Только проверенные ссылки: у нас планируют создать реестр интернет-магазинов

В правительстве прорабатывается инициатива по созданию государственного реестра проверенных доменных имен онлайн-магазинов и других цифровых площадок, предлагающих товары и услуги. Цель — не регулирование рынка, а защита граждан от фишинга: по данным экспертов, в 2025 году с мошенническими сайтами столкнулись уже более 150 млн случаев визитов, а совокупный ущерб за девять месяцев превысил 150 млрд руб.

Реестр должен стать инструментом быстрой идентификации легальных ресурсов — не для ограничения, а для упрощения доверия в среде, где подделка сайта «Альфа-банка» или «Вайлдберриз» занимает у злоумышленников менее десяти минут.

Фишинг как проблема

Сегодня фишинг — это конвейер, где каждая операция автоматизирована и стандартизирована. Более 70% атак строятся не на поддельных доменах, похожих на оригиналы (например, wildberris.ru вместо wildberries.ru), а на скрытых ссылках.

В сообщении от «службы поддержки» или в рассылке с «выгодной скидкой» встроена кнопка — при клике пользователь переходит по короткой, нейтральной ссылке, за которой скрывается цепочка перенаправлений через десятки временных доменов, генерируемых автоматически. Блокировка одного звена не останавливает схему: алгоритм тут же подставляет новое.

Еще более опасны так называемые фишинговые комбайны — специализированные сервисы, доступные в теневом сегменте интернета. Они позволяют за несколько кликов создать копию любого популярного сайта — от Сбербанка до «Почты России» — с сохранением логотипов, структуры меню, даже анимаций загрузки.

Мошенник выбирает шаблон, задает форму для сбора логинов и паролей, настраивает SMS-уведомления об «успешной авторизации» и запускает рассылку. Стоимость — от 500 до 5 000 рублей за кампанию. При этом домены регистрируются анонимно, через подставные лица или замороженные аккаунты на иностранных регистраторах.

Реестр как фильтр

Идея создания единого перечня проверенных ссылок обсуждается в рамках нацпроекта «Экономика данных» и концепции противодействия киберпреступности. Как пояснили «Известиям» в Минцифре, речь идет не об обязательной регистрации всех интернет-магазинов, а о добровольно-стимулируемом механизме: компании, прошедшие верификацию, получат технический статус «проверенный ресурс», который смогут использовать в рекламе, при интеграции с платежными системами, в поисковой выдаче.

Предполагается, что в реестр будут включаться только те площадки, которые:

• зарегистрированы в ЕГРЮЛ или ЕГРИП;
• имеют прозрачную цепочку владельцев (без офшорных «тень-структур»);
• используют сертификаты SSL, двухфакторную аутентификацию и интегрированы с системой быстрых платежей;
• прошли аудит на соответствие требованиям по защите персональных данных.

Проверку может осуществлять либо Минцифры совместно с Роскомнадзором, либо аккредитованные организации — с последующим включением данных в единый государственный сервис. Важно, что реестр будет динамическим: при выявлении нарушений (например, массовых жалоб на неисполнение заказов или утечку данных) статус может быть отозван в течение 24 часов.

Эффективность реестра

Однако, как подчеркивают эксперты, сам по себе перечень не остановит фишинг. Он эффективен только в связке с другими инструментами. Например, поисковые системы и браузеры смогут помечать сайты из реестра специальным значком (аналогично «зеленому замку» для HTTPS), а антивирусы — автоматически блокировать переходы на домены, отсутствующие в перечне, но имитирующие известные бренды. Банки, в свою очередь, могут интегрировать проверку в системы антифрода: если пользователь пытается ввести реквизиты карты на непроверенном сайте, операция приостанавливается с запросом подтверждения.

Защити себя сам

Несмотря на усилия государства, ключевым звеном остается поведение самого пользователя. Более 60% жертв фишинга сами вводят логин и пароль на поддельных страницах, не заметив отсутствия гиперссылки, опечатки в домене или несоответствия сертификата безопасности.

В ответ на это уже внедряются проактивные меры. С марта 2025 года в банковских приложениях появилась «спецкнопка» для экстренного обращения в службу безопасности — без звонков и ожидания. С ноября введено ограничение на количество SIM-карт: не более 20 на одного человека, что затруднит массовую регистрацию «мусорных» номеров для рассылки. А с 2026 года планируется запустить систему «цифрового паспорта» сайта — метаданные, встроенные в код ресурса, которые позволят устройствам мгновенно проверять подлинность площадки без обращения к внешним базам.

Но технология — лишь часть решения. Фишинг процветает не из-за слабых паролей, а из-за уязвимости человеческого внимания. И поможет справиться с ним не отмена свободы, а формирование у населения цифровой грамотности.