Как обнаружить фишинг в письме, SMS и Telegram за 10 секунд — гид 2026

Реальность 2026: статистика и масштаб

За последние два года я провёл несколько десятков аудитов безопасности — для бизнеса, для семей, для частных клиентов после того, как у них уже что-то украли. И картина одинаковая. В 2026 году попытка фишинга — это не редкое неприятное событие, а часть фонового шума. По данным «Лаборатории Касперского», ВТБ и Сбера за 2024–2025 годы, с тем или иным видом фишинга в РФ столкнулись от 60% до 70% взрослого населения. У кого-то это было одно SMS «вашу карту заблокировали», у кого-то — десятиминутный разговор с «сотрудником ЦБ», после которого человек сам перевёл миллион «на безопасный счёт».

Средний ущерб на один успешный инцидент тоже вырос. В 2020 году типичная потеря была 5–15 тысяч рублей: украли с карты пару покупок, заблокировали. В 2024–2025 годах средний чек атаки уже 80–200 тысяч рублей, а в случаях с пенсионерами или предпринимателями — миллионы. Появились схемы с продажей квартиры «чтобы спасти деньги от мошенников», когда жертва сама приводит покупателей и переводит выручку на «безопасный счёт» преступников. Это уже не SMS-ка из 2015 года, это полноценная социальная инженерия с многоэтапной разработкой жертвы.

Главная причина роста — два фактора. Первый: массовые утечки персональных данных. К 2026 году в открытом доступе или на закрытых форумах лежит несколько миллиардов записей: ФИО, телефоны, паспортные данные, история покупок, баланс карт, родственники. Мошенник на старте уже знает про жертву больше, чем средний коллега по работе. Второй: AI-инструменты для генерации голоса и текста. Прошли времена «вашему сыну плохо, нужно срочно 50 тысяч» с грузинским акцентом. В 2026 году звонит «сын» вашим же голосом, с вашей же интонацией, и просит перевести.

Хорошая новость в том, что подавляющее большинство атак всё ещё ломается на базовых признаках. Если знать, что искать, и привить привычку «проверь, прежде чем нажать», вы и ваша семья из 99% случаев выйдете без потерь. Этой статье — научить именно этому. Без терминов, на конкретных примерах, отдельно для родителей, для подростков, для малого бизнеса и для айтишников.

Что такое фишинг — без сложных терминов

Фишинг — это любая попытка выманить ваши данные или деньги под видом доверенного источника. Слово английское, от «fishing» — ловля рыбы. Мошенник забрасывает «крючок» (SMS, письмо, звонок), а вы либо клюёте, либо проходите мимо. Технически разновидностей много (фишинг, smishing, vishing, whaling, spear-phishing), но для пользователя это всё один процесс — кто-то прикидывается своим, чтобы получить от вас то, чего вы ему не дали бы добровольно.

Векторов в 2026 году семь: электронная почта, SMS, голосовой звонок, мессенджеры (Telegram, WhatsApp, MAX, ВК), социальные сети, поддельные сайты, QR-коды. Чаще всего атака идёт по двум-трём каналам одновременно. Например: вы получаете SMS «вашу карту пытаются заблокировать», следом звонок «сотрудника банка», и пока вы говорите с ним — вам присылают «ссылку на личный кабинет» в Telegram. Три канала подкрепляют друг друга, и жертве кажется, что всё реально: «не мог же мошенник так быстро организовать звонок и SMS одновременно».

Цели тоже три: украсть деньги напрямую (перевод, оплата), получить данные для последующего взлома (логин, пароль, SMS-код, доступ к Госуслугам), либо взять под контроль ваш аккаунт для атаки на других (захваченный Telegram затем рассылает «помоги другу» вашим контактам). Чаще всего гонятся за деньгами — короче путь, проще монетизация.

Главное правило, которое я повторяю на каждом аудите и которое стоит запомнить как мантру: любая просьба «срочно сделать X, иначе случится Y» — это красный флаг. Реальные банки, Госуслуги, налоговая, поддержка маркетплейсов и работодатели не загоняют вас в трёхминутные дедлайны. Эта срочность нужна мошеннику, чтобы вы не успели подумать, не успели перезвонить близкому, не успели вбить адрес в браузер вручную. Стоит у вас выработаться рефлекс «срочно — значит обман», и половина атак отвалится сама.

