Если бы у злоумышленников был корпоративный мерч, на нем точно значилось бы «Support Team». Маска «службы поддержки» — это универсальный пропуск к нашим эмоциям: страху потерять деньги, желанию «срочно подтвердить личность» и банальной привычке доверять знакомому логотипу. Сегодня расскажу, как сам чуть не клюнул на такую схему, что из этого вынес и как теперь защищаюсь по-настоящему.
История началась банально: получил сообщение якобы от поддержки биржи о «подозрительной активности». Ничего особенного — обычный будний день, куча дел, и вот это письмо с просьбой «срочно подтвердить данные». Если бы не одна деталь, которая заставила остановиться...
Анатомия обмана: как работает легенда «мы из поддержки»
Сценарии фишинга похожи как близнецы. Сначала злоумышленники находят вас там, где вы уже общались о бирже — в почте, Telegram, соцсетях, на форумах. Дальше начинается театр одного актёра: «Замечена подозрительная активность», «ваш аккаунт ограничен», «нужно повторно пройти KYC» или мой личный фаворит — «возврат средств, просто подтвердите данные».
Всё безумно срочно, специалист уже в чате и ласково держит за руку. Главный трюк — перевести разговор на «официальный» сайт по ссылке. Именно тут многие атаки и заканчиваются успехом — достаточно одного клика по неправильной ссылке.
Триггеры, на которые я сам чуть не купился: обещание возврата денег, страх блокировки счёта, «эксклюзивная помощь» и конечно же «приоритетный канал поддержки». Каналы могут быть любыми: email, Telegram, WhatsApp, личные сообщения в соцсетях или даже поддельная форма обратной связи на клон-сайте.
Технический конвейер: от клика до потери аккаунта
Романтика «человеческого фактора» заканчивается там, где начинается холодная техника. Современные фишинговые наборы научились красть не только логин и пароль, но и обходить двухфакторную аутентификацию. Это называется AiTM — «adversary-in-the-middle», когда злоумышленник становится невидимой прокладкой между вами и настоящим сайтом.
Схема работает просто и эффективно. Вы получаете ссылку на домен-двойник (иногда с хитрой подменой символов) или короткую ссылку. Попадаете на прокси-страницу, которая выглядит один в один как оригинал, но весь трафик идёт через сервер злоумышленника. Вводите логин и пароль — прокси тут же пересылает их реальному сайту биржи. Затем запрашивается код 2FA, и вот тут начинается самое интересное: прокси мгновенно подставляет ваш код на оригинальном сайте. После успешного входа злоумышленники забирают все session cookies и продолжают работать уже без вас.
Именно поэтому фраза «у меня же был двухфакторный код» больше не спасает. Если вы вводите токен на поддельной странице, его используют за доли секунды — быстрее, чем вы успеете моргнуть.
Как крадут 2FA: карта реальных угроз
Второй фактор аутентификации бывает разным, и каждый тип атакуют по-своему. Расскажу про основные векторы атак без лишней мистики — только факты, которые стоит знать каждому.
AiTM-фишинг через прокси выглядит как обычная страница входа, но проходит через сервер злоумышленника. Их задача — перехватить код 2FA и сессионные куки. Спасают FIDO2/WebAuthn ключи, изоляция браузера и внимательная проверка домена.
«Перенос аутентификатора» — когда просят «сканировать QR-код для восстановления доступа». Цель — выудить секретный ключ TOTP, чтобы генерировать ваши коды. Правило простое: никогда не делитесь seed/QR-кодами, переходите на FIDO2.
Push-усталость (MFA fatigue) — это когда вам отправляют множественные пуш-запросы «Подтвердить вход» в надежде, что вы рефлекторно нажмёте «ОК». Решение: отключить пуш-2FA, включить ключи безопасности.
OTP-боты и звонки — классика жанра: «Мы из банка/биржи, продиктуйте код для отмены подозрительной операции». Железное правило: коды не диктуем никому, вообще никогда.
SIM-swap — переоформление номера у оператора связи для перехвата SMS-кодов. Защита: запрет eSIM/дубликата без личного визита, полный отказ от SMS-2FA.
Поддельные сайты: учимся отличать оригинал
Фишинговые домены становятся изящнее с каждым годом. Главное — не верить «зелёному замочку» в адресной строке: TLS-сертификаты сейчас есть у всех, включая мошенников. Смотреть нужно глубже.
IDN-подмена — это когда кириллическая «с» заменяет латинскую «c», добавляется точка сверху или лишняя буква. Я проверяю подозрительные домены через Unicode Confusables — очень полезный сервис.
Поддоменная ловушка: support.exchange.example.com — это совсем не то же самое, что exchange.com. Обращайте внимание на полный адрес.
Фальшивые сайты часто пробиваются в верх рекламного блока поисковиков. Мой совет: всегда заходите вручную — набрали адрес, добавили в закладки, используете только их.
URL-коротители и «файлообменники-формы» — нежелательные посредники. Перед кликом проверяю через urlscan.io или VirusTotal .
Что включить в защите прямо сегодня
Часть настроек бесплатна и займёт пять минут, часть требует небольших инвестиций в железо. Но все они бьют точно по болевым точкам современного фишинга.
