Фишинг (от англ. phishing — рыбная ловля, по созвучию с fishing) — вид интернет-мошенничества, при котором злоумышленники под видом легитимных компаний выманивают у пользователей логины, пароли, данные банковских карт и другую конфиденциальную информацию.
Что такое фишинг в контексте SEO и интернет-безопасности — серьёзная угроза для сайтов и их владельцев: пострадавшие сайты получают санкции от Google Safe Browsing и Яндекса, теряют доверие пользователей и могут полностью выпасть из поисковой выдачи на месяцы.
Технически фишинг строится на двух элементах: социальной инженерии (психологическое давление на жертву через имитацию срочности, страха, выгоды) и технической имитации (поддельные сайты, копирующие дизайн настоящих, домены-двойники, фальшивые письма от имени банков и сервисов). По данным Anti-Phishing Working Group, в 2024 году в мире зарегистрировано более 1,2 миллиона уникальных фишинговых сайтов — на 35% больше, чем годом ранее.
Современный фишинг тесно связан с проблемой SEO-безопасности. Атакующие нередко взламывают доверенные сайты с хорошей репутацией в поисковиках, размещают на них фишинговые страницы и получают трафик из выдачи. После обнаружения такого факта Google показывает в Chrome предупреждение «Опасный сайт», а в SERP — пометку «Этот сайт может нанести вред компьютеру». Восстановление репутации занимает 2–8 недель активной работы.
Что такое фишинг
Фишинг — целенаправленное мошенничество против пользователя с целью получения конфиденциальной информации обманным путём. Жертва добровольно вводит данные на поддельном ресурсе, не понимая, что взаимодействует с мошенниками. В этом ключевое отличие фишинга от прямого взлома: техническая защита системы не нарушается, эксплуатируется доверие человека. Технически фишинг тесно связан со спамом — большинство фишинговых атак начинаются с массовых рассылок по электронной почте или SMS.
Сам термин «phishing» появился в 1996 году в сообществе AOL-хакеров. Происхождение — игра слов: fishing (рыбалка) + ph (характерная замена f в хакерском жаргоне, как в phreaking). Метафора точная: атакующий «забрасывает удочку» в виде поддельного письма или сайта и ждёт, пока кто-нибудь «клюнет».
Первая массовая фишинговая атака зафиксирована в 1996 году против пользователей AOL — рассылка писем с просьбой подтвердить данные аккаунта на поддельном сайте. С тех пор техники атак радикально усложнились: от примитивных писем про выигрыш миллиона до сложных целевых атак на конкретных сотрудников компаний с предварительным сбором информации из социальных сетей.
Виды фишинга
- Массовый фишинг. Рассылка тысяч однотипных писем или SMS с поддельной ссылкой. Расчёт на 1–3% жертв из общей массы. Самый распространённый вид. Пример: «Аккаунт в банке заблокирован, восстановите доступ».
- Целевой фишинг (spear phishing). Атака на конкретного человека или организацию. Письмо персонализировано: имя, должность, упоминание реальных событий из жизни жертвы. Уровень успеха — 30–50%. Используется против сотрудников банков, госструктур, IT-компаний.
- Whaling. Spear phishing против топ-менеджмента крупных компаний. Цель — доступ к финансовым операциям, корпоративным секретам. Письма имитируют официальные обращения от партнёров, налоговых органов, правоохранительных структур.
- Smishing. Фишинг через SMS. В Беларуси массовое явление с 2019 года: «Карта Беларусбанка заблокирована, перейдите по ссылке». Опаснее email-фишинга — пользователи привыкли доверять SMS от банков.
- Vishing. Голосовой фишинг через звонки. Мошенники представляются сотрудниками банка, технической поддержки, правоохранительных органов. Главный канал атаки на пожилых людей.
- Поисковый фишинг. Создание фишинговых сайтов с продвижением в поисковой выдаче по запросам типа «вход в Беларусбанк», «личный кабинет МТС». Жертва находит сайт через Google или Яндекс и не подозревает подмену.
- Pharming. Перехват трафика через подмену DNS — пользователь вводит правильный адрес, но попадает на фишинговый сайт. Технически сложнее и реже встречается.
- Clone phishing. Имитация уже отправленных легитимных писем — фишер копирует структуру и стиль реальной переписки, меняя только ссылки на поддельные.