10-секундный чек-лист «фишинг или нет»

Я свёл всё, что нужно держать в голове, в десять признаков. Они работают для любого канала — SMS, письма, звонка, мессенджера. Если хотя бы два из десяти присутствуют — почти наверняка фишинг. Если три и больше — точно фишинг, останавливаемся, ничего не нажимаем.

1. Срочность. «У вас 5 минут», «иначе заблокируют», «срочно, иначе спишут», «прямо сейчас».
2. Угроза или подарок. «Штраф 50 000 ₽», «приз 100 000 ₽», «бесплатная Premium-подписка», «выиграли iPhone».
3. Просьба нажать на ссылку или открыть файл. Особенно если ссылка короткая, странная или ведёт не на тот домен.
4. Просьба сообщить код, пароль, CVV или одноразовый SMS-код. Это всегда мошенники. Без исключений.
5. Странное имя или адрес отправителя. Опечатка в домене, лишние цифры, латиница вместо кириллицы, длинный технический адрес.
6. Грамматические ошибки, странный язык, машинный перевод. Меньше работает в 2026 (AI пишет чисто), но всё ещё встречается у дешёвых атак.
7. Сервис, которым вы не пользуетесь. «Ваш заказ на Wildberries» — а вы там никогда не заказывали.
8. Несоответствие времени. Банк или налоговая «пишет» в 3 ночи. Госуслуги «штрафует» в субботу в 22:00.
9. Незнакомый номер или адрес. Звонок с мобильного, представляются банком; письмо с Gmail/Mail.ru, представляются госорганом.
10. Внутреннее чувство «что-то не так». Не игнорируйте. Интуиция — это распознавание паттернов, которые мозг не успел сформулировать.

Эту десятку имеет смысл распечатать и положить на видное место родителям и пенсионерам. Не для того, чтобы они запоминали наизусть — для того, чтобы было куда посмотреть в момент, когда «звонят из банка». Десять секунд паузы и взгляд на список — и атака почти всегда срывается.

Email-фишинг: 8 признаков

Электронная почта в 2026 году остаётся главным каналом фишинга для бизнеса и айтишников. Для частных лиц её роль уменьшилась (большинство сидит в мессенджерах), но почта всё ещё используется для «писем от госорганов», «писем от руководителя», «подтверждений заказов». Восемь признаков, по которым отличают фишинговое письмо от настоящего:

1. Поле «От» не совпадает с реальным доменом. Письмо подписано «Сбербанк», но в адресе отправителя — sberbank-online@gmail.com или support@sber-bank.ru.com. Реальный банк пишет только с собственного домена (например, no-reply@sberbank.ru). Любой Gmail, Mail.ru, Yandex.ru в роли «банка» или «госоргана» — фишинг.

2. Reply-To на другой адрес. В большинстве почтовых клиентов можно посмотреть, куда уйдёт ответ. Если письмо пришло от support@bank.ru, а Reply-To — на noreply.bank@protonmail.com, это явная подделка.

3. Ссылка ведёт не туда. На компьютере наведите курсор на ссылку (не нажимая), и в нижнем левом углу или во всплывающем окошке появится реальный URL. Если кнопка подписана «Перейти в Сбербанк», а ведёт на http://sber-bank-online.ru — это фишинг.

4. Вложение с двойным расширением. Классика: «договор.pdf.exe», «инвойс.docx.scr», «квитанция.zip». Любой исполняемый файл (.exe, .scr, .bat, .vbs, .js) во вложении к деловому письму — почти гарантированно вирус. Документы Word и PDF тоже могут содержать макросы — открывайте только из надёжных источников.

5. Обращение «Дорогой пользователь» вместо имени. Банк и налоговая обращаются по имени и отчеству, потому что эти данные у них есть. Безличное «уважаемый клиент» — признак массовой рассылки фишера, у которого вашего имени нет.

6. Картинка вместо текста. Письмо состоит из одной большой картинки, по которой нужно кликнуть. Это сделано, чтобы обойти спам-фильтры, которые анализируют текст. Реальные компании так не пишут.

