учётные данные или данные. Он целится в человеческое суждение, а не в дефект ПО — поэтому это канал входа №1 для программ-вымогателей и утечек. Самое большое слепое пятно — вера в «я распознаю». Современные атаки «злоумышленник посередине» (AiTM) используют пиксель-в-пиксель поддельные сайты, которые ретранслируют даже одноразовые коды, поэтому SMS- и MFA через аутентификатор можно обойти. Надёжная защита — механизм, а не бдительность — привязанная к домену устойчивая к фишингу MFA (passkey/аппаратные ключи), переход на официальный сайт напрямую вместо клика по ссылкам и аутентификация почты (SPF/DKIM/DMARC).

Как это работает: целится в людей, а не в «дыру в ПО»

Там, где XSS или SQL-инъекция эксплуатируют дефект в ПО, фишинг эксплуатирует человеческое суждение. Сообщения вроде «ваш аккаунт приостановлен» или «срочно — подтвердите сейчас» используют спешку, авторитет и страх, чтобы украсть момент, когда вы бы иначе остановились и подумали, а затем заманивают вас на пиксель-в-пиксель поддельный сайт ввести пароль. Сайт с нулём технических уязвимостей всё равно теряет учётные данные, если его пользователей обманули.

Канал входа №1

Многие программы-вымогатели и утечки начинаются с фишинга. Это самая лёгкая первая дверь

Спешка / авторитет / страх

«Прямо сейчас», «от директора», «вы можете это остановить» — давление, убирающее паузу для размышления

AiTM

Злоумышленник посередине: поддельный сайт ретранслирует даже одноразовые коды и может обойти обычную MFA

Виды (разные названия, одна суть)

Массовый фишинг

рассылается множеству людей

Целевой фишинг

нацелен на конкретного человека/организацию

BEC

выдают себя за поставщика/руководителя, чтобы заказать платёж

Smishing

через SMS

Vishing

по телефону

AiTM

ретранслирует вход на настоящий сайт, обходит MFA

Распространённые виды фишинга. Канал и цель различаются, но суть — выдать себя за кого-то и заманить — одна.

Названия различаются, но суть одна: заманить вас, подделав доверие. В частности, BEC (компрометация деловой переписки) причиняет крупные финансовые потери вообще без вредоноса — просто «запрос на платёж, который выглядит как от поставщика». Это вид, который останавливают проверкой бизнес-процесса, а не технологией.

Защита: останавливайте механизмом, а не бдительностью

Используйте устойчивую к фишингу MFA (самое важное)

Механизм, который не реагирует на поддельные сайты, — настоящий ответ. Passkey / аппаратные ключи безопасности (FIDO2) привязаны к домену, поэтому на поддельном домене аутентификация просто не завершится — её не сможет ретранслировать даже злоумышленник посередине (AiTM). SMS/коды из аутентификатора можно ретранслировать, поэтому переведите ключевые аккаунты (почта, домен, платежи) на устойчивую MFA первыми (→ выбор MFA).

Не кликайте по ссылке — заходите на официальный сайт сами

Не нажимайте на ссылки в почте или SMS; доходите до официального сайта напрямую через закладку или вводя адрес. Чем больше сообщение выдаёт себя за «проверку аккаунта», «оплату» или «доставку», тем больше открывайте его своим способом, а не через его ссылку.

Обрежьте подделку почты технологией

Настройте SPF/DKIM/DMARC для вашего домена правильно, чтобы поддельную почту, выдающую себя за ваш домен, можно было отклонять на стороне получателя (→ что такое SPF/DKIM/DMARC). Менеджер паролей не выполнит автозаполнение на поддельном домене, поэтому «не заполнилось» само по себе признак, что сайт поддельный.

Делайте паузу при спешке/авторитете; проверяйте платежи по другому каналу

«Прямо сейчас», «от руководителя», «вы можете это остановить» — это давление и есть сигнал ловушки. Когда вас торопят, сделайте паузу. Для любого запроса, связанного с платежом или учётными данными, проверьте человека через отдельный канал, например телефонный звонок, прежде чем действовать (сердце защиты от BEC).

