Прескокни до главната содржина

Како да се заштитите од фишинг напади

Фишингот останува главниот начин на кој се крадат сметки. Научете како работи современиот фишинг, предупредувачките знаци што треба да ги набележите и практични одбрани што навистина ги спречуваат нападите.

2026-04-14

TL;DR

  • Фишингот е главната причина за преземање на сметки — напаѓачите ве мамат да ги дадете вашите акредитиви на лажна страница.
  • Современите фишинг комплети ги клонираат страниците за најавување пиксел-совршено и ги прокси вашите 2FA кодови во реално време.
  • Хардверските безбедносни клучеви (YubiKey, FIDO2) се единствената одбрана која е заштитена од фишинг по дизајн.
  • Менаџерите за лозинки ве заштитуваат со одбивање да автополнат на погрешен домен.
  • Проверете го точниот домен пред внесување на акредитиви и никогаш не се најавувајте преку линк во е-пошта.

Што е фишинг?

Фишингот е напад на социјално инженерство каде што напаѓач создава убедлива копија на легитимна веб-страница — често пиксел-совршена — и ја мами жртвата да ги внесе акредитивите таму. Во моментот кога жртвата го поднесува формуларот, напаѓачот ги фаќа корисничкото име, лозинката и секој втор фактор, потоа ги користи за да ја преземе вистинската сметка во секунди.

Зборот доаѓа од метафората на "pecарење" за жртви со мамка (обично е-пошта). Правописот се променил за да се нагласи дека напаѓачите често користат телефонски броеви (SMS фишинг или "smishing") и професионално изгледающa инфраструктура.

Зошто фишингот сè уште е заканата број 1

Повеќето крупни прекршоци на сметки денеска не вклучуваат хакирање, кршење лозинки или заобиколување на енкрипција. Тие вклучуваат човек што внесува лозинка на лажна страница. Фишингот е:

  • Евтин — напаѓач може да прати милиони е-пошти за цената на VPS и лажен домен
  • Тешко за филтрирање — современите комплети ги ротираат домените, користат легитимно хостинг и се приспособуваат на филтрите во реално време
  • Ефективен — дури и корисниците свесни за безбедноста паѓаат за добро изработени насочени обиди (спир фишинг)
  • Скалабилен — еден успешен фиш често дава пристап до десетици поврзани услуги преку повторна употреба на лозинки

Извештајот за истрага на прекршоци на податоци од Verizon за 2024 година откри дека фишингот беше почетниот вектор за пристап во над 36% од сите прекршоци — повеќе од која било друга единствена причина.

Како работи современиот фишинг

Фишингот еволуираше далеку од е-поштите "нигериски принц" од 2000-тите. Современ фишинг напад типично вклучува:

1. Убедлива мамка

Обично е-пошта, текст или порака за разговор која создава итност ("Вашата сметка ќе биде суспендирана"), авторитет ("Microsoft безбедносен тим") или љубопитност ("Некој ве означи на фотографија"). Спир-фишингот оди понатаму со лични детали извлечени од LinkedIn, прекршувања или претходна кореспонденција.

2. Пиксел-совршена лажна страница

Напаѓачите користат готови фишинг комплети кои ги клонираат HTML, CSS и JavaScript на целната страница. Многу комплети се продаваат како услуга (фишинг-како-услуга), со работни контролни табли и корисничка поддршка.

3. Прокси во реално време за 2FA

Опасниот дел: современите комплети не ја фаќаат само вашата лозинка. Тие дејствуваат како човек-во-средина прокси кој ги проследува сè што внесувате — вклучувајќи го и вашиот TOTP код — на вистинската страница во секунди, заобиколувајќи ја повеќето 2FA. Оваа техника се нарекува противник-во-средина (AiTM) и се користи во алатки како Evilginx2 и Modlishka.

4. Кражба на сесиски токени

Откако ќе се автентицирате преку прокси, напаѓачот го фаќа вашиот сесиски колаче и може да го користи за да остане најавен дури и откако ќе ја смените лозинката. Затоа одговорот на фишинг секогаш вклучува отповикување на активни сесии, не само ротација на лозинки.

Што навистина го запира фишингот

Хардверски безбедносни клучеви (FIDO2 / WebAuthn)

Ова е единствената категорија одбрана која е заштитена од фишинг по дизајн. Кога се најавувате со FIDO2 клуч, вашиот клуч криптографски го верификува точниот домен на страницата која бара автентикација. Лажна страница — без разлика колку визуелно совршена — има различен домен, па клучот одбива да одговори. Криптографскиот рачен поздрав едноставно не се довршува.

Google знаменито ги мандатираше YubiKeys за сите 85.000+ вработени во 2017 и пријави нула успешни фишинг напади на компаниските сметки во годините што следеа.