7. Запрос личных данных по email. Никакой банк, никакая Госуслуга, никакая налоговая не просит прислать в ответном письме паспорт, СНИЛС, пароль или код. Этот канал в принципе не используется для подобного.

8. URL с подменой букв. Особенно хитрая разновидность — «гомоглифы»: латинская «o» вместо кириллической «о», цифра «1» вместо «l», тире вместо точки. sber-bank.ru, sberbаnk.ru (с латинской «а»), sber.ru.com (поддомен) — всё это не Сбер. Проверяйте каждый символ.

SMS-фишинг (smishing): 7 признаков 2026

SMS — самый дешёвый и массовый канал. Стоимость рассылки миллиона SMS на сером рынке копеечная, поэтому именно сюда уходит основной объём массового фишинга. В 2026 году к классическим SMS добавились push-уведомления от поддельных приложений, RCS-сообщения и сообщения в iMessage с обходом фильтров. Признаки общие для всех форматов:

1. SMS от «Госуслуг», «Сбера», «Налоговой», «РКН», «полиции». Подмена имени отправителя — давно решённая задача для мошенников. На вашем экране может быть написано «GOSUSLUGI», но сообщение отправлено не с государственного шлюза.

2. Просьба перейти по ссылке. Настоящие Госуслуги почти никогда не присылают активных ссылок в SMS — только короткие коды для входа. Ссылка в SMS «от государства» — фишинг по умолчанию.

3. Сокращённые URL. bit.ly, vk.cc, t.me/+какой-то-хэш, qr.io. Эти укоротители маскируют реальный адрес. Ни один государственный или банковский сервис не использует их в SMS.

4. «Победа в розыгрыше», «подарок за регистрацию». Особенно «от Wildberries», «от Ozon», «от ВТБ». Ни один крупный сервис не информирует о выигрыше через SMS-ссылку.

5. «Вашу карту заблокировали, позвоните по номеру 8-800-...». Если перезвоните — попадёте в фейковый колл-центр с профессиональными «операторами». Признак: номер не совпадает с тем, что напечатан на обороте вашей карты.

6. «Передайте код 123456, чтобы отменить операцию». SMS-код — это код подтверждения вашего действия. Если вы ничего не делали, и пришёл код — кто-то пытается войти в ваш аккаунт или подтвердить перевод. Никому никогда не сообщайте такой код, в том числе «службе безопасности».

7. Дублирование атаки звонком. Через 2–10 минут после подозрительной SMS приходит звонок, где «сотрудник банка» ссылается на это сообщение. Сценарий отточенный, и многих ломает именно совпадение.

Главное правило по SMS, которое стоит выписать на холодильник: банки и Госуслуги не присылают рабочих ссылок в SMS. Точка. Если пришла ссылка — открывайте сайт банка вручную через ваше приложение или через ввод адреса в браузере.

Telegram-фишинг: новая эпидемия 2026

Telegram стал ведущей площадкой фишинга в РФ. Причин несколько: высокая доля доверия (привычная среда общения), отсутствие государственных фильтров, простота создания ботов и каналов, возможность маскировать имена и аватары. В 2026 году я разбираю в среднем по пять Telegram-атак в неделю на консультациях. Самые частые сценарии:

1. Сообщение от «@SbеrBank». С виду — официальный канал банка. На самом деле в нике вместо кириллической «е» стоит латинская «е» (или наоборот). Telegram не блокирует такие имена, и визуально подделка идеальная.

2. «Бот для накрутки подписчиков / звёзд / Premium». Просит авторизоваться через QR-код или ввод кода. На выходе — украденная сессия вашего аккаунта, рассылка от вашего имени по всем контактам, потеря канала.

3. «Служба поддержки Telegram». Пишет, что ваш аккаунт под угрозой, нужно срочно подтвердить личность через специальную форму. Telegram никогда не пишет пользователю в личку — все официальные уведомления приходят от @Telegram (сервисный канал).

4. QR-верификация. Жертве присылают QR-код «для входа в новую функцию». Сканирование на самом деле — это вход мошенника в ваш аккаунт через Telegram Web. Никогда не сканируйте чужие QR для своего Telegram.

