Как распознать фишинговые письма о COVID-19 и защититься

Почему тема COVID-19 используется в фишинге

Мошенники эксплуатируют страх и неотложность, связанные с пандемией. В исходном материале зафиксирован быстрый рост таких рассылок — с 137 случаев в январе до 1188 в феврале. Это показывает, что злоумышленники быстро адаптируются к актуальным событиям и используют их для социальной инженерии.

Фишинговые письма часто стремятся заставить жертву действовать интуитивно: открыть вложение, перейти по ссылке или предоставить личные данные. Последствия включают кражу личности, финансовые потери и взлом рабочих аккаунтов.

Важно: отсутствие официальной вакцины в момент появления подобных писем — явный знак, что обещания «лекарства» или «чуда» с высокой вероятностью мошеннические.

Типичные приёмы мошенников

• Неправильные или поддельные домены. Например, вместо cdc.gov злоумышленники могут использовать cdc-gov.org. Внешне домен выглядит правдоподобно, но один символ выдаёт подделку.
• Письма от фиктивных организаций. Быстрая проверка организации в поисковой системе часто выявляет подделку.
• Создание чувства срочности. Формулировки вроде действуйте немедленно или ссылка действует ограниченное время заставляют принимать решения без проверки.
• Приманки с вложениями. Файлы с «статистикой» или «информацией о вакцине» могут содержать вредоносное ПО.
• Фальшивые страницы входа. Сайты имитируют интерфейсы известных сервисов и собирают логины и пароли.
• Просьбы о нестандартных платежах. Организации здравоохранения, как правило, не принимают пожертвования в криптовалюте.

Быстрая проверка письма — чеклист для всех

1. Проверьте отправителя: покажите полное имя отправителя и реальный адрес, наведите курсор на адрес без клика.
2. Посмотрите домен ссылки: при наведении отображается фактический URL. Если адрес подозрителен, не кликайте.
3. Не открывайте вложения .exe, .scr, .zip; осторожны с Office-файлами и PDF.
4. Оцените содержание: есть ли орфографические ошибки, странные обращения или требования срочного перевода денег.
5. Если письмо с просьбой ввести учётные данные — не вводите. Вместо этого зайдите в сервис напрямую через закладки или официальный сайт.
6. Подтвердите информацию: официальные заявления ВОЗ и национальных органов здравоохранения доступны на их сайтах.

Примечание: наведение курсора на ссылку показывает только URL. Если ссылка замаскирована через сокращатели или редиректы, используйте сервис проверки ссылок или перенесите ссылку в текстовый редактор.

Пошаговый план действий для пользователя (Playbook)

1. Не взаимодействуйте с сомнительным письмом: не открывайте вложения и не кликайте по ссылкам.
2. Сохраните письмо для расследования: сделайте скриншот и сохраните заголовки письма.
3. Сообщите в IT или службу безопасности вашей организации, если письмо пришло на рабочую почту.
4. Если вы уже кликнули или ввели данные — немедленно смените пароли и включите многофакторную аутентификацию.
5. При признаках финансового мошенничества свяжитесь с банком и заблокируйте карты.
6. Сообщите о мошенническом сообщении в почтовую службу или национальный центр по борьбе с киберпреступностью.

Чеклисты по ролям

Для обычного пользователя

• Проверить отправителя и домен
• Не открывать вложения с подозрениями
• Сообщить и удалить
• Обновить пароли при малейшем сомнении

Для офисного сотрудника или менеджера

• Убедиться, что коллектив проинформирован
• Передать образец письма в IT
• Контролировать, не произошло ли утечки данных

Для IT/команды безопасности

• Извлечь заголовки письма и выполнить анализ
• Проверить логи на попытки входа с подозрительных IP
• Блокировать домены и IP на уровне почтового шлюза
• Распространить внутриорганизационное оповещение и инструкцию

Ментальные модели и эвристики

• Правило 1 минуты: если письмо заставляет вас делать что‑то за минуту — остановитесь и проверьте.
• Тест лукавого домена: прочитайте домен справа налево — часто подделки легче заметить так.
• Принцип минимального доверия: любая внешняя корреспонденция считается недоверенной, пока не подтверждена.

Когда эти методы дают сбой — контрпримеры

• Целевые атаки (spear phishing): злоумышленник изучил вас и использует персональную информацию, чтобы письмо выглядело правдоподобно.
• Скомпрометированная учётная запись коллеги: письмо придёт с реального рабочего адреса.
• Сложные редиректы и поддомены, прекрасно имитирующие оригинал.

В таких случаях требуется повышение уровня проверки: звонок отправителю по известному номеру, проверка через другой канал связи и привлечение службы безопасности.

Факт-бокс

• Наблюдался рост COVID‑тематических фишинговых рассылок с 137 случаев в январе до 1188 в феврале по обнаруженным данным.
• Основные векторы: вложения, фейковые страницы входа, поддельные домены, ложные просьбы о пожертвованиях.

Решение для компаний: что внедрить немедленно

• Фильтрация почты и блокировка подозрительных доменов
• SPF, DKIM и DMARC для защиты отправителей
• Обучающие рассылки и имитационные фишинговые тесты
• Политики резервного копирования и план действий на случай утечки

Пример автоматизированного сценария проверки ссылок (инструкция для IT)

1. При получении письма сохранять исходный заголовок и тело.
2. Извлечь все ссылки и разворачивать их до финального URL.
3. Сравнивать домены с белым списком и списком известных угроз.
4. Если домен неразрешён — пометить письмо как фишинговое и поместить в карантин.

Диаграмма принятия решения

flowchart TD
  A[Письмо о COVID-19] --> B{От кого письмо?}
  B -- Подозрительно --> C[Не открывать ссылки и вложения]
  B -- Доверенный адрес --> D{Сообщение содержит запрос данных?}
  D -- Да --> C
  D -- Нет --> E[Проверить ссылки и официальный сайт]
  E --> F{Сомнение остаётся?}
  F -- Да --> C
  F -- Нет --> G[Ответить или выполнить действие безопасно]

Шаблоны сообщений для отчёта в IT и внешним службам

• Короткое уведомление для IT: “Получено подозрительное письмо с темой X от адреса Y. Прошу проверить заголовки и ссылки. Прикладываю копию письма.”
• Сообщение в банк: “Я получил письмо с просьбой перевести средства. Пожалуйста, проверьте необычные транзакции и заблокируйте переводы, если требуется.”

Критерии приёмки

• Письмо помечено и помещено в карантин при наличии хотя бы одного из признаков: поддельный домен, вложение с исполняемым файлом, требование срочных действий.
• Проведено обследование логов входа в аккаунты после подозрительного события.
• Пользователь получил инструкцию по восстановлению и смене паролей.

Итог и рекомендации

Фишинг на тему COVID-19 — разновидность социальной инженерии, использующая актуальную тему для обмана. Простые привычки проверки отправителя и домена, отказ от кликов по сомнительным ссылкам и наличие внутрикорпоративного процесса реагирования значительно снижают риск компрометации. Для организаций критично комбинировать технические средства защиты и обучение сотрудников.

Краткое резюме: будьте скептичны к письмам о здоровье и пожертвованиях, проверяйте URL и отправителя, не вводите данные на подозрительных сайтах и немедленно сообщайте о подозрительных письмах ответственным лицам.