Примеры фишинга и мошеннических схем

Реалистичные примеры фишинговых атак из 7 категорий. Все примеры носят образовательный характер и используют безопасный домен-заполнитель — реальных вредоносных ссылок не показано. Изучите приёмы, которые мошенники используют на практике.

Только в образовательных целях. Все показанные доменные имена являются вымышленными заполнителями. Никогда не копируйте и не посещайте домены из примеров фишинга.

  • Защита приватности
  • Без регистрации
  • Данные не собираются
  • Анонимный анализ
  • Образовательная платформа безопасности

Показано примеров: 21

Very High RiskSMSМошенничество с доставкой

Поддельное уведомление о доставке СДЭК

Что вы видите

СДЭК: Ваша посылка (СДЭК-47829103) не была доставлена. Оплатите 199 руб. за повторную доставку, чтобы перенести срок: sdek-dostavka-re.example-phishing-domain.com

Почему это подозрительно
  • СДЭК никогда не требует оплаты за повторную доставку через SMS-ссылки.
  • Домен sdek-dostavka-re.example-phishing-domain.com не является официальным сайтом СДЭК (cdek.ru).
  • Небольшая сумма (199 руб.) кажется незначительной, но цель мошенников — получить данные карты для крупных транзакций.
  • Номер посылки выглядит правдоподобно, но не несёт реального смысла.
Very High RiskSMSМошенничество с доставкой

Поддельная таможенная пошлина Почты России

Что вы видите

Почта России: Ваша посылка задержана на таможне из-за неоплаченного сбора 350 руб. Оплатите до истечения срока хранения: pochta-customs.example-phishing-domain.com

Почему это подозрительно
  • Почта России уведомляет о таможенных сборах через официальные каналы и лично при получении — не через SMS со сторонними ссылками.
  • Домен pochta-customs.example-phishing-domain.com не принадлежит pochta.ru.
  • Угроза «истечения срока хранения» создаёт давление для немедленных действий без проверки информации.
High RiskSMSМошенничество с доставкой

Подтверждение адреса Boxberry

Что вы видите

Boxberry: Не удаётся доставить посылку из-за неверного адреса. Обновите данные доставки в течение 24 часов: boxberry-update.example-phishing-domain.com/address

Почему это подозрительно
  • Boxberry не запрашивает данные доставки через внешние ссылки в SMS.
  • Срок в 24 часа — классический приём давления, не позволяющий проверить информацию.
  • Ссылка ведёт на поддельную форму, которая собирает ваш адрес, телефон и другие личные данные.
Very High RiskEmailИмитация бренда

Поддельный домен Сбербанк Безопасность

Что вы видите

От: Сбербанк Безопасность <noreply@sberbank-protect.example-phishing-domain.com> На вашем счёте зафиксирована подозрительная активность. Для защиты аккаунта подтвердите личность в течение 24 часов.

Почему это подозрительно
  • Отправитель использует домен sberbank-protect.example-phishing-domain.com, а не официальный sberbank.ru.
  • Все официальные уведомления Сбербанка приходят с адресов @sberbank.ru или через приложение «Сбербанк Онлайн».
  • «Подозрительная активность» и дедлайн 24 часа — типичные приёмы давления в фишинговых атаках.
High RiskEmailИмитация бренда

Блокировка кабинета продавца Ozon

Что вы видите

Ozon.ru: Ваш аккаунт продавца временно заблокирован из-за нарушения правил. Для восстановления доступа войдите в личный кабинет: ozon-seller-verify.example-phishing-domain.com

Почему это подозрительно
  • Официальный кабинет продавца Ozon находится только на seller.ozon.ru — никакой другой домен не является легитимным.
  • «Блокировка за нарушение правил» создаёт срочность и угрозу потери доступа к продажам.
  • После ввода учётных данных мошенники получают полный контроль над вашим аккаунтом продавца.
High RiskEmailИмитация бренда

Предупреждение о приостановке аккаунта Wildberries

Что вы видите

Wildberries: Ваш аккаунт будет приостановлен через 48 часов из-за неподтверждённых данных. Пройдите верификацию: wb-account-check.example-phishing-domain.com

Почему это подозрительно
  • Wildberries управляет верификацией аккаунтов только через официальный сайт wildberries.ru или приложение.
  • Домен wb-account-check.example-phishing-domain.com не связан с Wildberries.
  • Угроза «приостановки через 48 часов» — фальшивый дедлайн для немедленных действий.
Very High RiskQR CodeМошенничество с QR-кодом

Поддельный QR-код для оплаты штрафа

Что вы видите

QR-код на квитанции об административном штрафе → parking-fine-ru.example-phishing-domain.com/pay «Отсканируйте для оплаты штрафа. При просрочке начисляется 50% надбавка.»

