Как распознать фишинговое письмо и не попасться на уловку

Фишинговое письмо выглядит как официальное уведомление, но содержит ложные требования перейти по ссылке или предоставить данные. Смотрите примеры, используйте чек-лист для проверки, настройте защитные инструменты и следуйте пошаговому плану, если вы уже кликнули.

Важно: даже опытные пользователи иногда ошибаются. Подходите ко всем неожиданным письмам с осторожностью и проверяйте отправителя и ссылки перед вводом данных.

Что такое фишинговое письмо в одном предложении

Фишинговое письмо — это электронное сообщение, которое притворяется официальным, чтобы выманить логин, пароль, платёжные данные или другую личную информацию.

Почему фишинг опасен

Фишинговые письма могут привести не только к краже пароля. Злоумышленники получают доступ к вашей учётной записи, крадут личность, оформляют кредиты на ваше имя или используют средства для финансирования преступной деятельности. Иногда фишинг служит входной точкой для установки вредоносного ПО в корпоративной сети.

Сколько людей попадаются

В одном опросе CBS News и Intel Security 80% респондентов признались, что им было бы трудно распознать фишинговое письмо. В другом опросе автору статьи удалось распознать 90% тестовых писем. Предыдущие опросы показывали, что 94% специалистов по информационной безопасности хотя бы раз попадали в ловушку фишинга. Эти данные показывают, что даже профессионалы уязвимы.

Примеры фишинговых писем и как их анализировать

Ниже три типичных примера. В каждом случае видим хорошо оформленное письмо, но достаточно нескольких простых проверок, чтобы заметить подделку.

PayPal

Описание примера

Письмо просит войти по ссылке для восстановления аккаунта. Внешне выглядит как уведомление службы поддержки.

Признаки подделки

• орфографическая ошибка в теле письма
• отправитель указан как confirmagain@ppservice.com, а не официальное доменное имя PayPal
• официальные службы редко присылают письмо с прямой ссылкой для ввода логина и пароля

Что делать

• не нажимайте на ссылку
• проверьте отправителя и заголовки сообщения
• откройте официальный сайт PayPal вручную в браузере и проверьте статус аккаунта

Apple или банк?

Описание примера

Письмо выглядит как уведомление из App Store или банка. Просит прочитать сообщение и подтверждает наличие непрочитанных уведомлений.

Признаки подделки

• отправитель выглядит как drowley@midwestbank.com, то есть адрес принадлежит банку, а не Apple
• при наведении мыши ссылка ведет на сторонний домен
• App Store не хранит личные сообщения пользователя в таком виде

Действия

• наведите курсор на ссылку, но не кликайте
• сравните адрес отправителя с официальным доменом
• если сомневаетесь, свяжитесь с поддержкой официального сервиса через их сайт

WhatsApp с email уведомлением

Описание примера

Письмо приглашает прослушать голосовое сообщение по кнопке Play. Кнопка вызывает любопытство и подталкивает к клику.

Признаки подделки

• отправитель dajohns@mixom.com не имеет отношения к WhatsApp
• в тексте приложения название написано по-разному: Whats App и WhatsApp
• при отсутствии учётной записи в WhatsApp такое письмо вызывает подозрение

Действия

• если не ожидаете сообщений, проигнорируйте или удалите письмо
• не запускайте вложения и не давайте разрешения на выполнение кода

Универсальный чек‑лист перед кликом

Краткий список шагов, который можно применить к любому подозрительному письму.

1. Проверьте отправителя
   • сверяйте домен отправителя с официальным сайтом сервиса
   • подделка часто использует похожие доменные имена
2. Наведите курсор на ссылку
   • в подсказке покажется реальный URL. Если он не совпадает с официальным доменом — не кликайте
3. Оцените тон и содержание
   • срочные требования, угрозы отключения аккаунта, обещания вознаграждений — признаки фишинга
4. Проверьте орфографию и стиль
   • официальные компании обычно придерживаются корпоративного стиля и проверяют тексты
5. Не открывайте вложения .exe, .scr, .zip, .js
   • вложения могут содержать вредоносное ПО
6. Используйте двухфакторную аутентификацию
   • даже при утечке пароля злоумышленник не сможет войти без второго фактора
7. Свяжитесь с компанией напрямую
   • найдите контакт на официальном сайте, не отвечайте на подозрительное письмо

Что делать, если вы уже кликнули или ввели данные

Немедленные шаги, которые снизят риск дальнейших потерь.