5. Фейковые конкурсы и крипто-розыгрыши. «Подарок от Дурова», «бонус от Binance», «бот по обмену стикеров на TON». Все требуют либо ввести seed-фразу, либо подписать транзакцию, либо отправить «комиссию» 0.05 TON для «активации приза».

6. «Помоги другу — ему сейчас плохо». Сообщение от взломанного аккаунта вашего знакомого, где он «срочно» просит занять 5–30 тысяч. Иногда дополняется голосовым с подделанным голосом (deepfake). Защита одна: перезвонить тому самому другу на телефон.

7. Фейковые вакансии. «Удалёнка, 200 тысяч в месяц, просто отвечать на сообщения». На втором этапе просят залог за «обучение», «фирменный мерч», «оформление документов». Деньги уходят, работа не начинается.

Полезная привычка для каждой семьи — раз в месяц заходить в Telegram в «Настройки → Конфиденциальность → Активные сеансы» и проверять, кто залогинен в ваш аккаунт. Любую незнакомую сессию (другой город, другое устройство) — терминировать немедленно и менять облачный пароль.

WhatsApp, звонки и социальная инженерия

Голосовой канал в 2024–2026 годах дал самый страшный рост ущерба. По статистике МВД, через звонки «службы безопасности банка» в 2024 году похитили десятки миллиардов рублей у россиян. И в 2026 году, несмотря на огромное количество предупреждений, схема всё ещё работает — потому что её обновили под AI.

Звонок «службы безопасности банка». Самая массовая атака последних лет. Сценарий: «по вашей карте пытаются провести подозрительную операцию, мы её отменим, но нужно подтвердить, что это не вы». Дальше жертве диктуют «инструкции по безопасности», которые на деле — последовательность переводов на «безопасный счёт» (счёт мошенника). У продвинутых версий схемы — переход на «сотрудника ЦБ», «следователя», «майора полиции», три-четыре часа разговора, пока человек сам не отдаст всё.

«Ваш родственник попал в ДТП». Звонит «следователь» или «врач», говорит, что близкий человек пострадал и нужны деньги «на операцию» или «чтобы не возбуждать уголовное дело». Сейчас часто дополняется звонком «самого родственника» с подделанным голосом.

«Подтвердите оплату по карте — назовите код». Простейший развод, но всё ещё ловит сотни людей в день. Стоит запомнить как догму: оператор банка никогда не запрашивает SMS-код, CVV и полный номер карты по телефону. Это техническое правило банков — данные не собираются голосом.

AI-голоса 2026. Главное изменение последних двух лет. Чтобы клонировать голос родственника, мошеннику достаточно 10–30 секунд записи (с голосового сообщения в чате, с видео в соцсети, с разговора по телефону по поводу опроса). Дальше любой текст произносится этим голосом. Защита одна — пароль семьи. Договоритесь с близкими о контрольном слове, которое никогда не пишется в чатах. В момент странного звонка просите назвать это слово. Мошенник не знает.

Видео-deepfake. Пока редкость и встречается в атаках на бизнес (поддельные видеозвонки от «руководителя»), но к 2027 году это станет массовым. Для частного лица сейчас почти не угроза — а для компании уже надо вводить правило «крупные платежи только с подтверждением вторым каналом».

Поддельные сайты: как распознать

Финальное звено почти любой фишинг-атаки — это посадочная страница. Жертва переходит по ссылке из SMS или письма и попадает на сайт, который выглядит как настоящий Сбербанк, Госуслуги, Wildberries, Ozon, ВК. Вводит логин и пароль, иногда добавляет SMS-код, иногда оплачивает «доставку 199 ₽» — и всё, данные/деньги у мошенников.

