Главная жертва фишинга — вовсе не наивный, а спешащий

В новостной повестке про кибербезопасность чаще всего всплывают истории о доверчивых пенсионерах. Но статистика за первое полугодие 2025-го рисует совсем другую картину: главная мишень — люди 25-39 лет. Это как раз те, кто постоянно онлайн, работает, платит картами и не выпускает телефон из рук. Слишком много задач, слишком мало времени — и именно на этом играет мошенник. Он не ищет наивных, он ищет тех, у кого есть деньги, доступы и привычка к "автопилоту".

Кто и как чаще попадает в сети

По данным Sidorin Lab, на возраст 25-39 приходится 32,5% упоминаний обманов в соцсетях за полугодие. Следом идут 40-59 лет (31,4%). Младше 18 — лишь 2,9%, старше 60 — 20,8%. Картина парадоксальная только на первый взгляд. Экономически активные люди чаще взаимодействуют с банками, маркетплейсами, сервисами доставки и такси, активнее пользуются мобильным банком, облаками, корпоративной почтой. Значит — больше точек входа для фишинга и социальной инженерии.

"Сегодня в зоне риска вовсе не пенсионеры, а экономически активные граждане, ИТ-специалисты и крупные компании. Для мошенников важна не доверчивость, а доступ к деньгам и данным", — пояснила генеральный директор Sidorin Lab Дарья Свистунова.

За цифрами — вполне бытовые сюжеты: взлом "ВКонтакте" с рассылкой "займи до завтра", звонок "из службы безопасности банка" с подменой номера, "акция" на маркетплейсе с фейковым оплатным счетом. Механика у всего похожая: создать давление и спешку, чтобы человек не успел включить критическое мышление.

Картина атак: где тонко

Сценариев много, но самые частые легко разложить по полочкам. Атаки "от лица государства" — 15,1% упоминаний: злоумышленники представляются сотрудниками портала госуслуг, министерств или крупных компаний, а иногда пробуют взломать привязанные к госаккаунтам профили. Телефонные атаки — 11,9%: запугивание, подмена номера, манипуляции голосом и тишиной на линии. Соцсети и мессенджеры — 9,7%, из них в пятой части фигурирует "ВКонтакте": фальшивые страницы, просьбы "перевести как можно скорее", розыгрыши, купоны. Кредитное мошенничество — 5,1% (оформление займа на жертву, "помощь с одобрением" за предоплату). Маркетплейсы и доски объявлений — 3,5%: ссылки на "службу доставки", дубль-сайт оплаты, несуществующие возвраты.

Сравнение: возрастные группы и типовые уязвимости

Советы шаг за шагом: минимальный набор защиты

1. Навести порядок с паролями. Поставьте менеджер паролей (1Password, Bitwarden, Kaspersky Password Manager) и включите генерацию длинных уникальных паролей. Там же храните ответы на контрольные вопросы, а не "девичью фамилию" в лоб.

2. Включить 2FA везде, где это возможно. Предпочтительно TOTP-приложение (Google/Microsoft Authenticator, 1Password) или аппаратный ключ U2F/FIDO2 (YubiKey, SoloKey) для банков, почты, облака, "ВКонтакте", Telegram. SMS — fallback, а не основной метод.

3. Защитить номер от "сим-свопа". У оператора включите запрет дистанционного перевыпуска SIM/eSIM и перенос номера без личного визита. Подключите антиспам-фильтр вызовов (встроенный на iOS/Android или сервисы оператора).

4. Поставить лимиты и подтверждения. В мобильном банке задайте суточные лимиты переводов, запретите переводы без push-подтверждения, включите уведомления по каждой попытке списания.

5. Проверять домены. В госуслуги входите только через официальное приложение или домен с сертификатом "gosuslugi.ru". Для маркетплейсов — приложения из официальных сто́ров. Ссылки из писем не открывайте, а копируйте адрес вручную в браузер.

6. Разделить почты и номера. Для банков — отдельная почта и номер, не светите их в соцсетях. Для регистраций на сайтах используйте "одноразовые" адреса и маски почты (alias).

7. Секьюрный мессенджер-режим. Закройте возможность добавления в чаты незнакомцев, выключите предпросмотр ссылок, включите подтверждение входа на новом устройстве.

8. Резервные копии и "холодный" носитель. Документы и важные подтверждения держите в облаке с 2FA и дублируйте на офлайн-SSD/флешке.

9. Цифровая гигиена устройств. Регулярные обновления ОС, антивирус (Kaspersky, Dr. Web, ESET), запрет установки APK "со стороны", отдельные профили/учётки для работы и личных дел.

10. "Стоп-слово" для семьи. Договоритесь, что любые просьбы перевести деньги/сообщить код проверяются только обратным звонком по номеру из контактной книги.

Ошибка → Последствие → Альтернатива

1. Нажали на "оплату доставки" из чата маркетплейса → списание с карты через дубль-сайт → оплачивайте только внутри приложения, а ссылки из переписки игнорируйте.

2. Продиктовали код из SMS "службе безопасности" → вход в банк и переводы на "безопасный счёт" → завершайте разговор и звоните в банк по номеру с карты.

3. Один пароль на всё → компрометация почты и "сброс пароля" в остальных сервисах → менеджер паролей + 2FA и уникальные пароли.

4. Храните коды восстановления в заметках телефона → мгновенный доступ злоумышленника после кражи гаджета → бумажная карта кодов дома либо офлайн-хранилище.

5. Отключены обновления → уязвимости нулевого дня и малварь через браузер → автообновления ОС и приложений + запрет расширений из неизвестных источников.

А что если…

Если уже перевели деньги. Срочно блокируйте карты в приложении, звоните в банк, подавайте заявление о неправомерной операции, фиксируйте всё письменно. В приложении включите "спорную операцию/чарджбэк", если доступно.
Если взломали "ВКонтакте". Через "Я не могу войти" сбросьте доступ, выгрузите активные сессии, включите 2FA и проверьте привязки e-mail/телефона. Удалите подозрительные приложения с доступом к аккаунту.
Если позвонили "из госуслуг". Прекратите разговор. Зайдите в "Госуслуги" самостоятельно через приложение и проверьте уведомления. Никаких "переведите, чтобы сохранить средства" там не бывает.
Если навязали "кредит для спасения вкладов". Это классический обман. Разговор — стоп, фиксируйте номер, сообщите в банк и в полицию.

Плюсы и минусы популярных средств защиты

FAQ

Как выбрать менеджер паролей? Смотрите на кроссплатформенность, наличие семейных планов, аудит утечек, удобство импорта/экспорта. Для начала подойдёт бесплатный Bitwarden; если нужна простая синхронизация на всех устройствах — платные 1Password/Enpass.
Сколько стоит аппаратный ключ? Базовые FIDO2-модели начинаются примерно от 3-5 тыс. руб. Лучше брать сразу пару: основной и резервный.
Что лучше: SMS-коды или приложение-генератор? Приложение надёжнее: SMS можно перехватить через "сим-своп" или фрод-маршрутизацию. Оставьте SMS как запасной вариант, но не как основной.
Как понять, что сайт — фальшивый? Проверьте домен (буква "l" вместо "I", лишние дефисы), сертификат, способ оплаты (только переводы на карту — тревожный сигнал), нет ли орфографических ошибок и странных адресов для связи.
Можно ли вернуть деньги после перевода мошеннику? Гарантий нет, но чем быстрее обращение, тем выше шанс на блокировку движения средств. Всегда фиксируйте обращение официально.

Мифы и правда

1. Миф: "Главные жертвы — пенсионеры". Правда: активнее всего атакуют 25-39-летних: у них больше платёжной активности и доступов.

2. Миф: "Антивирус решит всё". Правда: он важен, но социальная инженерия обходит любую защиту, если человек сам сообщает коды.

3. Миф: "Звонок с номера банка — безопасно". Правда: номер подменяется за секунды, доверять нужно только исходящему звонку по номеру с карты.

4. Миф: "Госуслуги сами просят оплатить штраф в чате". Правда: оплаты проходят только внутри официального приложения/сайта, а не в мессенджерах.

Сон и психология: почему усталость — союзник мошенника

Люди 25-39 живут в режиме вечного дедлайна. Недосып, фоновая тревога и поток уведомлений снижают когнитивный контроль: мы быстрее жмём "ОК", реже перечитываем текст, хуже замечаем подмену домена. Полезные привычки просты: правило "минуты тишины" перед любой оплатой, отключение пушей "по ночам", таймер "не беспокоить" во время концентрации, микропросрочки ради проверки деталей — это и есть практическое критическое мышление.

3 факта, которые стоит знать

• Большинство фишинговых атак не "ломают" технологию, они "ломают" внимание пользователя.
• Чем больше сервисов привязано к одному e-mail, тем выше цена его взлома для вас и привлекательность для злоумышленника.
• Почти каждый крупный маркетплейс предупреждает: не переходите по ссылкам из чатов — но именно там чаще всего и прячутся фальшивые формы оплаты.

Исторический контекст: как эволюционировал фрод (краткая лента)

1. 2000-е: "нигерийские письма", массовые рассылки без персонализации.

2. 2010-е: телефонные колл-центры, автодозвон, подмена номеров, первые "сим-свопы".

3. 2020-е: экспансия в мессенджеры и соцсети, дубль-сайты маркетплейсов, массовый фишинг под госуслуги.

4. 2023-2025: таргетированные сценарии, биометрический дипфейк-голос, "курьеры-спасатели", фальшивые "безопасные счета". Лейтмотив один: давить на срочность и страх.
   Суть здесь проста: чем технологичнее инструменты атакующих, тем ценнее базовые навыки — проверка источника, пауза перед действием, здоровый скепсис. Защита — это не один сервис, а набор практик и привычек, которые вы оттачиваете, как ремень безопасности: сначала непривычно, потом автоматично — и однажды спасает деньги, данные и нервы.