1. Измените пароль в затронутой учётной записи и в других сервисах, где использован тот же пароль
2. Включите двухфакторную аутентификацию
3. Проверьте активные сессии в аккаунте и завершите подозрительные
4. Сообщите в банк и заблокируйте карты, если вводили платёжные данные
5. Просканируйте устройство антивирусом и удалите найденные угрозы
6. Смените пароли на всех устройствах и почтовых клиентах, если есть подозрение на скомпрометированную почту

Короткая инструкция для работодателя

• уведомьте IT‑отдел
• запустите расследование и, при необходимости, отключите доступ скомпрометированных учётных записей
• рассмотрите уведомление клиентов и регуляторов в соответствии с политикой компании

Мини‑методология для оценки писем в организации

Шаги для внедрения процесса оценки фишинговых писем в малой или средней компании.

1. Назначьте ответственного за обработку подозрительных писем
2. Сформируйте шаблон для сообщения об инцидентах
3. Настройте правило пересылки подозрительных писем на централизованную почту безопасности
4. Проводите регулярные учебные упражнения с тестовыми фишинг‑письмами
5. Анализируйте пропуски системы и давайте обратную связь сотрудникам

Ролевые чек‑листы

Для рядового пользователя

• не кликайте срочно требующиеся ссылки
• проверяйте отправителя
• используйте уникальные пароли и менеджер паролей
• включите двухфакторную аутентификацию

Для IT‑администратора

• включите фильтрацию спама на почтовых шлюзах
• настройте DMARC, SPF, DKIM для домена компании
• применяйте блокировку вложений по расширениям
• разверните корпоративный менеджер паролей и SSO

Для менеджера по безопасности

• организуйте обучение сотрудников раз в квартал
• проводите фишинг‑тесты и публикуйте отчёты
• подготовьте инцидентный план на случай массовых компрометаций

Простейшие эвристики и ментальные модели

• Принцип минимального доверия
  • не доверяйте ни одному входящему сообщению по умолчанию
• Принцип проверки через независимый канал
  • если письмо требует действия, проверьте через официальный сайт или звонок
• Установка трёх фильтров
  • кто прислал, что просят, почему я должен это делать сейчас

SOP: План действий при подозрительном письме

1. Не отвечать и не кликать
2. Сохранить письмо исходным образом
3. Переслать в службу безопасности или IT с пометкой «подозрительное»
4. При подтверждении фишинга — удалить и отметить как спам
5. При факте компрометации — выполнить перечисленные выше немедленные шаги

Решающий дерево для решения нажимать ли на ссылку

flowchart TD
  A[Получили письмо с требованием действия] --> B{Известен отправитель?}
  B -- Да --> C{Ссылка ведет на официальный домен?}
  B -- Нет --> D[Не кликать, проверить вручную на сайте]
  C -- Да --> E{Письмо содержит угрозы или требования срочно ввести данные?}
  C -- Нет --> D
  E -- Нет --> F[Открыть сайт вручную и проверить]
  E -- Да --> D

Инструменты, которые помогут блокировать фишинг

• Встроенные фильтры почтовых сервисов: Outlook, Gmail — автоматически отправляют спам в папку «Спам», но иногда пропускают новые фишинговые кампании
• Антивирусные и интернет‑безопасные пакеты: блокируют доступ к известным фишинговым доменам и предупреждают при попытке ввода данных на сомнительных сайтах
• Корпоративные почтовые шлюзы и CASB: дают централизованный контроль и интеграцию с SIEM
• Репутационные сервисы для URL: проверяют домены в реальном времени

Примечание

Не полагайтесь на один инструмент. Комбинация фильтров, обучения и процессов даёт лучший результат.

Когда простые проверки не работают: сложные случаи

• целенаправленные атаки на руку менеджеров высшего звена (spear phishing) используют персональную информацию
• компрометация реальной почты сотрудника — тогда письма выглядят полностью легитимно
• подмена отправителя через уязвимость в почтовой системе — требует анализа заголовков

В таких случаях необходима помощь IT‑специалистов и анализ заголовков сообщений.

Краткая проверка заголовков письма для продвинутых пользователей

1. Посмотрите поле Return‑Path и From
2. Проверьте записи SPF, DKIM и DMARC отправителя
3. Проанализируйте Received‑цепочку для выяснения источника

Если вы не умеете читать заголовки — пересылайте письмо в IT с отметкой «требуется анализ заголовков».

1‑строчная глоссарий

• Фишинг: мошенничество с целью получить данные пользователя через поддельные сообщения
• Spear phishing: селективная атака на конкретного человека или должность
• Pharming: подмена DNS или хоста для перенаправления на фальшивый сайт
• DMARC, SPF, DKIM: механизмы для проверки подлинности электронной почты

Краткое резюме

• Фишинговые письма становятся сложнее, но у них остаются характерные признаки
• Проверяйте отправителя, ссылки и орфографию перед кликом
• Настройте защитные инструменты и включите двухфакторную аутентификацию
• Если вы кликнули, действуйте быстро: меняйте пароли, уведомляйте банк и IT

Если хотите углубиться, изучите материал по теме pharming и по настройке SPF/DKIM/DMARC для своего домена.