Как распознать фишинговое письмо

Традиционно электронную почту воспринимают более надёжным каналом связи, поскольку именно email чаще всего используют для деловой переписки. Именно на этом основан фишинг: мошенники искусно выдают себя за банки, коллег или руководителей. Цель атаки — не только прямая финансовая выгода, но и кража личных данных или захват контроля над системой. Но если вы знаете ключевые признаки фишингового письма, то в большинстве случаев сможете предотвратить обман. 

Что такое фишинговое письмо и чем оно опасно

Фишинговое письмо — это электронное сообщение, с помощью которого злоумышленник пытается выдать себя за надежный источник (банк, известную компанию, коллегу, государственное учреждение). Цель — обманным путем заставить жертву совершить определённое действие. Например, предоставить конфиденциальные данные, перейти по вредоносной ссылке или открыть опасное вложение. 

Последствия перехода по фишинговой ссылке или открытия вредоносного вложения могут быть катастрофическими как для частного лица, так и для целой организации. Например, результатом могут стать:

1. Прямые финансовые потери. Мошенники могут получить данные банковской карты (номер, CVV, срок действия) или доступ к электронным кошелькам. 
2. Кража учетных данных и кража личности. Получение логинов и паролей открывает доступ к электронной почте, аккаунтам в социальных сетях и на других сайтах, облачным хранилищам. Это позволяет мошенникам выдавать себя за обманутого пользователя. 
3. Заражение вредоносным ПО. При открытии вложения на устройство может быть загружен вирус-вымогатель или шпионское ПО. 
4. Компрометация компании. Украденные корпоративные данные могут стать точкой входа для масштабной атаки на всю IT-инфраструктуру организации. 

Само слово «фишинг» происходит от английского «fishing» (рыбалка). Мошенники «забрасывают удочку» с приманкой и надеются, что пользователь «клюнет» на обман.

Почему фишинг работает

Фишинг успешен благодаря социальной инженерии. Злоумышленники играют на человеческих эмоциях, чтобы отключить критическое мышление. Перечислю несколько ключевых психологических триггеров, которые злоумышленники применяют чаще всего. 

Срочность. В этом случае основной акцент делают на время. Пользователя заставляют поверить, что ждать нельзя и действовать нужно незамедлительно. Пример в письме: «Ваш пароль истекает через 3 часа. Нажмите, чтобы сбросить, или аккаунт будет удален навсегда». 

Власть. Отправитель имитирует высокий статус, чтобы потребовать беспрекословного подчинения. Например: «Письмо от генерального директора: срочно оплатите этот счет, пока я на встрече, это конфиденциально». 

Страх. Адресату угрожают потерей денег или важных данных. К примеру: «Мы обнаружили подозрительную активность на вашем счете. Если вы не отмените транзакцию, она будет автоматически выполнена». 

Жадность. Человеку обещают легкий заработок, неожиданный доход или какую-то выгоду. Причём всё это — взамен на незначительные усилия. Пример: «Вы выиграли лотерею. Нажмите здесь, чтобы получить средства». 

Фишинговые электронные письма играют роль психологической ловушки. Потому если письмо вызывает у вас сильную эмоциональную реакцию, немедленно сделайте паузу и постарайтесь включить критическое мышление.

Как распознать фишинговое письмо до открытия

Порой признаки фишингового письма можно различить ещё до открытия сообщения. Для этого важно внимательно изучить отдельные детали. 

Адрес отправителя. Убедитесь, что домен (часть после символа @) соответствует официальному сайту. Остерегайтесь подмены букв (l на 1 или o на 0). Например, вместо support@sberbank.ru вы видите support@sber-online.net или support@sberbanc.com.

Тема письма. Тема вызывает сильные эмоции — панику, страх, жадность и прочее. Примеры: «СРОЧНО: Ваш аккаунт заблокирован!», «Вам одобрен возврат средств». 

