назад

5 минут

Anti-fishing code

Контекст

Пользователь получает письма, смски от биржи. Распространенная практика – добавлять в эти письма или смс заданный пользователем код. Позволяет пользователю проще идентифицировать, что письмо пришло реально от биржи, а значит внутри "чистая" ссылка, по которой можно смело приходить.

Цели

  • Уменьшение фишинговых атак, связанных с email-рассылками

  • Упрощение проверки подлинности писем пользователем

  • Повышение доверия к коммуникациям

  • Поддержка стандартов безопасности уровня топовых бирж

Моя роль

Я отвечал за исследование проблемы, анализ security-сценариев, изучение конкурентов, формирование гипотезы, проектирование логики Anti-Phishing Code и проверку решения на пользователях.

Результаты

-18%

Количество обращений в поддержку

Настроили anti-fishing code

34%

Общее описание

Функция позволяет пользователю установить персональный антифишинговый код: короткую фразу или набор символов, который будет отображаться во всех email-уведомлениях, отправляемых биржей.

Код служит маркером подлинности: только сам пользователь и система знают его значение. Это позволяет визуально отличить оригинальные email-уведомления/SMS от фишинговых копий.

Код добавляется в унифицированный блок в верхней части письма или SMS
Управление кодом осуществляется в настройках безопасности профиля

Анализ текущих метрик

Мы запросили у поддержки отчёт по обращениям за период 01.11.2025 – 02.03.2026, чтобы оценить масштаб проблемы с подозрительными email/SMS и вопросами пользователей о безопасности. В выборке было 645 обращений, из них около 18% относились к проверке подлинности сообщений: подозрительные email/SMS — 47 обращений, вопросы про письма от вас — 11, проверка ссылок из писем — 9, уведомления о входе — 29, вопросы по 2FA — 22. Это подтвердило, что пользователям не хватало простого способа самостоятельно отличать официальные сообщения биржи от фишинговых.

Интервью с ключевыми пользователями

Я проводил интервью сразу для нескольких продуктовых задач, поэтому добавил отдельный блок вопросов про безопасность и доверие к коммуникациям биржи. В этой части я спрашивал, как пользователи получают email/SMS/Telegram-уведомления, проверяют ли отправителя, переходят ли по ссылкам из писем и что помогает им понять, что сообщение действительно официальное. Это позволило без отдельного исследования собрать инсайты и понять где пользователям не хватает простого маркера доверия.

Общие проблемы

Главный инсайт

Пользователи готовы проверять подлинность сообщений, но не хотят разбираться в доменах, заголовках писем и технических деталях. Им нужен понятный визуальный сигнал: “это сообщение точно от биржи”.

Исследование конкурентов

Я изучил, как Anti-Phishing Code реализован у крупных криптобирж: Binance, Bybit, OKX, KuCoin и Gate.io. Анализ показал, что такой механизм уже стал стандартным security-паттерном: код обычно настраивается в разделе безопасности, требует дополнительного подтверждения при изменении и отображается в официальных письмах или SMS как персональный маркер доверия. Это подтвердило, что пользователи ожидают быстрый и понятный способ отличать сообщения биржи от фишинга без обращения в поддержку.

Прототип

Дополнительно я собрал быстрый интерактивный прототип через vibe coding, чтобы проверить не только статичные экраны, но и саму логику взаимодействия: ввод кода, подтверждение, отображение активного состояния и изменение уже созданного кода.

Что проверял

  • Понимают ли пользователи, зачем нужен Anti-Phishing Code

  • Отличают ли его от пароля и 2FA-кода

  • Могут ли самостоятельно создать код

  • Понимают ли, где код будет отображаться

  • Замечают ли предупреждение о фишинге

  • Понимают ли, что код не нужно вводить на сторонних сайтах

  • Могут ли изменить код без потери контекста

Что показал тест

  • Идея персонального кода была понятна, когда пользователи видели пример письма или пояснение рядом с настройкой

  • Часть пользователей сначала воспринимала код как дополнительный пароль

  • Пользователям было важно понимать, что код будет отображаться во всех официальных сообщениях

  • В сценарии изменения кода пользователям не хватало подтверждения, что старый код больше не действует

  • Активное состояние с бейджем active воспринималось понятнее, чем просто отображение замаскированного кода

Итог

Тест помог уточнить не только интерфейс, но и коммуникацию вокруг функции. Главным изменением стало то, что Anti-Phishing Code нужно объяснять не как “ещё один код безопасности”, а как персональный маркер доверия, который помогает пользователю отличить официальное сообщение от фишинга.

Решение и User Flow

Мы решили добавить Anti-Phishing Code в раздел безопасности профиля как отдельную настройку. Пользователь задаёт персональный код, который затем отображается в официальных email и SMS от биржи. Так пользователь получает простой маркер доверия и может быстро понять, настоящее ли сообщение, ещё до перехода по ссылке.

Для подтверждения установки и изменения кода мы выбрали 2FA, а не код на email. Это решение было важным, потому что Anti -Phishing Code используется как для email, так и для SMS-коммуникаций. Если подтверждать изменение через email, сам канал подтверждения оставался бы частью потенциально уязвимого сценария. 2FA лучше подходит и снижает риск, что злоумышленник сможет изменить код только через доступ к почте.

Результат

В результате была спроектирована функция Anti-Phishing Code, которая добавляет пользователю персональный маркер доверия в официальных email и SMS от биржи. Это помогает быстрее отличать реальные сообщения от фишинговых и снижает необходимость обращаться в поддержку для проверки подлинности письма.

В первый месяц после запуска 34% пользователей, посетивших Security Center, настроили Anti-Phishing Code, что подтвердило понятность сценария и ценность функции для аудитории, интересующейся безопасностью аккаунта.

Количество обращений в поддержку, связанных с проверкой подлинности email/SMS , снизилось на 18%.