Легко обойти

Пароль плюс только SMS/код из аутентификатора. При пиксель-в-пиксель поддельном сайте, ретранслирующем код (AiTM), даже у осторожного человека крадут учётные данные. Защита, которая предполагает «я распознаю».

Действительно останавливает

Passkey/аппаратный ключ, привязанный к домену. На поддельном домене аутентификация не завершится, поэтому даже обманутый пользователь не скомпрометирован. Механизм, «безопасный, даже если вы не распознали».

Мнение этого сайта: «будьте осторожны» — не стратегия защиты

Мы считаем, что опираться на «обучение персонала» и «осведомлённость» в одиночку против фишинга ненадёжно. Теперь, когда злоумышленник посередине (AiTM) стал рутиной, сколь бы осторожен человек ни был, он не одолеет пиксель-в-пиксель поддельный сайт плюс ретрансляцию кода. Осведомлённость может помочь, но не может быть последней линией. Настоящий ответ — механизм: разверните привязанную к домену устойчивую к фишингу MFA, сначала для ключевых аккаунтов. Инвестировать в конструкцию «несокрушимую, даже если вы не распознали» выгоднее, чем пытаться «обучить людей распознавать». Это и есть современный ответ.

Слепое пятно: «меня не обманут» — самое опасное убеждение

Самая большая ловушка в защите от фишинга — самоуверенность «я распознаю». Злоумышленник посередине (AiTM) показывает пиксель-в-пиксель экран и ретранслирует вводимые вами пароль и одноразовый код на настоящий сайт на месте. Иначе говоря, даже если вы осторожны и вводите правильный код, этот правильный код тоже крадут. Поэтому строить защиту на «бдительности, чтобы распознать» само по себе ошибка; правильный ход — перейти к механизму — аутентификации, которая не завершается на поддельном домене (устойчивая к фишингу MFA). Отказ остановиться на «будьте осторожны» — отправная точка современной защиты от фишинга.

Читать дальше

Обучение: как правильно выбрать MFA (что такое устойчивая к фишингу MFA)
Глоссарий: что такое SPF/DKIM/DMARC (обрезать поддельную почту технологией)
Глоссарий: что такое программа-вымогатель (фишинг — её главный канал входа)
Обучение: безопасное хранение паролей (не дать злоупотребить украденными учётными данными)
Глоссарий: что такое открытый редирект (злоупотребляет легитимным доменом, чтобы перебросить пользователей на поддельный сайт)

FAQ

QМогу ли я просто распознать фишинг, если буду осторожен?

Вера в «я распознаю» — опасная самоуверенность. Современный фишинг использует пиксель-в-пиксель поддельные сайты и ретрансляцию «злоумышленник посередине (AiTM)», которая передаёт вводимые вами пароль и одноразовый код прямо на настоящий сайт в реальном времени — поэтому даже у осторожных людей крадут SMS- или код из аутентификатора вместе с паролем. Вот почему реальная защита — не бдительность, а механизм, который не реагирует на поддельные сайты: привязанная к домену устойчивая к фишингу MFA (passkey/аппаратные ключи).

QКакие виды фишинга существуют?

Распространённые: массовый фишинг, рассылаемый множеству людей; целевой фишинг, нацеленный на конкретного человека или организацию; BEC (компрометация деловой переписки), когда выдают себя за руководителя или поставщика, чтобы дать указание о платеже; smishing через SMS; и vishing по телефону. Поверх них фишинг с злоумышленником посередине (AiTM) ретранслирует ваш вход на настоящий сайт и особенно опасен, потому что может обойти обычную MFA.

QОстанавливает ли фишинг включение MFA?

MFA настоятельно рекомендуется, но зависит от вида. SMS и одноразовые коды из аутентификатора можно обойти, когда злоумышленник посередине ретранслирует код в реальном времени. Ретранслировать нельзя привязанную к домену устойчивую к фишингу MFA вроде passkey или аппаратных ключей безопасности (FIDO2): на поддельном домене аутентификация просто не завершится. Подробности — в руководстве по выбору MFA.