Фишинг и SEO: санкции от Google
Google и Яндекс активно борются с фишингом через несколько систем:
Google Safe Browsing — глобальная база вредоносных и фишинговых сайтов. Работает в Chrome, Firefox, Safari (через интеграцию). При попытке открыть сайт из базы пользователь видит красное предупреждение «Опасный сайт» с рекомендацией не переходить. По данным Google, Safe Browsing защищает более 4 миллиардов устройств ежедневно.
Эффект для SEO:
- Сайт с фишинговым контентом или взломанный сайт получает пометку «Этот сайт может нанести вред компьютеру» в выдаче Google.
- CTR падает на 95–98% — практически никто не кликает на предупреждение.
- В Chrome пользователь видит полноэкранное красное предупреждение при попытке зайти на сайт.
- Через 7–30 дней без устранения проблемы — полное исключение из индекса.
- Восстановление после очистки сайта и подачи заявки в Search Console — 2–7 дней до снятия предупреждения, 3–8 недель до восстановления позиций.
В Яндексе аналогичный механизм работает через раздел «Безопасность» в Вебмастере. При обнаружении фишингового или вредоносного контента сайт помечается в SERP красной плашкой «Заражённый сайт». Восстановление — после очистки и переобхода Яндекс.Антивирусом.
Как распознать фишинговый сайт
Признаки фишингового сайта:
- Подозрительный домен. Доменное имя похоже на оригинал, но содержит подмены:
belarusbank-online.comвместоbelarusbank.by,cdek-tracker.ruвместоcdek.by,onliner-payment.comвместоonliner.by. Регистрация домена — недавняя (1–60 дней). - Отсутствие HTTPS или подозрительный сертификат. Современные банки и сервисы всегда работают через HTTPS с EV-сертификатами. Отсутствие SSL и зелёного замка в адресной строке — критический признак. Многие фишинговые сайты подделывают SSL через Let’s Encrypt — наличие сертификата не гарантирует подлинность.
- Дизайн с ошибками. Скопированный дизайн оригинального сайта с мелкими дефектами: смещённые элементы, неправильные шрифты, дешёвые логотипы, опечатки в текстах.
- Срочность и давление. «Подтвердите данные в течение 24 часов или аккаунт будет заблокирован», «Платёж не прошёл, перейдите по ссылке немедленно».
- Запросы избыточной информации. Запрос данных, которые легитимный сервис никогда не спросит: пароля от карты целиком, кода с обратной стороны, секретного кода из СМС для «подтверждения».
- Грамматические ошибки. Машинный перевод, странные обороты речи, ошибки в склонениях — частый признак иностранного фишингового сайта, маскирующегося под русскоязычный.
- Отсутствие контактной информации. Нет адреса офиса, телефонов, ИП/УНП, юридических данных. Либо контактная информация скопирована с реального сайта, но при проверке адреса не существует.
- Нетипичный URL после действия. После «логина» страница ведёт не на личный кабинет, а на странный URL или сообщение об ошибке. Данные уже отправлены.
Защита от фишинга для бизнеса
| Угроза | Мера защиты | Стоимость |
|---|---|---|
| Взлом сайта и размещение фишинговых страниц | WAF (Cloudflare, Sucuri), регулярные обновления CMS, плагины безопасности (Wordfence для WordPress) | Cloudflare Free, Sucuri от 200 USD/год, Wordfence Free |
| Регистрация доменов-двойников | Мониторинг похожих доменов (DNS Twist, Phishtank), регистрация ключевых вариаций своего домена | Мониторинг от 30 USD/мес, регистрация домена 30–50 BYN/год за каждый |
| Фишинг от имени бренда в письмах | SPF, DKIM, DMARC-записи в DNS домена. Защита от подмены отправителя | Бесплатно, требуется настройка специалистом |
| Социальная инженерия против сотрудников | Обучение персонала, симулированные фишинговые атаки (KnowBe4, Cofense) | 10–50 USD на сотрудника в год |
| Хищение паролей сотрудников | Двухфакторная аутентификация во всех корпоративных сервисах. Менеджеры паролей (1Password, Bitwarden) | 2FA бесплатно, менеджеры паролей 3–8 USD/мес на пользователя |
| Подменённые ссылки в письмах партнёрам | Защищённые корпоративные почтовые серверы с антифишинговой фильтрацией (Google Workspace, Microsoft 365) | Google Workspace от 6 USD/пользователя/мес, Microsoft 365 от 5 USD |
Региональная специфика Беларуси
В Беларуси проблема фишинга усилилась с 2020 года и достигла пика в 2023–2024 годах. Основные мишени:
- Банковский сектор. Подделки сайтов Беларусбанка, Белагропромбанка, БПС-Сбербанка, Альфа-Банка РБ, Приорбанка. Особо опасные периоды — налоговые отчётности и предновогодние выплаты.
- Государственные сервисы. Подделки сайтов МНС, ЕРИП, портала gov.by. Атаки направлены на ИП и юрлица — выманивание паролей от кабинетов.
- Маркетплейсы. Поддельные страницы Wildberries, OZON, Kufar, Deal.by. Жертвы — продавцы (вход в личный кабинет) и покупатели (поддельная оплата).
- Доставка. Имитация сайтов Белпочты, Европочты, СДЭК. Активная атака через SMS «Посылка ждёт получателя, оплатите доставку».
- Криптообмен. Поддельные обменники белорусских P2P-площадок. Особо рискованны — обмен криптовалют не защищён законом РБ.
Юридический аспект: фишинг в Беларуси квалифицируется по статье 212 УК РБ (хищение путём использования компьютерной техники) и статье 222 (изготовление и использование поддельных платёжных средств). Жертвы фишинга могут обращаться в Управление по раскрытию преступлений в сфере высоких технологий (УРПСВТ) МВД РБ. Срок рассмотрения заявлений — 30 дней, но раскрываемость низкая из-за анонимности атакующих, часто работающих из-за рубежа.
Часто задаваемые вопросы
Может ли мой сайт попасть в базу фишинговых, если на нём нет фишингового контента?
Может — после взлома. Атакующие нередко взламывают сайты с хорошей репутацией в поисковиках и размещают на них фишинговые поддомены или скрытые страницы. Сайт быстро попадает в Google Safe Browsing после обнаружения. Защита: регулярные обновления CMS, плагины безопасности, мониторинг файловой системы хостинга.
Сколько времени снимается пометка «Опасный сайт» в Google?
После полного устранения фишингового контента и подачи заявки на пересмотр в Search Console — 2–7 дней. Восстановление до прежних позиций в выдаче — 3–8 недель. Сайты с повторными нарушениями восстанавливаются медленнее или попадают в постоянный список опасных.
Как проверить, есть ли сайт в базе Google Safe Browsing?
Через инструмент Google Transparency Report: transparencyreport.google.com/safe-browsing/search. Ввести URL — получить статус сайта. Альтернатива для Яндекса: Яндекс.Вебмастер → раздел «Безопасность» — показывает наличие нарушений.
Что делать, если на моём имени бренда зарегистрирован фишинговый домен?
Подать жалобу в TLD-регистратор (для .by — Hoster.by или RUE Belgie через УП «БелГИЭ»). Подать жалобу в Google Safe Browsing и Яндекс через специальные формы. Параллельно — обращение в правоохранительные органы по статье 226 УК РБ (нарушение прав на товарный знак).
Защищает ли от фишинга только наличие HTTPS на сайте?
Нет. С 2018 года любой сайт может бесплатно получить HTTPS-сертификат через Let’s Encrypt, включая мошеннические. По данным APWG, в 2024 году 84% фишинговых сайтов работали на HTTPS. Зелёный замок — это только подтверждение шифрования соединения, не подлинности сайта.
Можно ли заработать на репортинге фишинговых сайтов?
Прямого вознаграждения нет, но есть bug bounty программы (HackerOne, Bugcrowd) от крупных компаний за обнаружение фишинговых страниц на их инфраструктуре. Награды — от 50 до 5000 USD за подтверждённое сообщение. Также есть программы Microsoft, Google, Apple, Meta.
Влияет ли фишинг на SEO конкурентов, если они тоже работают в моей нише?
Косвенно — да. Если в нише массово появляются фишинговые сайты-двойники известных брендов, Google и Яндекс начинают строже относиться к новым сайтам в нише. Молодые легитимные проекты дольше получают доверие алгоритмов. Это особенно заметно в финансовом и банковском SEO в Беларуси.