Переход на ключи безопасности (FIDO2/WebAuthn) — это мой главный совет. Аппаратные ключи типа YubiKey не поддаются AiTM-перехвату, потому что привязывают вход к конкретному домену. Подробную информацию можно найти в WebAuthn Guide .
Отключение SMS-2FA — оставляю только TOTP и ключи. SMS слишком легко перехватывается через SIM-swap.
Парольный менеджер — пусть сам «узнаёт» домен и подставляет логин/пароль только на настоящем сайте. Использую Bitwarden , но 1Password тоже отличный выбор.
Антифишинговый код — многие биржи позволяют задать специальную строку, которая будет в каждом письме от поддержки. Нет кода — письмо поддельное.
Белый список адресов для вывода — включаю задержку и подтверждение по whitelist. Даже при угоне сессии быстрый вывод станет проблематичным.
Изоляция сессий — логин на биржу только в отдельном профиле браузера, без расширений и посторонних вкладок.
Чек-лист на случай, если «поддержка» уже пишет
Не спорьте в чате — спорить они умеют лучше нас. Лучше притормозите и включите холодную процедуру проверки.
Никогда не переходите по ссылке из чата или письма. Открывайте сайт из своей закладки. Не диктуйте коды и не сканируйте «восстановительные QR-коды» по просьбе «специалиста».
Проверяйте домен: раскрывайте короткие ссылки, смотрите на Punycode и конфьюзаблы. Просите «специалиста» указать номер официального тикета, который виден в вашем личном кабинете поддержки. Если это «приватный чат» — это точно не поддержка.
Сохраняйте доказательства: скриншоты, заголовки писем, ссылки. Пробивайте подозрительные ссылки через urlscan.io и PhishTank .
Если уже ввели данные или код
Паника — плохой советчик, но время действительно работает против вас. Действую по сценарию «минимизируем ущерб».
Сразу захожу на официальный сайт из закладки и выхожу из всех сессий. Меняю пароль на уникальный и длинный, отключаю и заново включаю 2FA, перегенерирую TOTP-секрет.
Подключаю FIDO2/WebAuthn и делаю запасной ключ. Отключаю или регенерирую API-ключи, проверяю разрешения и IP-фильтры. Смотрю журнал входов и выводов, включаю или ужесточаю адресный whitelist.
Открываю официальный тикет через личный кабинет поддержки, прикладываю все доказательства. Проверяю почту на предмет взлома, включаю там 2FA и по возможности программу усиленной защиты вроде Google Advanced Protection .
Если был задействован номер телефона — связываюсь с оператором, запрещаю удалённую замену SIM/eSIM. Проверяю утечки своих адресов и паролей через Have I Been Pwned и закрываю повторно используемые пароли.
Инструменты для ежедневной защиты
Мой браузерный арсенал, который закрывает 90% бытовых угроз. Все ссылки проверены и актуальны.
urlscan.io — безопасно «прогоняет» подозрительные ссылки через изолированную проверку. VirusTotal — агрегатор антивирусных движков и репутации доменов. PhishTank — база известных фишинговых доменов.
ICANN Lookup — базовая информация о домене (теперь работает через новый протокол RDAP вместо старого WHOIS). Unicode Confusables — проверка «похожих» символов в доменных именах.
Реальный кейс: один день из жизни «поддержки»
Расскажу, как это происходит на практике — без спецэффектов, но с узнаваемыми репликами.
Сначала хук: вы оставили комментарий о проблеме с выводом средств. Через час приходит сообщение: «Здравствуйте, мы из команды эскалации, сразу решим вашу проблему».
Затем создание доверия: аватарка с логотипом биржи, «номер сотрудника», грамотная речь. Предлагают «открыть приоритетный тикет для ускорения».
Дают ссылку вида support-exchange.help или exchange.com.verify-center.net. Форма просит логин и пароль, потом «для ускорения процесса» — код 2FA.
На вашей реальной учётке открывается новая «легитимная» сессия. Начинаются тестовые операции, создание API-ключей. В финале вежливо благодарят за «подтверждение», чтобы вы не начали проверять личные кабинеты раньше времени.
Мой главный вывод: привычка важнее паранойи
Фишинг «от поддержки» работает не потому, что мы глупы, а потому что мы заняты. За годы я выработал три простых автоматизма: захожу только через закладки, никому не даю коды или QR-коды, а 2FA перевёл на аппаратные ключи.
Всё остальное — приятные дополнения к этим базовым привычкам. Современная защита — это не паранойя, а гигиена. Как чистить зубы или пристёгивать ремень безопасности.
Мини-шпаргалка, которую я держу на рабочем столе: поддержка не пишет в личку и не просит коды; ссылки — только из закладок; WebAuthn/FIDO2 — must have, SMS-2FA — в прошлое; любая «срочность» — искусственная, остановись и проверь; если видишь «поддержку» в чате — спроси номер тикета из личного кабинета.
Берегите себя и свои аккаунты. В эпоху, когда злоумышленники становятся изобретательнее, наша защита тоже должна эволюционировать.