Признаки поддельного сайта, на которые стоит смотреть в первую очередь:

• URL. Лишние символы, дефисы, поддомены, длинные хвосты. Настоящий сайт Сбербанка — sberbank.ru, всё остальное (sber-bank.ru, sberbank-online.com, sberbank.ru.online) — фишинг.
• HTTPS-замок есть, но это НЕ гарантия. В 2026 году бесплатные сертификаты Let's Encrypt получает кто угодно за минуту, включая мошенников. Зелёный замок означает «соединение зашифровано», но не «сайт принадлежит реальной компании».
• Кривая вёрстка, странные шрифты, опечатки. Мошенники копируют сайт ботом, и часто сбиваются — отсутствуют иконки, фото подгружены неправильно, шрифты не совпадают.
• Нет реальных контактов. Только форма входа, ни «о компании», ни телефона, ни юридического адреса. Реальный банк не выводит вас только на форму входа.
• Не открывается главная. Все ссылки в шапке ведут «в никуда» или на одну и ту же форму входа. У настоящего сайта структура работает целиком.
• Просит установить «обновлённое приложение». Это .apk-файл (для Android), который на деле — троян. Реальные приложения банков ставятся только из RuStore, AppGallery, App Store или официальной страницы банка.

Главное правило по сайтам, такое же простое, как с SMS: всегда вбивайте адрес банка, Госуслуг, налоговой вручную в браузере или открывайте через приложение. Ни одна ссылка из SMS, письма, мессенджера или поисковой выдачи не должна вести вас в личный кабинет. Поисковая выдача тоже не безопасна — в верхних местах часто стоят рекламные ссылки на фишинг-домены, мимикрирующие под настоящие.

AI и фишинг 2026: что изменилось

Два года назад я учил клиентов искать в письмах «нигерийский акцент»: ломаную грамматику, машинный перевод, странные формы вежливости. В 2026 году этот совет почти не работает. Любой мошенник, у которого есть бесплатный ChatGPT или YandexGPT, прогоняет текст через AI и получает идеальный русский. Старые признаки фишинга осыпались. Что пришло на смену:

Идеальная грамматика и стилистика. Письмо от «налоговой» написано как настоящее: правильное обращение, правильные сроки, правильные формулировки нормативных актов. По тексту отличить почти невозможно. Опираться приходится на адрес отправителя, ссылки, контекст (присылала ли вообще налоговая письма по email конкретно вам).

Персонализация. Утечки персональных данных дали мошенникам базы, где про вас знают имя, отчество, номер карты, последнюю покупку, родственников, адрес. Атака приходит «лично к вам»: «Иван Сергеевич, по вашей карте Сбера 4276 ... 8821 проведена операция 14 850 ₽ в магазине X». Невозможно не поверить — данные точные.

Deepfake голосов. Уже разобрали: голос родственника подделывается за минуты. В B2B-секторе появились случаи поддельных видеозвонков от «генерального директора» с просьбой срочного платежа.

AI-чат-боты в роли «операторов». Часть звонков ведёт уже не человек, а голосовой бот на LLM, обученный на скриптах социальной инженерии. Реагирует на возражения, удерживает разговор, переключает на «старшего сотрудника» (тоже бот или человек) на нужном этапе.

Главная защита от AI-эпохи фишинга — это правило двух каналов. Получили подозрительное сообщение/звонок — обязательно проверьте через другой канал. Звонит «дочь» — перезвоните на её обычный номер. Пишет «банк» — откройте приложение банка и проверьте, есть ли там реальное уведомление. Приходит «письмо от руководителя» — пройдите к нему ногами или позвоните по внутреннему. Атаки рассыпаются на этом простом шаге, и AI здесь бессилен.

Что делать, если попался

Если вы или близкий уже сообщили код, перевели деньги, ввели пароль на фишинг-сайте, — действовать нужно быстро. Каждый час уменьшает шанс вернуть деньги. План действий по шагам, который я даю клиентам после инцидента:

Шаг 1. Заблокировать карту. Через мобильное приложение банка (если оно ещё работает) или звонком в банк. Номер берёте только с обратной стороны карты или с официального сайта банка, набранного вручную. Никаких номеров из SMS и «памятки», которую мошенник дал по телефону.

Шаг 2. Сменить пароли. Если вы вводили пароль на поддельной странице — меняйте этот пароль и везде, где он использовался повторно (а так почти у всех). Особенно важны Госуслуги, банк, email, Telegram, ВК. Параллельно — включите двухфакторную аутентификацию там, где её ещё нет.

Шаг 3. Сообщить в банк об инциденте. Отдельным заявлением о несанкционированной операции. По закону у банка есть обязанность рассмотреть его, и если перевод действительно был выполнен под давлением и со всеми признаками мошенничества — есть шансы вернуть деньги, особенно по новой схеме «период охлаждения» для крупных переводов (с 2024 года).

