Smishing
Вид фишинг-атаки через SMS-сообщения: жертва получает SMS якобы от банка, госоргана или маркетплейса — со ссылкой или QR-кодом, ведущим на фейковый сайт для кражи учётных данных, OTP и данных карты.
Что такое Smishing
Smishing (SMS + phishing) — атака, при которой злоумышленник доставляет фишинговую ссылку через SMS. Жертва получает сообщение с убедительным предлогом: «Ваш аккаунт заблокирован», «Посылка задержана», «Налоговый вычет готов к выплате». Внутри — ссылка или QR-код на фейковый сайт, который собирает учётные данные, одноразовые коды (OTP), номера карт или сканы паспорта.
SMS воспринимается как более доверенный канал, чем email: люди привыкли получать настоящие сообщения от банков и государственных сервисов именно в виде SMS. Это и эксплуатируют атакующие — короткий текст, фирменный тон, имя отправителя «SberBank» или «Gosuslugi» (в ряде операторов его можно подделать через sender-id).
По данным BI.ZONE и F.A.C.C.T., в 2024 году smishing-атаки в России выросли на 40%+: мошенники переключились с email на SMS после того, как крупные почтовые сервисы внедрили массовую фильтрацию через SPF/DKIM/DMARC.
Сценарии 2024–2025 в России
- «Госуслуги: аккаунт взломан». SMS с призывом «подтвердить личность» по ссылке. Страница — точная копия login.gosuslugi.ru, только домен вроде
gosuslugi-id-confirm.ru. Цель — угнать доступ к СНИЛС, ИНН, паспорту и дальше брать кредиты по доверенности. - «Сбербанк: подозрительная операция». «Перевод 47 800 ₽ на карту Тинькофф. Если не вы — отмените по ссылке». Жертва вводит данные карты на фейке и авторизует списание вместо «отмены».
- «СДЭК / Почта России: оплатите доставку». «Посылка на складе, необходима доплата 89 ₽» — классическая схема. Фейковая страница СДЭК просит ввести реквизиты карты. В итоге списывается не 89 ₽, а несколько тысяч через подписку или полный перехват карты.
- «Wildberries: оформите возврат». SMS якобы от WB с QR-кодом для «подтверждения возврата». QR ведёт на фейк с формой «Укажите счёт для зачисления» — и деньги уходят мошеннику.
- «ФНС: налоговый вычет 13%». «Вам одобрен вычет 23 400 ₽. Для получения пройдите идентификацию» — ссылка на страницу, собирающую копии документов и банковские реквизиты.
Smishing + Quishing — комбинированная атака
Современные кампании объединяют два вектора: SMS доставляет приманку, QR-код скрывает настоящий URL. Это комбинация quishing и smishing, которая сложнее обнаруживается.
Работает так: жертва получает SMS «Отсканируйте QR-код для подтверждения операции». Встроенная SMS URI или MMS содержит изображение с QR. Человек сканирует — и попадает на фишинговый сайт. Защиты два уровня: сначала нужно распознать подозрительную SMS, затем не доверять QR из неизвестного источника.
Есть и обратная схема: QR-код на листовке или наклейке ведёт жертву на фейковую страницу, которая просит ввести номер телефона — а потом бот рассылает SMS с «подтверждающим кодом», чтобы завершить перехват аккаунта. Здесь quishing запускает smishing-атаку.
Если вы сомневаетесь в QR-коде — воспользуйтесь нашим сканером с предпросмотром URL перед открытием. Подозрительный домен вроде gosuslugi-verify.net виден сразу, ещё до перехода.
Признаки вредоносного URL в таких атаках: домен не совпадает с официальным (gosuslugi.ru, sber.ru, cdek.ru), есть лишние слова («-online», «-id», «-confirm», «-secure»), домен зарегистрирован недавно, HTTPS есть (но это не гарантия — сертификат можно получить бесплатно на фейковый сайт).
Частые вопросы
Как отличить настоящую SMS от банка от smishing?
Настоящие банки никогда не просят перейти по ссылке для «отмены операции» или «подтверждения личности» — они просят позвонить на официальный номер на обороте карты. Если SMS содержит ссылку с доменом, отличным от официального (например, не sber.ru, а sber-online-secure.ru), — это мошенничество. Проверяйте отправителя: банк приходит с короткого буквенного имени (SberBank, Tinkoff), но эти имена подделываются через sender-id у ряда операторов. Лучший способ — позвонить в банк самостоятельно по официальному номеру.
Можно ли сканировать QR-код из SMS?
Не рекомендуется, если SMS пришла от незнакомого источника или содержит тревожный призыв (заблокирован, оплатите, подтвердите). QR в SMS скрывает настоящий URL до сканирования — это именно то, что нужно мошеннику. Если вы всё же сканируете, используйте сканер с предпросмотром ссылки, читайте домен до нажатия «Открыть» и ищите расхождения с официальным адресом сервиса.
Что делать, если я перешёл по ссылке из подозрительной SMS?
Если успели ввести данные карты — немедленно звоните в банк и блокируйте карту. Если ввели пароль от Госуслуг — меняйте его прямо сейчас на gosuslugi.ru, зайдя вручную (не по ссылке), и проверяйте «Историю входов» в личном кабинете. Установите антивирус (Kaspersky, Dr.Web) и проверьте устройство. Если передали данные паспорта — подайте заявку в банк на наблюдение за кредитной историей: мошенники могут попытаться взять кредит.
Почему smishing так трудно остановить на уровне оператора?
Операторы фильтруют спам-SMS, но мошенники используют несколько обходов: регистрируют «серые» SIM-карты пачками, арендуют иностранные SMS-шлюзы, подделывают буквенные sender-id через договорённости с партнёрскими операторами. Роскомнадзор и операторы блокируют схемы, но это гонка: новую инфраструктуру поднимают за часы. Поэтому фильтрация работает, но не даёт 100% результата.
Защищает ли двухфакторная аутентификация от smishing?
Частично. Если мошенник перехватил только логин и пароль — 2FA (OTP-код) не даст войти в аккаунт. Но в smishing-сценарии фейковая страница может запросить и OTP в реальном времени: жертва вводит код на фишинговом сайте, мошенник мгновенно использует его на настоящем ресурсе. Поэтому 2FA не панацея от smishing — важно не вводить OTP ни на каком сайте, на который вы перешли по ссылке из SMS.