Почему это подозрительно
  • Штрафы оплачиваются через gosuslugi.ru или официальные банковские приложения — не через сторонние домены из QR-кодов.
  • QR-код-наклейки часто размещаются поверх настоящих кодов на квитанциях в публичных местах.
  • Угроза надбавки 50% создаёт искусственную срочность, мешающую проверить домен.
High RiskQR CodeМошенничество с QR-кодом

Подменённый QR-код меню кафе

Что вы видите

QR-код на столике в кафе → cafe-order-ru.example-phishing-domain.com/login «Войдите, чтобы просмотреть меню и сделать заказ.»

Почему это подозрительно
  • Меню ресторана никогда не требует входа в аккаунт — любой QR-код, ведущий на страницу авторизации, почти наверняка вредоносный.
  • Мошенники наклеивают поддельные QR-коды поверх настоящих на столиках в кафе и ресторанах.
  • Путь /login — явный признак подделки: меню не нуждается в учётных данных.
Very High RiskQR CodeМошенничество с QR-кодом

QR-код в письме для обхода фильтров

Что вы видите

Текст письма (якобы от Сбербанка): «В целях безопасности ссылка для входа деактивирована. Отсканируйте QR-код ниже для подтверждения аккаунта.» [QR-изображение] → sber-account-verify.example-phishing-domain.com

Почему это подозрительно
  • QR-коды в письмах специально используются для обхода антифишинговых фильтров — они проверяют ссылки, но не читают изображения.
  • Сбербанк никогда не просит подтверждать аккаунт через QR-код в письме.
  • Домен назначения не является официальным доменом Сбербанка (sberbank.ru).
High RiskEmailФишинговое письмо

Поддельный счёт на оплату

Что вы видите

Тема: Счёт №СЧ-2024-4871 — Требуется оплата К письму приложен счёт за оказанные услуги. Подтвердите оплату или оспорьте счёт: invoice-pay-ru.example-phishing-domain.com К оплате: 84 000 руб. Срок: 3 дня.

Почему это подозрительно
  • Настоящие счета приходят от известных деловых партнёров с верифицируемыми корпоративными доменами.
  • Неожиданный счёт с требованием оплатить в 3 дня — типичная тактика компрометации деловой переписки (BEC).
  • Переход на портал и ввод платёжных данных даст мошенникам полный доступ к вашим финансам.
Very High RiskEmailФишинговое письмо

Обновление реквизитов для зарплаты

Что вы видите

От: Отдел кадров <hr-payroll@example-phishing-domain.com> Уважаемый сотрудник, В связи с переходом на новую систему начисления зарплаты просим обновить реквизиты до конца рабочего дня: payroll-update-ru.example-phishing-domain.com

Почему это подозрительно
  • Отделы кадров обновляют реквизиты только через внутренние системы — никогда через внешние ссылки в письмах.
  • Дедлайн «до конца рабочего дня» — искусственное давление, типичное для социальной инженерии.
  • Ввод банковских реквизитов перенаправит зарплатные выплаты на счёт мошенников.
High RiskEmailФишинговое письмо

Нежданная ссылка для сброса пароля

Что вы видите

Тема: Запрос на сброс пароля Кто-то запросил сброс пароля для вашего аккаунта. Нажмите для установки нового пароля: account-reset-ru.example-phishing-domain.com Если это были не вы, можете проигнорировать письмо.

Почему это подозрительно
  • Настоящие ссылки для сброса пароля приходят с домена самого сервиса, а не с внешних сайтов.
  • «Если это были не вы, игнорируйте» — намеренно мешает внимательно проверить ссылку.
  • Переход по ссылке ведёт на поддельную страницу входа, перехватывающую ваш текущий пароль.
Very High RiskSMSSMS-фишинг

Блокировка карты Сбербанк

Что вы видите

СБЕРБАНК: На вашем счёте обнаружена подозрительная операция. Карта временно заблокирована. Подтвердите личность: sber-secure-check.example-phishing-domain.com

Почему это подозрительно
  • Сбербанк сообщает о подозрительных операциях через официальное приложение или звонком с номера 900 — не через SMS с внешними ссылками.
  • Домен sber-secure-check.example-phishing-domain.com не является официальным сайтом Сбербанка (sberbank.ru).
  • «Временная блокировка карты» — высокострессовая формулировка, провоцирующая немедленные действия.
Very High RiskSMSSMS-фишинг

Разблокировка карты Т-Банк

Что вы видите

Т-БАНК: Ваша карта *4392 заблокирована из-за подозрительного входа. Для разблокировки перейдите: tbank-unblock.example-phishing-domain.com

Почему это подозрительно
  • Т-Банк управляет блокировками карт через официальное приложение или службу поддержки — не через SMS-ссылки.
  • Домен tbank-unblock.example-phishing-domain.com не принадлежит tbank.ru или tinkoff.ru.
  • Последние 4 цифры карты (*4392) могли быть получены из утечек данных для повышения доверия к сообщению.
High RiskSMSSMS-фишинг

Схема предоплаты на Авито

Что вы видите

Авито: Покупатель перевёл предоплату за ваш товар. Для получения средств подтвердите данные карты: avito-pay-confirm.example-phishing-domain.com

Почему это подозрительно
  • Авито никогда не запрашивает подтверждение реквизитов карты через SMS-ссылки для получения платежей.
  • «Покупатель уже оплатил» — классическое мошенничество на Авито: продавца ведут на поддельную форму под видом «получения» денег.
  • Ввод данных карты на поддельном сайте приведёт к списанию средств, а не к их получению.
Very High RiskSMSГосударственное мошенничество

Налоговый возврат от ФНС

Что вы видите

ФНС России: По результатам проверки налоговых платежей вам начислен возврат 4 218 руб. за 2023 год. Заполните заявку: fns-vozvrat.example-phishing-domain.com

Почему это подозрительно
  • ФНС перечисляет налоговые вычеты напрямую на банковский счёт после подачи декларации через nalog.ru — никакой «заявки» через SMS-ссылки не существует.
  • ФНС не отправляет уведомления о возвратах через SMS с внешними ссылками.
  • Конкретная сумма возврата (4 218 руб.) включена намеренно, чтобы сообщение выглядело реальным.
Very High RiskSMSГосударственное мошенничество

Верификация аккаунта Госуслуг

Что вы видите

ГОСУСЛУГИ: Требуется подтверждение личности для продолжения работы с аккаунтом. Без верификации доступ будет ограничен: gosuslugi-verify.example-phishing-domain.com

Почему это подозрительно
  • Портал Госуслуг управляет верификацией только на gosuslugi.ru — никаких сторонних сайтов для этого не существует.
  • Угроза «ограничения доступа» создаёт беспокойство по поводу потери доступа к государственным услугам.
  • Поддельный сайт собирает СНИЛС, паспортные данные и другую персональную информацию.
High RiskSMSГосударственное мошенничество

Поддельный штраф ГИБДД

Что вы видите

ГИБДД: За вами числится неоплаченный штраф 1 500 руб. (постановление №18810...). Оплатите до 15-го числа во избежание удвоения: gibdd-fine.example-phishing-domain.com/pay

Почему это подозрительно
  • Штрафы ГИБДД оплачиваются через gosuslugi.ru, gibdd.ru, банковские приложения или почтовые отделения — не через ссылки из SMS.
  • Номер постановления (18810...) выглядит реальным, но не несёт смысла — используется для правдоподобия.
  • Угроза «удвоения штрафа» — фиктивный дедлайн для ускорения действий без проверки информации.
Very High RiskDownloadРаспространение вредоносного ПО

Счёт с двойным расширением .exe

Что вы видите

Вложение письма: Счёт_2024-8821.pdf.exe «К письму прилагается счёт для немедленной оплаты. К оплате: 127 500 руб. По вопросам свяжитесь с нами.»

Почему это подозрительно
  • Файл называется как PDF-счёт, но реальное расширение — .exe (исполняемая программа, а не документ).
  • Двойные расширения используются для маскировки вредоносного ПО. Windows скрывает известные расширения — .pdf.exe отображается просто как .pdf.
  • Запуск этого файла даёт мошенникам полный удалённый доступ к вашему устройству.
Very High RiskLinkРаспространение вредоносного ПО

Поддельное обновление браузера

Что вы видите

«Ваш браузер критически устарел и соединение небезопасно. Для продолжения работы необходимо обновление.» [Скачать обновление] → browser-update-ru.example-phishing-domain.com/ChromeSetup.exe

Почему это подозрительно
  • Браузеры обновляются автоматически — никакой сайт не вправе предлагать «немедленное» скачивание обновлений.
  • Ссылка скачивает .exe-файл, а не настоящий установщик браузера.
  • «Критически устарел» и «небезопасно» — запугивающие формулировки для обхода критического мышления.
High RiskDownloadРаспространение вредоносного ПО

Вредоносный ZIP в письме с резюме

Что вы видите

Тема письма: Отклик на вакансию старшего разработчика «Уважаемый рекрутёр, прилагаю резюме и портфолио.» Вложение: Резюме_Иванов_Алексей_2024.zip

Почему это подозрительно
  • Профессиональные резюме отправляются в формате PDF или Word — ZIP-архив от незнакомого отправителя повод для подозрений.
  • ZIP и RAR-архивы могут содержать исполняемые файлы, замаскированные под документы с соответствующим значком.
  • Открытие архива и запуск любого файла из него — даже с именем «Резюме.pdf» — может незаметно установить вредоносную программу.

Подробнее

Часто задаваемые вопросы

Это настоящие примеры фишинга?

Примеры основаны на реальных методах атак, но все доменные имена заменены безопасным заполнителем (example-phishing-domain.com). Реальных вредоносных URL не показано. Приёмы, тексты сообщений и психологические методы соответствуют тем, что применяются в реальных атаках.

Как работает мошенничество с QR-кодами?

Злоумышленники заменяют настоящие QR-коды (на паркоматах, столиках в ресторанах или печатных материалах) наклейками с QR-кодами, ведущими на вредоносные сайты. Они также встраивают QR-коды в фишинговые письма, чтобы обойти фильтры безопасности, которые проверяют ссылки, но не читают изображения.

Почему мошенники с доставкой всегда просят небольшую сумму?

Небольшая сумма (199 руб., 350 руб.) намеренно используется, чтобы мошенничество казалось незначительным и правдоподобным. Но цель — не деньги, а данные вашей банковской карты. Как только вы их введёте, мошенники смогут провести крупные мошеннические транзакции.

Как отличить фишинговое SMS от настоящего?

Настоящие SMS от банков, курьерских служб и госорганов никогда не просят перейти по ссылке и ввести платёжные данные или пароль. Если получили неожиданное сообщение с требованием срочных действий, перейдите на официальный сайт организации самостоятельно — никогда не переходите по предоставленной ссылке.

Как злоумышленники делают домен похожим на настоящий?

Используется несколько приёмов: название бренда в поддомене (sberbank.example-phishing-domain.com), замена букв похожими символами (sberbank1.com, где '1' вместо 'l'), добавление слов вроде «secure», «verify», «account», или включение бренда в длинный домен (sberbank-secure-verify.com).

Что делать, если я уже перешёл по подозрительной ссылке?

Не вводите никаких данных на странице. Немедленно закройте вкладку. Если ввели учётные данные — смените пароли и включите двухфакторную аутентификацию. Если ввели платёжные данные — немедленно позвоните в банк. Запустите антивирусную проверку, если скачивали файлы.

Как использовать анализатор 2check.click для подозрительного сообщения?

Скопируйте URL или сообщение и вставьте в анализатор на главной странице. Для сообщений вставьте полный текст — анализатор автоматически извлечёт и проверит все ссылки, а также проанализирует текст на признаки мошенничества.

Хотите проверить подозрительную ссылку?

Проанализируйте URL, сообщение, письмо или QR-код →