Шаг 4. Заявление в полицию. Лично в отделение или через сайт МВД. Даже если сумма небольшая — заявление обязательно. Это и доказательство для банка, и попадание данных в общую статистику, по которой следователи строят кейсы против ОПГ.

Шаг 5. Подать жалобу в РКН и в Банк России. На сайте rkn.gov.ru — если использовались персональные данные. На сайте cbr.ru — на действия банка или поддельного «банка». На fincert.cbr.ru — централизованная база финансовых мошенничеств.

Шаг 6. Если взломали Telegram. «Настройки → Конфиденциальность → Активные сеансы → Завершить все другие сеансы». Затем установите облачный пароль (двухфакторная). Предупредите контакты в каналах, чтобы не реагировали на сообщения «займи денег» с вашего аккаунта.

Шаг 7. Если утекли документы. Заявление в МФЦ о компрометации паспортных данных, заморозка кредитной истории в БКИ (НБКИ, ОКБ, Эквифакс). Это не даст мошенникам взять на ваш паспорт кредит.

Защита родителей и пенсионеров: отдельный план

Старшее поколение — главная мишень телефонных мошенников. По статистике МВД, доля пострадавших старше 60 лет в схемах с «безопасным счётом» — свыше 40%, средний ущерб — выше, чем у молодёжи. Психологически это объяснимо: уважение к авторитетам («полиция», «банк», «государство»), меньше опыта работы с цифровыми сервисами, выше уровень доверия к голосу. Что реально работает на защиту:

Семейный пароль. Контрольное слово, которое знают только члены семьи, и которое нигде никогда не пишется. При любом «звонке от родственника в беде» сначала просим назвать пароль. Мошенник его не знает, и схема ломается.

Демонстрация конкретных примеров. Не «бывают мошенники, будь осторожна», а «вот пять реальных SMS, пять реальных звонков — посмотри глазами». Сядьте рядом, покажите на конкретном экране, что присылают, как говорят, какие ловушки. Картинка усваивается лучше, чем абстрактное предупреждение.

Режим «не отвечать на незнакомые номера». На iOS и Android есть встроенная функция, которая отключает звонки с номеров не из контактной книги (или направляет их сразу на голосовую почту). Включите её родителям. Все важные звонки (поликлиника, госорганы) дублируются SMS или приходят с известных номеров.

Только SMS от ваших контактов. Услуга от ряда операторов (Yota, Tele2 и другие): SMS принимаются только от номеров из адресной книги, остальное идёт в спам или удаляется автоматически. Резко режет канал smishing.

Главное правило вслух. Повторяйте родителям как мантру: «Сначала повесь трубку. Потом перезвони мне». В девяти случаях из десяти этого достаточно, чтобы сорвать атаку.

Защита бизнеса от фишинга

В корпоративной среде фишинг — это вектор номер один для всего остального: ransomware, утечек данных, взлома корпоративной почты, BEC-атак (Business Email Compromise), кражи денег со счетов компании. По отчётам Verizon DBIR и российских CERT, в 2024–2025 годах 80–90% инцидентов в компаниях стартовали с фишинга. План защиты, который я внедряю у клиентов на аудитах:

1. Обучение и тестирование. Раз в квартал — внутренняя фишинг-кампания: рассылаете сотрудникам тестовые письма (через специализированный сервис или вручную), смотрите, кто кликнул, проводите разбор. Эффект виден после двух-трёх итераций — доля «кликающих» сотрудников падает с 20–30% до 3–5%.

2. 2FA на все корпоративные сервисы. Почта, CRM, банк-клиент, админ-панели, репозитории. Даже если пароль украдён фишингом, без второго фактора учётку не возьмут. Желательно — аппаратные ключи (YubiKey) или TOTP-приложения, не SMS (SMS перехватывается через симку-перевыпуск).

3. SPF, DKIM, DMARC на корпоративном домене. Эти три записи в DNS защищают вашу компанию от подделки писем «от вашего же домена». Без них мошенник легко отправляет письмо «от генерального директора», и оно проходит спам-фильтры адресата. Настройка занимает час, эффект — отбивается целый класс атак.

4. Корпоративная фильтрация почты. Яндекс 360, Mail.ru для бизнеса, Postfix + Amavisd на своём сервере — что угодно, лишь бы фильтровать вложения, проверять ссылки на репутацию, отсекать массовые рассылки. Бесплатные ящики на mail.ru или gmail для бизнеса — это автоматическая дыра.

5. Whitelist для финансовых писем. Любые письма с просьбой о платеже от «руководителя» подтверждаются по отдельному каналу (звонок, мессенджер) — независимо от внешнего вида письма. Это правило письменно зафиксированное в политике компании. Топ-менеджмент тренируется не обижаться, когда у него «переспрашивают».

6. План реагирования. На случай, когда кто-то всё же кликнул и ввёл пароль. Кого извещать, какие учётки блокировать, как отрезать заражённую машину от сети. Без плана инцидент превращается в часовой хаос, с планом — в десятиминутную процедуру.

Топ-5 фишинг-схем 2026 в РФ

Чтобы шаблоны были ясны, разберу пять схем, которые сейчас доминируют. По каждой — короткий сценарий и точка, на которой её ломаем.

1. «Госуслуги — продлите верификацию». Жертве приходит SMS или сообщение в мессенджер: «срок верификации вашего аккаунта на Госуслугах истёк, подтвердите личность по ссылке». Ссылка ведёт на gosuslugi-online.ru или gosuslugii.ru (фейк), там форма входа с просьбой ввести логин, пароль и SMS-код. Дальше украденный аккаунт продают или используют для оформления микрозаймов. Точка слома: Госуслуги не требуют «продлять верификацию», и не пишут со ссылками в SMS. Всегда входите на gosuslugi.ru вручную.

2. «Банк — подтвердите операцию». Самая дорогая схема последних лет. Звонок «службы безопасности банка» с уведомлением о подозрительной операции, затем перевод на «следователя», «сотрудника ЦБ», «прокурора». Многочасовое психологическое давление, в финале — самостоятельный перевод денег «на безопасный счёт» или взятие кредита «для отлова мошенников». Точка слома: банк никогда не звонит с такими инструкциями. Всё, что нужно сделать жертве, — повесить трубку и перезвонить в банк сама.

3. «Налоговая — задолженность». SMS со ссылкой на nalog-online.ru или похожий домен. На сайте — форма для «оплаты задолженности» в 7–15 тысяч ₽. Жертва вводит данные карты, деньги уходят, никакая «задолженность» не существует. Точка слома: ФНС не присылает рабочих ссылок в SMS. Все начисления видны на nalog.gov.ru и в приложении ФНС после ручного входа.

4. «Маркетплейс — забери приз». Сообщение в Telegram или ВК: «вы выиграли в розыгрыше Ozon/Wildberries, заберите подарок в боте». В боте просят ввести данные карты «для оплаты доставки в 199 ₽» или подтвердить личность через SMS-код. Точка слома: маркетплейсы не проводят розыгрыши через ботов и не запрашивают данные карты «на доставку приза».

5. «Telegram Premium бесплатно». Бот или канал предлагает бесплатную Premium-подписку «за помощь с тестированием новой функции». Просит отсканировать QR-код. После сканирования мошенник получает доступ к Telegram-аккаунту жертвы и сразу выводит её из сессии. Точка слома: Telegram Premium бесплатно не раздаёт. Никогда не сканируйте QR из чужих рук для своего Telegram.

Частые вопросы

Можно ли распознать deepfake-голос на слух? Иногда — да: интонация чуть «плоская», нет фоновых шумов, паузы неестественные, обрывки звуков. Но в 2026 году качество выросло настолько, что в 70% случаев непрофессионал не отличает. Защита — не уши, а правило: при странном звонке от близкого перезвонить ему самому на знакомый номер.

Что делать, если уже сообщил код или перевёл деньги? Первые шаги — заблокировать карту, сменить пароли, написать в банк заявление о несанкционированной операции, обратиться в полицию. По переводу есть шанс вернуть, если действовать в первые часы. Подробный план — в разделе «Что делать, если попался».

Стоит ли установить антивирус на телефон? Для Android — да, особенно родителям. Kaspersky, Dr. Web, ESET — любой из крупных. Защищает от вредоносных приложений и подозрительных ссылок. Для iOS антивирус технически не нужен (платформа закрыта), но полезны встроенные функции «фильтр спама» и проверка ссылок в Safari.

Можно ли проверить ссылку до клика? Можно. На компьютере — навести курсор и посмотреть реальный URL внизу. На телефоне — задержать палец на ссылке, появится превью адреса. Сервисы вроде VirusTotal или Kaspersky Threat Intelligence Portal позволяют вставить ссылку и узнать репутацию домена.

Как защитить родителей, которые далеко? Базовый минимум: семейный пароль, ежемесячный созвон с разбором «было ли что-то подозрительное», включённый фильтр звонков от незнакомых, установленный антивирус на телефоне, ваш номер в быстром наборе. Идеально — дать удалённый доступ к их телефону через семейный аккаунт (Family Link на Android, Family Sharing на iOS).

Почему банки звонят с мобильных номеров — это нормально? Не нормально. Реальные банки звонят с короткого номера (например, 900 у Сбера, 1000 у Тинькофф) или с длинных 8-800. Любой мобильный номер «из банка» — почти гарантированно мошенник, даже если на экране показывается «Сбербанк» (имя подделывается). Всегда вешайте трубку и сами звоните в банк по номеру на обороте карты.

Куда жаловаться на фишинг в РФ? На fincert.cbr.ru — финансовые мошенничества. На rkn.gov.ru — утечки данных и подозрительные сайты. На rocit.ru — обращения в Региональный общественный центр интернет-технологий. В полицию — официальное заявление по факту хищения. В службу поддержки банка/маркетплейса/Telegram — для блокировки конкретных аккаунтов мошенников.

Как вернуть деньги, если перевёл мошеннику? Шанс есть, но небольшой. По закону с 2024 года у банков появилась обязанность приостанавливать подозрительные переводы (период охлаждения). Если вы успели заявить о мошенничестве до того, как деньги ушли со счёта-получателя, — возврат реален. Чем быстрее обратились — тем выше шанс. После 24 часов вероятность падает до 10–15%.

Выводы: 10 правил безопасности на сегодня

Свожу всё в короткий список, который имеет смысл прочитать самому, дать прочитать домашним и сохранить в заметках телефона.

1. Любая срочность («у вас 5 минут», «иначе заблокируют») — это фишинг. Берём паузу, не нажимаем.
2. Банк, Госуслуги, налоговая, полиция не присылают рабочих ссылок в SMS и не звонят с мобильных номеров.
3. SMS-код, CVV, полный номер карты, пароль — никому, никогда, ни «службе безопасности», ни «сотруднику ЦБ».
4. Любой адрес банка, Госуслуг, ФНС, маркетплейса — вбиваем в браузер вручную или открываем через официальное приложение. Никогда по ссылке.
5. Странный звонок от родственника — вешаем трубку и перезваниваем сами на его обычный номер. Семейный пароль — обязательная договорённость.
6. 2FA включена на всём важном: банк, почта, Госуслуги, Telegram, ВК, рабочие сервисы.
7. Раз в месяц проверяем активные сессии в Telegram, ВК, Google, Yandex — терминируем незнакомые.
8. Корпоративные платежи по «срочным» письмам от руководителя — подтверждаем вторым каналом (звонок, мессенджер), независимо от того, как письмо выглядит.
9. Антивирус на Android-телефонах у пожилых родственников. Фильтр звонков от незнакомых — включён.
10. Если попались — действуем за минуты, не за часы: блок карты, смена паролей, заявление в банк и полицию. План спасения в разделе «Что делать, если попался».

Большая часть фишинга в 2026 году ломается на простых вещах. AI убрал старые признаки (грамматику, акцент), но не убрал главное правило: проверяй прежде, чем нажать. Если в семье эта привычка выработана, если в компании работает регламент по подтверждению платежей и обучение сотрудников, если родители знают, что банк не звонит, — статистика на вашей стороне. Мошенник всегда играет в массовую игру: проще найти десятого, который согласится, чем дожимать одного, который сомневается. Ваша задача — быть тем, кто сомневается и проверяет. Этого достаточно.