Фишинговые сайты: 10 признаков подделки и как их проверить

Фишинг (от англ. phishing — «ловля рыбы») — создание поддельных веб-сайтов, имитирующих легитимные ресурсы с целью кражи учётных данных, паролей и финансовой информации. По данным АРРФР, фишинговые сайты стоят за 22% случаев несанкционированного доступа к банковским счетам казахстанцев. Жертвами чаще всего становятся люди, перешедшие по ссылке из SMS, мессенджера или результатов рекламы в поисковике.

Как попадают на фишинговый сайт

• Ссылка в SMS якобы от банка: «Ваша карта заблокирована, перейдите для разблокировки».
• Рекламное объявление в Google или Яндекс, ведущее на клон официального сайта.
• Сообщение в Telegram или WhatsApp с «выгодным предложением».
• QR-код на листовке или в общественном месте.
• Письмо на email якобы от egov.kz, Kaspi или Halyk с запросом обновить данные.

10 признаков фишингового сайта

1. Подозрительный URL. Вместо kaspi.kz — kaspl.kz, kaspii.kz или kaspi-bank.info. Одна изменённая буква, лишний символ, другой домен верхнего уровня.
2. Отсутствие HTTPS или ненадёжный сертификат. Адресная строка должна начинаться с https:// с иконкой замка. Но внимание: HTTPS не гарантирует, что сайт легитимный — только то, что соединение зашифровано.
3. Сертификат на чужое имя. Кликните на замок в адресной строке и проверьте, на чьё имя выдан сертификат. Настоящий сайт Kaspi имеет сертификат для kaspi.kz, а не для random-domain.com.
4. Орфографические и грамматические ошибки. Мошенники торопятся: тексты на фишинговых сайтах часто содержат ошибки, которых не бывает у официальных ресурсов.
5. Устаревший или неполный дизайн. Клон создаётся один раз и не обновляется — часть элементов может не работать, ссылки вести на пустые страницы.
6. Нет официальных контактов. Отсутствуют юридический адрес, телефон поддержки, реквизиты организации.
7. Запрос избыточных данных. Настоящий банк никогда не просит одновременно номер карты, CVV и код из SMS на одной странице.
8. Срочность и угрозы. «Ваш счёт будет заблокирован через 24 часа» — классический способ подтолкнуть к импульсивным действиям.
9. Нет политики конфиденциальности или пользовательского соглашения. Серьёзные сервисы всегда публикуют эти документы.
10. Молодой домен. Фишинговые сайты живут недолго — проверьте возраст домена через whois.domaintools.com.

Инструменты проверки

Что делать, если всё-таки ввели данные

Действуйте немедленно:

1. Позвоните в банк и заблокируйте карту или смените пароли онлайн-банка.
2. Если вводили пароль от почты или социальных сетей — смените пароли и включите двухфакторную аутентификацию.
3. Подайте жалобу в АРРФР через eOtinish и заявление в Комитет информационной безопасности МЦ РК.
4. Сообщите о фишинговом сайте в Google через инструмент «Сообщить о фишинге» — это поможет защитить других пользователей.

«Мошенники в 2023 году активно размещали рекламу фишинговых сайтов казахстанских банков в Google и Яндекс — клон появлялся выше официального сайта в результатах поиска. АРРФР направило предписания поисковикам о блокировке таких объявлений».

— АРРФР, пресс-релиз, ноябрь 2023

Помните: фишинг часто предшествует попаданию в список СФМ — когда мошенники используют похищенные данные для операций, которые система антифрода расценивает как подозрительные. Если ваш счёт заблокирован после фишинговой атаки, StopAntiFraud поможет разобраться с ситуацией.