Паскејс

Паскејс се потрошувачки пријателската еволуција на FIDO2. Тие ја користат истата криптографија врзана за домен и се вградени во iOS, Android, macOS и Windows. Ако страница која ја користите поддржува паскејс, овозможувањето на еден ја прави таа сметка заштитена од фишинг.

Менаџери за лозинки

Менаџер за лозинки е вашата втора линија одбрана бидејќи автополнува акредитиви само на точниот домен каде што беа зачувани. Ако завршите на paypaI.com (голема I) наместо paypal.com, вашиот менаџер тивко одбива да го пополни формуларот. Тоа одбивање е гласно предупредување дека нешто не е во ред.

Е-пошта и DNS филтрирање

Провајдерите за е-пошта користат DMARC, SPF и DKIM за откривање на лажни адреси на пошалителот. Повеќето современи провајдери ги фаќаат очигледните обиди, но насочените напади сè уште проаѓаат. Овозможете копчиња "пријави фишинг" во вашиот клиент за пошта за да им помогнете на филтрите да се подобрат.

Предупредувачки знаци на кои треба да внимавате

Кога добивате порака која ви бара да се најавите, верификувате или дејствувате итно:

  • Итност и закани — "Вашата сметка ќе биде затворена за 24 часа"
  • Генерички поздрави — "Драг клиент" наместо вашето име
  • Слични домениpaypaI.com, app1e.com, secure-microsoft-login.net
  • Неочекувани прилози — особено .zip, .html или .pdf датотеки кои ви бараат да се најавите за да ги видите
  • Граматички или форматски грешки — големите компании ги проверуваат своите е-пошти
  • Неусогласеност на линк — поминете со глушецот над линкот и проверете дали дестинацијата се совпаѓа со текстот

Ако нешто се чини чудно, затворете ја е-поштата. Одете на страницата рачно. Ако има вистински проблем, ќе го видите кога ќе се најавите преку вашиот нормален работен тек.

Што да направите ако паднете на еден

Дејствувајте брзо — брзината е важна бидејќи напаѓачите почнуваат да ги користат акредитивите во рамки на минути.

  1. Сменете ја лозинката веднаш на друг уред (вашиот телефон, на пример, ако паднавте на него на лаптоп)
  2. Отповикајте ги сите активни сесии во поставките на сметката — ова ги исфрла сите кои тековно користат украдени сесиски токени
  3. Овозможете 2FA ако веќе не беше вклучена, и користете хардверски клуч или паскеј ако е можно
  4. Проверете за неовластена активност — пратени е-пошти, неодамнешни најавувања, промени во наплатување, нови правила за проследување
  5. Известете ја засегнатата институција ако е финансиска или работна сметка
  6. Проверете други сметки кои ја користеа истата лозинка — дури и ако сте сигурни дека не ги користите повторно лозинките, проверете

Заклучокот

Фишингот напредува бидејќи ја заобиколува технологијата и ги насочува луѓето. Најдобрите одбрани мешаат три слоеви: менаџери за лозинки (одбиваат да автополнат на погрешни домени), отпорна на фишинг 2FA (хардверски клучеви или паскејс кои се врзуваат за вистинскиот домен), и здрав скептицизам (никогаш не се најавувајте од линк во е-пошта).

Овозможете ги сите три на вашата најважна сметка — вашата е-пошта — прво. Оттаму, остатокот од вашиот дигитален живот станува значително побезбеден.

Како да се заштитите од фишинг

Практична, подредена листа за проверка за зајакнување на вашите сметки против фишинг напади.

  1. Користете менаџер за лозинки:Инсталирајте реномиран менаџер за лозинки (1Password, Bitwarden, Proton Pass) и дозволете му да ги автополнува акредитивите. Тој ќе одбие да автополни на слични домени, давајќи ви вграден детектор за фишинг.
  2. Овозможете отпорна на фишинг 2FA:Додајте FIDO2 хардверски клуч (YubiKey, Google Titan) или паскеј на вашите најважни сметки — прво е-пошта, потоа банкарство, облачно складирање и менаџер за лозинки. Тие се единствените 2FA методи кои навистина го запираат современиот фишинг.
  3. Никогаш не се најавувајте преку линкови од е-пошта:Кога ќе добиете е-пошта која ви бара да се најавите, затворете ја е-поштата и одете на страницата рачно преку обележувач или со внесување на URL-то. Линкот во е-поштата може да биде совршена копија; обележувачот во вашиот прелистувач не е.
  4. Проверете го точниот домен пред внесување:Пред внесување на која било лозинка, погледнете го целиот URL во адресната лента. Барајте https, правилна граматика и нема дополнителни поддомени како paypal.com.secure-login.net.
  5. Пријавете и продолжете:Пријавете го обидот за фишинг на вашиот провајдер за е-пошта (повеќето имаат копче "Пријави фишинг"). Потоа продолжете со вашиот ден — фишингот е опасен само ако паднете на него, а свеста е поголемиот дел од битката.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email