Имя получателя. Обязательно изучите поле «Кому». Это не столь очевидный, но важный признак. Если письмо отправлено на десятки или сотни адресов одновременно, это почти всегда массовая фишинговая рассылка. Если же в поле «Кому» вообще пусто, это также указывает на фишинг, поскольку адреса получателей, вероятнее всего, были указаны в полях «Копия» или «Скрытая копия» для проведения анонимной массовой рассылки.

Общий контекст и время. Стоит спросить себя, ожидали ли вы это письмо или уместна ли была его отправка. Так, банк не пишет в 3 часа ночи с требованием срочно подтвердить данные. 

Многие email-угрозы можно нейтрализовать, если внимательно изучить информацию в списке входящих писем. Для этого даже не нужно нажимать на них. Однако учтите, что злоумышленники могут «постараться», чтобы письмо выглядело как настоящее. И вы его откроете, не заметив подвоха. 

Какие признаки фишинга искать в открытом письме

Если вы открыли фишинговое письмо, ничего страшного не произойдёт. По крайней мере, до тех пор, пока вы никуда не нажали и не сделали ничего из предложенных действий. Сосредоточьтесь на деталях внутри, чтобы выявить признаки фишингового письма. 

Проверьте ссылки

Если в письме имеются ссылки, не торопитесь по ним переходить. Сначала посмотрите, какой адрес скрывается за отображаемым текстом. Наведите курсор мыши на ссылку (на ПК) или зажмите палец (на мобильном устройстве) и посмотрите, какая ссылка появляется в нижней части экрана или во всплывающей подсказке. 

Если в подсказке вы видите очень длинный и непонятный адрес, не пытайтесь его расшифровать. Это может быть как легитимная ссылка для отслеживания кликов (трекинга), так и фишинговый URL. Чтобы проверить подлинность: 

1. Поищите в адресе основной домен или домен почтового сервиса. Главный домен должен стоять в начале. Если перед ним есть другие домены или он затерян в середине, это повод для подозрений. 
2. Применяйте универсальное правило безопасности. В случае малейших сомнений самостоятельно найдите официальный сайт через браузер и уже на этом сайте ищите информацию, о которой говорилось в письме. 

Иногда в подсказке ссылка не отображается полностью. Слишком длинный адрес обрезается. Но вы можете проверить его полностью. Для этого вызовите контекстное меню (правой кнопкой мыши на ПК или долгим нажатием на мобильном устройстве), выберите команду «Копировать адрес ссылки» и вставьте скопированный URL в любой текстовый редактор для внимательного изучения. 

Обратите внимание на стиль текста и оформление

Всегда обращайте внимание на то, каким языком написано письмо. К примеру, в тексте есть ошибки, опечатки, неестественные или очевидно «машинные» формулировки. Вряд ли крупные организации допустят такие оплошности. 

Посмотрите на формат обращения. Например, если письмо от начальника начинается с «Уважаемый коллега», а не с вашего имени, это красный флаг. Обезличенное обращение должно насторожить вас, если вам пишет кто-то, с кем вы знакомы или с кем вас связывают какие-то деловые отношения. Или кто-то, у кого точно есть эти данные — Госуслуги или банк.

Также оцените дизайн письма. Если отсутствует официальный логотип, использованы изображения низкого качества или оформление не соответствует фирменному стилю, то перед вами, скорее всего, фишинговое письмо. 

Проанализируйте вложения

Согласно общепринятым правилам деловой переписки, отправка вложений требует устного или письменного уведомления. В большинстве случаев никто из коллег или официальных организаций не станет присылать вам важные документы без запроса или предварительного обсуждения. Неожиданное вложение, особенно от имени руководителя, почти всегда является тревожным сигналом.

