Что такое Evilginx и как он крадёт ваши банковские данные

Автор На чтение 5 мин Просмотров 1 Опубликовано

Вы вводите логин, пароль, код из СМС — и всё это попадает не в банк, а в руки мошенника. При этом вы ни о чём не подозреваете: сайт выглядит как настоящий, адрес в браузере правильный, замочек на месте. Это не фишинг в классическом понимании. Это Evilginx — инструмент, который ставит вас посередине между вашим компьютером и настоящим сервером банка, и вы этого не замечаете.

Разберёмся, как это работает, почему это опасно именно для банковских сервисов и что можно сделать, чтобы не попасться.

Содержание
  1. Как работает Evilginx: простыми словами
  2. Почему это опаснее обычного фишинга
  3. Как мошенники используют Evilginx против банков
  4. Как распознать атаку через Evilginx
  5. Что делать, если вы уже ввели данные на поддельном сайте
  6. Как защититься: практические рекомендации
  7. Частые ошибки, которые делают людей уязвимыми
  8. Что выбрать: разные сценарии
  9. Итог

Как работает Evilginx: простыми словами

Evilginx — это инструмент для так называемой «man-in-the-middle» атаки на сессии авторизации. Его суть в одном предложении: он не подменяет сайт целиком, как обычный фишинг, а проксирует трафик между вами и настоящим сайтом, перехватывая всё, что вы вводите.

Вот как это выглядит шаг за шагом:

  1. Мошенник регистрирует домен, похожий на настоящий банк (например, secure-bankofamerica.com вместо bankofamerica.com).
  2. Настраивает Evilginx на своём сервере, привязывая этот домен.
  3. Отправляет вам ссылку — через фишинговое письмо, СМС, мессенджер или рекламу.
  4. Вы переходите по ссылке и видите страницу входа, которая выглядит идентично настоящей.
  5. Вы вводите логин и пароль — Evilginx мгновенно передаёт их на реальный сервер банка и возвращает вам ответ.
  6. Банк запрашивает код из СМС — Evilginx показывает вам поле для ввода этого кода.
  7. Вы вводите код — Evilginx снова проксирует его на сервер банка.
  8. Банк пускает вас в личный кабинет, а мошенник получает вашу активную сессию (cookie), с которой может зайти в ваш аккаунт без повторной авторизации.

Ключевой момент: настоящий сайт банка при этом не взломан. Сервер банка работает нормально. Проблема — в том, что вы общаетесь не с ним напрямую, а через сервер мошенника, который копирует всё происходящее в реальном времени.

Почему это опаснее обычного фишинга

Классический фишинг легко распознать: подозрительный адрес, кривой дизайн, ошибки в тексте. С двухфакторной аутентификацией классический фишинг вообще теряет смысл — злоумышленник получает логин и пароль, но не может ввести код из СМС, потому что код одноразовый и привязан к конкретной сессии.

Evilginx решает эту проблему. Он не запрашивает код у вас отдельно — он просто показывает вам то же самое поле, которое показывает банк, и вы вводите код добровольно, потому что думаете, что это нормальный процесс авторизации.

Вот главные отличия Evilginx от обычного фишинга:

Параметр Обычный фишинг Evilginx
Подмена сайта Копирует дизайн, часто с ошибками Проксирует реальный сайт в реальном времени
Адрес в браузере Подозрительный, отличается от настоящего Похожий, но всё же отличается от оригинала
Двухфакторная аутентификация Не обходит — код не подходит к сессии мошенника Обходит — код вводится в реальном времени через прокси
Сертификат безопасности Часто самоподписанный или от левого центра Может использовать настоящий сертификат для поддомена
Сложность обнаружения Низкая — легко заметить несоответствия Высокая — всё работает как на настоящем сайте
Что получает злоумышленник Логин и пароль (иногда) Полная активная сессия с cookie

Последний пункт самый важный. Когда мошенник получает вашу сессию, ему не нужен ни логин, ни пароль, ни код из СМС. Он просто подставляет ваши cookie в свой браузер и заходит в ваш личный кабинет так, как будто это вы.

Как мошенники используют Evilginx против банков

Банковские сервисы — главная цель атак через Evilginx, и вот почему: там есть деньги. Не абстрактные данные, не доступ к соцсетям, а прямой доступ к финансам.

Типичный сценарий атаки на банк:

  • Мошенник настраивает Evilginx на сервере и регистрирует домен-двойник (например, с заменой одной буквы или добавлением слова «secure»).
  • Рассылает фишинговые письма или СМС от имени банка с предлогом срочно проверить данные, подтвердить операцию или обновить безопасность.
  • Жертва переходит по ссылке, вводит данные, вводит код из СМС — и спокойно уходит с сайта, думая, что всё в порядке.
  • Через несколько минут мошенник заходит в личный кабинет с украденной сессией и совершает переводы, оплачивает счета или выводит деньги через подставные аккаунты.

Проблема в том, что банк видит нормальный вход: правильные данные, правильный код, сессия авторизована штатным образом. Никаких подозрительных сигналов система безопасности не генерирует, потому что с точки зрения банка — это вы вошли и совершили операции.

Как распознать атаку через Evilginx

Это сложно, но возможно. Вот на что обращать внимание:

Адресная строка. Это первое и главное. Если вы перешли по ссылке из письма или СМС — проверьте адрес в браузере. Сравните с тем, что написано на официальном сайте банка. Обращайте внимание на:

  • Лишние слова в домене («secure», «login», «verify»).
  • Замену букв («rn» вместо «m», «l» вместо «I»).
  • Дополнительные поддомены ( вместо bank.com).
  • Необычные доменные зоны (.xyz, .top, .club вместо .com или локальной зоны).

