Фишинг и поддельные сайты: как распознать и не попасться
Что такое фишинг и как он устроен
Фишинг (от англ. fishing — «рыбалка») — это выманивание данных через поддельные сайты, письма и сообщения, замаскированные под известные сервисы. Цель — чтобы вы сами ввели логин, пароль, номер карты, CVV или код из СМС.
Как обычно выглядит атака:
- приходит письмо или СМС «от банка», «маркетплейса», «Госуслуг», «налоговой», «доставки» со ссылкой;
- сообщение давит срочностью: «счёт заблокирован», «вам возврат», «оплатите таможенный сбор», «подтвердите вход»;
- ссылка ведёт на сайт-двойник с почти таким же дизайном и похожим адресом;
- вы вводите данные — и они уходят мошенникам.
Отдельный вид — поддельные интернет-магазины и «зеркала» банков, которые продвигают через рекламу и поисковую выдачу. Человек ищет «оплатить», «личный кабинет», «вернуть деньги» — и попадает на фейк, визуально неотличимый от оригинала.
Как распознать поддельный сайт
Несколько проверок помогают отличить фейк от настоящего ресурса:
- Проверяйте адрес (домен) целиком. Мошенники используют похожие имена: лишние буквы, дефисы, другую зону (sberbank-online.xyz вместо настоящего). Смотрите на конец основного домена, а не на начало.
- Замок и https — не гарантия. Сертификат сегодня есть и у фишинговых сайтов. «Замочек» означает лишь шифрование, а не честность владельца.
- Опечатки и кривой дизайн, странные шрифты, битые ссылки, отсутствие реквизитов и договора-оферты.
- Просьба ввести лишнее — CVV, ПИН, код из СМС, полные паспортные данные там, где это не нужно.
- Давление и «горящие» условия, оплата только на карту физлица или по СБП на незнакомый номер.
Золотое правило: не переходите по ссылкам из писем и СМС. Заходите на сайт банка, магазина или Госуслуг, набирая адрес вручную или через официальное приложение. Так фишинговая ссылка просто не сработает.
Не отвечайте на вопросы следствия без адвоката. Один звонок — и вы получите план действий.
Что делать, если ввели данные на фейковом сайте
Если вы поняли, что ввели данные на поддельном сайте, действуйте немедленно:
- Заблокируйте карту через приложение или по номеру банка; если ввели данные карты — перевыпустите её.
- Смените пароли на сервисе, куда «логинились», и везде, где стоял тот же пароль; включите двухфакторную защиту.
- Если деньги списаны — подайте в банк заявление о несогласии с операцией и о возврате.
- Проверьте устройство антивирусом, удалите подозрительные приложения и расширения.
- Подайте заявление в полицию, приложив адрес фейкового сайта, скриншоты и чеки.
По ФЗ-161 банк обязан вернуть деньги, если перевёл их на счёт из базы ЦБ о мошеннических операциях и не приостановил перевод. Если же вы сами ввели код подтверждения, банк может отказать — тогда средства возвращают через уголовное дело. В любом случае заявление подавайте сразу и письменно.
Куда жаловаться на поддельный сайт
Помимо возврата денег важно добиться блокировки самого фейка, чтобы на него не попались другие. Сообщить о мошенническом сайте можно:
| Куда | Зачем |
|---|---|
| Банк России (cbr.ru) | Сообщение о поддельных финансовых сайтах; ЦБ инициирует их блокировку |
| Роскомнадзор | Жалоба на противоправный контент и блокировку сайта |
| Полиция (МВД, Управление «К») | Заявление о мошенничестве |
| Ваш банк | Блокировка операций, возврат средств |
Также о фишинге стоит предупредить сервис, под который «работал» сайт (банк, маркетплейс, Госуслуги): у крупных компаний есть каналы приёма таких сообщений, и они помогают быстрее закрыть двойник.
Как фишинг квалифицируют по закону
Хищение денег через поддельный сайт — это мошенничество (ст. 159 УК РФ). Если использовались чужие карты и электронные средства платежа, применяют ст. 159.3 УК РФ, а при хищении с вмешательством в компьютерную информацию — ст. 159.6 УК РФ. Создание и распространение вредоносных программ, которые крадут данные, подпадают под ст. 273 УК РФ, а неправомерный доступ к аккаунтам — под ст. 272 УК РФ.
Такие схемы обычно поставлены на поток и совершаются группой, поэтому речь идёт о квалифицированных составах с наказанием вплоть до лишения свободы. Для потерпевшего это означает, что дело расследуется всерьёз, а вы вправе быть признанным потерпевшим и заявить гражданский иск (ст. 44 УПК РФ).
Раскрываются фишинговые дела непросто из-за анонимности и трансграничности, но полнота ваших доказательств (адрес сайта, реквизиты получателя, время операций) реально повышает шанс на розыск и арест счетов. По значимым суммам имеет смысл сразу привлечь адвоката — он поможет с заявлениями, арестом средств и возвратом.
Частые вопросы
Как быстро отличить поддельный сайт от настоящего?
Https и замок означают, что сайт безопасный?
Я ввёл данные карты на фейке — что делать?
Вернёт ли банк деньги после фишинга?
Куда пожаловаться на мошеннический сайт?
По какой статье наказывают за фишинг?
- Уголовный кодекс РФ, ст. 159 «Мошенничество»
- Уголовный кодекс РФ, ст. 159.6 «Мошенничество в сфере компьютерной информации»
- Уголовный кодекс РФ, ст. 272 «Неправомерный доступ к компьютерной информации»
- Уголовный кодекс РФ, ст. 273 «Создание, использование и распространение вредоносных компьютерных программ»
- Федеральный закон № 161-ФЗ «О национальной платёжной системе»