Учтите, что внешне безобидные файлы могут на самом деле оказаться серьёзной угрозой. Вот несколько наиболее опасных расширений (типов файлов): 

1. EXE, MSI, JS, VBS, BAT. Файлы могут иметь двойное расширение, например, Invoice.pdf.exe. Система может скрыть EXE, и вы увидите только PDF. 
2. ZIP, RAR, 7Z. Внутри архивов часто спрятаны исполняемые файлы. Современные вирусы используют также образы дисков (.iso). 
3. DOCM, XLSM. Офисные документы с функциями автоматического выполнения кода. Microsoft по умолчанию отключает макросы из интернета, но это можно обойти. 

Никогда не открывайте вложение, если оно кажется подозрительным или вы его не ожидали. В первую очередь, свяжитесь с отправителем по другому каналу связи и уточните, действительно ли он отправлял этот файл. Если вы все же хотите проверить вложение, то сохраните файл (но не открывайте!) и просканируйте его актуальным антивирусным программным обеспечением. 

Изучите служебные заголовки

Иногда мошенники используют спуфинг. Это техника, при которой злоумышленник подделывает адрес электронной почты с целью выдать себя за доверенный источник. В отличие от обычной подмены (где меняют буквы), при спуфинге адрес отправителя в поле «От кого» выглядит абсолютно подлинным. 

Если вы подозреваете, что адрес отправителя был подделан, стоит провести анализ служебных заголовков письма. Эту функцию можно найти в дополнительных параметрах письма. Причём называется она по-разному: в Gmail — «Показать оригинал», в Яндекс Почте — «Свойства письма», в Почте Mail — «Служебные заголовки». 

Подробнее о том, где найти служебный заголовок в разных почтовиках и на что в нём смотреть — в отдельной статье «Конверта».

В частности, вам нужно проверить две записи: 

1. SPF (Sender Policy Framework). Проверяет, имеет ли сервер-отправитель право отправлять письма от имени этого домена. Ищите статус SPF: fail (не прошёл) — это признак подделки. 
2. DKIM (DomainKeys Identified Mail). Цифровая подпись, которая подтверждает, что письмо не было изменено в пути. Если подпись недействительна (DKIM: fail), письмо скомпрометировано. 

Для подтверждения подлинности письма в служебных заголовках вы должны увидеть статус SPF: pass (прошёл) и DKIM: pass (прошёл) или DKIM: OK. 

Если хотя бы одна из этих записей показывает fail или softfail (подозрение), это является серьёзным основанием считать письмо поддельным. 

Что делать, если письмо выглядит фишинговым

Если вдруг полученное письмо оказалось фишинговым, в первую очередь нужно знать, чего не делать. А именно: 

• не паникуйте и не торопитесь; 
• не нажимайте ни на какие ссылки; 
• не открывайте никакие вложения. 

Самое главное — не сообщайте никакие личные данные или важную информацию в ответном письме. Также не вводите свои учётные данные на страницах, на которые вас перенаправляет письмо (если вы вдруг рискнули и перешли по ссылке). 

А вот теперь разберём, что делать при получении фишингового письма: 

1. Сообщите об инциденте. Используйте встроенную функцию почтового сервиса «Сообщить о фишинге» или «Сообщить о спаме». Если это корпоративная почта, немедленно перешлите письмо в отдел IT-безопасности. 
2. Заблокируйте отправителя. Добавьте адрес отправителя в чёрный список или заблокируйте его в настройках своего почтового клиента. 
3. Удалите письмо. Удалите фишинговое письмо из папки «Входящие» и из корзины, чтобы исключить риск случайного открытия в будущем.

Если же вы по ошибке ввели свои учётные данные (логин/пароль) на фишинговой странице, сразу же смените пароль на оригинальном ресурсе, а также на всех других сайтах, где вы использовали такой же пароль. 

Если вы указали данные банковской карты (номер, CVV, срок действия) на фишинговом сайте, то немедленно свяжитесь с вашей финансовой организацией по официальному номеру и попросите заблокировать карту. 

В любом случае, после взаимодействия с фишинговым письмом просканируйте компьютер или мобильное устройство актуальным антивирусным программным обеспечением, чтобы проверить наличие вредоносного ПО.