Ссылка в письме. Наведите курсор на ссылку (не нажимая), чтобы увидеть реальный адрес. Если он не совпадает с официальным сайтом банк — это красный флаг.

Контекст сообщения. Банки практически никогда не присылают ссылки для входа в личный кабинет. Если вам пишут «срочно подтвердите данные», «ваш аккаунт будет заблокирован», «войдите для проверки безопасности» — это почти наверняка мошенничество.

Поведение после входа. Если после авторизации что-то кажется странным — задержка загрузки, непривычный порядок полей, лишние вопросы — насторожитесь. При Evilginx интерфейс обычно идентичен оригиналу, но мелкие расхождения возможны.

Что делать, если вы уже ввели данные на поддельном сайте

Действовать нужно быстро. Сессия может быть использована в течение минут.

  1. Немедленно зайдите в настоящий личный кабинет банка — введите адрес вручную или используйте закладку. Не переходите по ссылке из письма.
  2. Выйдите из всех сессий. В настройках безопасности большинства банков есть функция «Выйти из всех устройств». Это инвалидирует украденные cookie.
  3. Смените пароль от личного кабинета.
  4. Позвоните в банк по номеру с официального сайта или с карты. Сообщите о подозрении на компрометацию. Банк может заблокировать карту и приостановить операции.
  5. Проверьте последние операции. Если есть несанкционированные переводы — немедленно сообщите в банк.
  6. Включите уведомления об операциях, если они ещё не подключены. Это не спасёт от уже украденной сессии, но поможет отслеживать дальнейшие действия.

Как защититься: практические рекомендации

Полной защиты от Evilginx не существует, но можно существенно снизить риск. Вот что реально работает:

Не переходите по ссылкам из писем и СМС. Это правило номер один. Если банк пишет вам что-то срочное — откройте браузер, введите адрес банка вручную и проверьте уведомления в личном кабинете. Банки не рассылают ссылки для авторизации.

Используйте закладки в браузере. Сохраните официальный сайт банка в закладки и заходите только через них. Это исключает случайный переход на фишинговый домен.

Проверяйте адрес перед вводом данных. Потратьте пять секунд, чтобы убедиться, что вы на правильном сайте. Особенно — перед вводом кода из СМС.

Используйте аппаратные ключи или приложения-аутентификаторы. Это не спасёт от Evilginx полностью, но некоторые реализации атаки не справляются с FIDO2/WebAuthn ключами, потому что они привязаны к конкретному домену на уровне протокола.

Установите банковское приложение на телефон. Мобильные приложения банков используют certificate pinning и другие механизмы защиты, которые сложнее обойти через Evilginx. Для критически важных операций используйте приложение, а не мобильный браузер.

Внимательно относитесь к необычным запросам. Если после стандартного входа система просит что-то необычное — повторный ввод пароля, код из push-уведомления, ответ на контрольный вопрос — это может быть признаком атаки. Настоящие банки не дублируют шаги авторизации без причины.

Частые ошибки, которые делают людей уязвимыми

  • Переход по ссылке «потому что письмо выглядит официально». Оформление письма ничего не доказывает. Мошенники отлично копируют фирменный стиль банков.
  • Игнорирование предупреждений браузера. Если браузер показывает «соединение не защищено» или «сертификат не соответствует домену» — это не просто техническая ошибка. Это сигнал, что что-то не так.
  • Ввод кода из СМС на незнакомом сайте. Код из СМС — это подтверждение, что вы авторизуетесь на конкретном сайте. Если адрес хоть немного отличается от привычного — останавливайтесь.
  • Использование одного пароля для банка и других сервисов. Если пароль утечёт из другого сервиса, мошенники будут проверять его и на банковских сайтах.
  • Отсутствие уведомлений об операциях. Без пушей или СМС о переводах вы узнаете о краже только когда деньги уже уйдут.

Что выбрать: разные сценарии

Если вы обычный пользователь банка. Главная защита — дисциплина: не переходить по ссылкам из писем, заходить в банк через закладки или приложение, включить уведомления об операциях. Этого достаточно для защиты от 99% атак.

Если вы работаете с корпоративными счетами. Помимо перечисленного — используйте отдельное устройство для банковских операций, настройте ограничения по IP, подключите аппаратные токены для подтверждения операций. Корпоративные счета — приоритетная цель, потому что там крупные суммы.

Если вы получили подозрительное письмо «от банка». Не переходите по ссылке. Откройте браузер, введите адрес банка вручную, проверьте личный кабинет. Если там нет никаких уведомлений — письмо мошенническое. Сообщите о нём в банк.

Если вы уже ввели данные на подозрительном сайте. Считайте, что сессия скомпрометирована. Выйдите из всех устройств, смените парень, позвоните в банк. Не ждите — действуйте сейчас.

Итог

Evilginx — это не теоретическая угроза, а реальный инструмент, который используется против реальных людей и реальных банковских счетов. Его главная опасность в том, что он обходит двухфакторную аутентификацию, которую все считают надёжной защитой.

Запомните три вещи:

  • Никогда не переходите по ссылкам из писем и СМС для входа в банк. Заходите через закладки, приложение или введя адрес вручную.
  • Если адрес в браузере хоть немного отличается от привычного — закройте вкладку. Это не паранойя, это базовая гигиена.
  • Включите уведомления об операциях. Чем раньше вы узнаете о несанкционированном переводе, тем больше шансов вернуть деньги.

Банки вкладывают миллионы в безопасность своих систем, но самое слабое звено в цепи — это всегда человек. Знание о том, как работают атаки вроде Evilginx, — это уже половина защиты.

Информация в этой статье носит ознакомительный характер. При подозрении на компрометацию банковских данных обращайтесь непосредственно в ваш банк и при необходимости — в правоохранительные органы.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком