назад
5 минут
Anti-fishing code
Контекст
Пользователь получает письма, смски от биржи. Распространенная практика – добавлять в эти письма или смс заданный пользователем код. Позволяет пользователю проще идентифицировать, что письмо пришло реально от биржи, а значит внутри "чистая" ссылка, по которой можно смело приходить.
Цели
Уменьшение фишинговых атак, связанных с email-рассылками
Упрощение проверки подлинности писем пользователем
Повышение доверия к коммуникациям
Поддержка стандартов безопасности уровня топовых бирж
Моя роль
Я отвечал за исследование проблемы, анализ security-сценариев, изучение конкурентов, формирование гипотезы, проектирование логики Anti-Phishing Code и проверку решения на пользователях.
Результаты
-18%
Количество обращений в поддержку
Настроили anti-fishing code
34%
Общее описание
Функция позволяет пользователю установить персональный антифишинговый код: короткую фразу или набор символов, который будет отображаться во всех email-уведомлениях, отправляемых биржей.
Код служит маркером подлинности: только сам пользователь и система знают его значение. Это позволяет визуально отличить оригинальные email-уведомления/SMS от фишинговых копий.
Код добавляется в унифицированный блок в верхней части письма или SMS
Управление кодом осуществляется в настройках безопасности профиля
Анализ текущих метрик
Мы запросили у поддержки отчёт по обращениям за период 01.11.2025 – 02.03.2026, чтобы оценить масштаб проблемы с подозрительными email/SMS и вопросами пользователей о безопасности. В выборке было 645 обращений, из них около 18% относились к проверке подлинности сообщений: подозрительные email/SMS — 47 обращений, вопросы про письма от вас — 11, проверка ссылок из писем — 9, уведомления о входе — 29, вопросы по 2FA — 22. Это подтвердило, что пользователям не хватало простого способа самостоятельно отличать официальные сообщения биржи от фишинговых.


Интервью с ключевыми пользователями
Я проводил интервью сразу для нескольких продуктовых задач, поэтому добавил отдельный блок вопросов про безопасность и доверие к коммуникациям биржи. В этой части я спрашивал, как пользователи получают email/SMS/Telegram-уведомления, проверяют ли отправителя, переходят ли по ссылкам из писем и что помогает им понять, что сообщение действительно официальное. Это позволило без отдельного исследования собрать инсайты и понять где пользователям не хватает простого маркера доверия.
Общие проблемы

Главный инсайт
Пользователи готовы проверять подлинность сообщений, но не хотят разбираться в доменах, заголовках писем и технических деталях. Им нужен понятный визуальный сигнал: “это сообщение точно от биржи”.

Исследование конкурентов
Я изучил, как Anti-Phishing Code реализован у крупных криптобирж: Binance, Bybit, OKX, KuCoin и Gate.io. Анализ показал, что такой механизм уже стал стандартным security-паттерном: код обычно настраивается в разделе безопасности, требует дополнительного подтверждения при изменении и отображается в официальных письмах или SMS как персональный маркер доверия. Это подтвердило, что пользователи ожидают быстрый и понятный способ отличать сообщения биржи от фишинга без обращения в поддержку.

Прототип
Дополнительно я собрал быстрый интерактивный прототип через vibe coding, чтобы проверить не только статичные экраны, но и саму логику взаимодействия: ввод кода, подтверждение, отображение активного состояния и изменение уже созданного кода.
Что проверял
Понимают ли пользователи, зачем нужен Anti-Phishing Code
Отличают ли его от пароля и 2FA-кода
Могут ли самостоятельно создать код
Понимают ли, где код будет отображаться
Замечают ли предупреждение о фишинге
Понимают ли, что код не нужно вводить на сторонних сайтах
Могут ли изменить код без потери контекста

Что показал тест
Идея персонального кода была понятна, когда пользователи видели пример письма или пояснение рядом с настройкой
Часть пользователей сначала воспринимала код как дополнительный пароль
Пользователям было важно понимать, что код будет отображаться во всех официальных сообщениях
В сценарии изменения кода пользователям не хватало подтверждения, что старый код больше не действует
Активное состояние с бейджем active воспринималось понятнее, чем просто отображение замаскированного кода
Итог
Тест помог уточнить не только интерфейс, но и коммуникацию вокруг функции. Главным изменением стало то, что Anti-Phishing Code нужно объяснять не как “ещё один код безопасности”, а как персональный маркер доверия, который помогает пользователю отличить официальное сообщение от фишинга.
Решение и User Flow
Мы решили добавить Anti-Phishing Code в раздел безопасности профиля как отдельную настройку. Пользователь задаёт персональный код, который затем отображается в официальных email и SMS от биржи. Так пользователь получает простой маркер доверия и может быстро понять, настоящее ли сообщение, ещё до перехода по ссылке.
Для подтверждения установки и изменения кода мы выбрали 2FA, а не код на email. Это решение было важным, потому что Anti -Phishing Code используется как для email, так и для SMS-коммуникаций. Если подтверждать изменение через email, сам канал подтверждения оставался бы частью потенциально уязвимого сценария. 2FA лучше подходит и снижает риск, что злоумышленник сможет изменить код только через доступ к почте.

Результат
В результате была спроектирована функция Anti-Phishing Code, которая добавляет пользователю персональный маркер доверия в официальных email и SMS от биржи. Это помогает быстрее отличать реальные сообщения от фишинговых и снижает необходимость обращаться в поддержку для проверки подлинности письма.
В первый месяц после запуска 34% пользователей, посетивших Security Center, настроили Anti-Phishing Code, что подтвердило понятность сценария и ценность функции для аудитории, интересующейся безопасностью аккаунта.
Количество обращений в поддержку, связанных с проверкой подлинности email/SMS , снизилось на 18%.





