Как распознать и защититься от фишинговых писем, связанных с COVID‑19

Фишинговые атаки использовали страх вокруг коронавируса COVID‑19. Злоумышленники рассылают письма, якобы от официальных организаций, с «важной» информацией о пандемии. По наблюдениям, число таких писем выросло с 137 в январе до 1188 в феврале. Помните: пока нет общепризнанной вакцины или универсального лекарства, поэтому предложения «лекарств» в письмах почти всегда мошенничество.

Некоторые письма содержат вложения или ссылки. При клике может начаться загрузка вредоноса. Тогда злоумышленники получат доступ к вашему компьютеру и личным данным, что ведёт к краже личности и финансовым потерям.

Ниже — признаки фишинга, практические советы и готовые шаги, которые можно применить сразу.

На что обращать внимание при проверке письма

• Проверка отправителя. Выполните быстрый поиск организации в интернете. Если организация не найдена или сайт выглядит странно — это повод усомниться.
• Поддельные домены и опечатки. Злоумышленники используют похожие домены, чтобы запутать получателя (например, cdc-gov.org вместо cdc.gov). Всегда внимательно смотрите всю строку домена, а не только название организации.
• Несоответствие содержимого и отправителя. Если письмо якобы от ВОЗ и просит пожертвование в криптовалюте — это явная несостыковка. ВОЗ официально не принимает биткоины.
• Создание ощущения срочности. Фразы типа «действуйте немедленно» или «последний шанс» предназначены вытянуть быстрый клик. Это стандартная хитрость фишеров.
• Перенаправление на фальшивый интерфейс. Ссылки могут вести на страницы, которые копируют интерфейс Outlook, Google или банков. Такие страницы лишь просят ввести логин и пароль.
• Обещания лекарства или «чудодейственной» вакцины. Подобные утверждения почти всегда ложные.

Совет: Наведите курсор на ссылку (hover), чтобы увидеть реальный URL. Если он не совпадает с ожидаемым — не кликайте.

Пошаговая инструкция: что делать при получении подозрительного письма

1. Не открывайте вложения и не нажимайте на ссылки.
2. Наведите курсор на ссылку и проверьте адрес внизу окна браузера или почтового клиента.
3. Скопируйте адрес отправителя и выполните поиск в интернете или проверьте в белом списке вашей организации.
4. Если письмо просит учётные данные — не вводите их. Перейдите на официальный сайт вручную через закладки или вводом адреса.
5. Сообщите об инциденте в IT-службу или службу безопасности электронной почты.
6. Если вы всё же ввели данные — немедленно смените пароль и сообщите в службу безопасности.

Чеклист для ролей

Для обычных пользователей

• Никогда не открывайте вложения от неизвестных.
• Проверяйте домен отправителя.
• Не торопитесь при сообщениях со срочными просьбами.
• Используйте двухфакторную аутентификацию.

Для IT‑администраторов

• Включите фильтры спама и блокировку подозрительных доменов.
• Настройте DMARC, DKIM и SPF для ваших доменов.
• Проводите тренинги по распознаванию фишинга.
• Поддерживайте процедуру отчётности и реагирования.

Мини‑методология верификации письма

1. Идентифицировать отправителя (полный заголовок). 2. Проверить URL целевой ссылки. 3. Сверить содержание с официальными публикациями организации. 4. Оценить риск перед любым действием.

Технические меры защиты (жёсткая защита)

• Включите DMARC, DKIM, SPF для всех исходящих доменов.
• Настройте проверку вложений и песочницу (sandbox) для подозрительных файлов.
• Применяйте антивирус и EDR‑решения с актуальными сигнатурами.
• Ограничьте исполнение макросов в Office‑файлах.

Когда эти методы не сработают (примеры сложных случаев)

• Целевые атаки (spear‑phishing) на конкретного сотрудника с использованием личной информации — тогда письмо выглядит очень правдоподобно.
• Компрометация реального почтового ящика партнёра. Если злоумышленник получил доступ к аккаунту доверенного контакта, проверка домена не поможет.
• Использование URL‑сократителей, когда реальный адрес скрыт. В таких случаях проверяйте ссылку через сервисы развёртывания URL.

Критерии приёмки (как проверить, что система защиты работает)

• Спам‑фильтр блокирует >90% известных фишинговых рассылок (оценка на тестовом наборе).
• Пользователи успешно распознают фишинговое письмо в 8 из 10 тестов (фишинговые симуляции).
• Включены и корректно настроены SPF, DKIM, DMARC для доменов организации.

Факты (коротко)

• Наблюдаемый рост случаев: с 137 в январе до 1188 в феврале. Этот пример показывает, как быстро злоумышленники используют кризис.
• Вакцины и лекарства, предлагаемые в массовых письмах, почти всегда мошенничество.

Краткий глоссарий

• Фишинг — мошенничество через электронную почту или сайты, цель которого — получить секретные данные.
• Спуфинг — подделка заголовков отправителя или адреса.
• DMARC/DKIM/SPF — механизмы для проверки подлинности электронной почты.
• EDR — решение для обнаружения и реагирования на угрозы конечных устройств.

Тестовые сценарии для проверки команды безопасности

• Отправьте контролируемую фишинговую рассылку и измерьте процент переходов по ссылкам.
• Попытайтесь зарегистрировать похожие домены и проверьте, как быстро система реагирует.
• Смоделируйте компрометацию пароля и проверьте процедуру восстановления и уведомления.

Важно: Если письмо вызывает даже небольшое сомнение — лучше перепроверить. Сообщайте подозрительные письма в вашу IT‑службу или службу безопасности.

Резюме

Фишинг, связанный с COVID‑19, эксплуатирует страх и спешку. Простые проверки — домен, ссылка, запрос учётных данных — часто позволяют распознать угрозу. Организации должны сочетать обучение пользователей, технические фильтры и чёткие процедуры реагирования.

См. также

• This WhatsApp feature helps you spot fake news amid the coronavirus outbreak
• WHO and Indian Govt. are developing coronavirus apps for both iOS and Android users
• Defeating Coronavirus: How Countries are using Technology to Fight the Deadly Virus