Как распознать фишинг на тему COVID‑19 и защититься

Что такое фишинг и почему COVID‑19 — удобная тема для мошенников

Фишинг — это попытка злоумышленников выманить у вас конфиденциальную информацию (логины, пароли, банковские данные) или заставить выполнить действие (запустить файл, перейти по ссылке). Коротко: фишинг = ложная связь, маскирующаяся под доверенный источник.

Пандемия COVID‑19 дала мошенникам идеальную прикрытие: массовый интерес к новостям о здоровье, государственным выплатам и медицинским средствам делает людей более уязвимыми к сообщениям, которые обещают срочную информацию, помощь или выгодные покупки.

Важно: многие уловки не сложны технически — они эксплуатируют эмоции: страх, жадность, желание помочь.

Признаки фишинга, связанные с COVID‑19

Ниже — частые примеры мошеннических сообщений на тему коронавируса. Понимание типичных сценариев помогает быстрее распознать угрозу.

1. Уведомление «Вы контактировали с заражённым»

Описание: электронное письмо или SMS с темой вроде “COVID‑19 CONTACT” или “Вы могли быть в контакте”. Часто указано название реальной больницы и приложен файл (например, Excel) с якобы формой для заполнения.

Как это работает: вложение содержит макрос или скрипт — при включении редактирования запускается загрузчик, который устанавливает троян‑бекдор.

На что обратить внимание:

• неожиданные вложения, особенно с расширениями .xls/.xlsm/.docm;
• запрос включить редактирование или макросы;
• адрес отправителя не совпадает с официальным доменом больницы;
• угрозы срочности или требование ответа немедленно.

2. “Налоговый” возврат или стимул для граждан

Описание: письма, якобы от налоговой или правительства, с логотипом и предложением подтвердить банковские реквизиты для получения выплаты (стимул, пособие, возврат).

Как это работает: ссылка ведёт на фальшивый сайт, где просят ввести личные и платёжные данные. Либо просят позвонить и продиктовать информацию.

На что обратить внимание:

• официальные органы редко требуют подтверждение финансовых данных по электронной почте;
• адрес отправителя может быть похож, но иметь лишние символы (gov‑, .com вместо .gov и т. п.).

Пример поведения официальных органов: налоговые службы обычно публикуют обновления на своих официальных сайтах и не рассылают платежи через незапрошенные письма.

3. Поддельные обновления от медицинских организаций

Описание: письмо выглядит как рассылка от ВОЗ, министерства здравоохранения или локальной больницы, содержит статистику, график или PDF‑отчёт.

Как это работает: в тексте есть ссылка на «полный отчёт» или вложение с «обновлёнными инструкциями», которое либо крадёт данные, либо ставит вредоносное ПО.

На что обратить внимание:

• сравните ссылку в письме с официальным URL организации;
• не открывайте вложения с подозрительными расширениями;
• проверяйте новости на официальных сайтах и в авторитетных СМИ.

ALT: Образец поддельного письма, выдающего себя за сообщение от организации здравоохранения с графиками и ссылками

4. «Советы по безопасности» и «новые хитрости» от врачей

Описание: рассылки с заголовками “Безопасные советы от врачей” или «Новая простая мера защиты», часто оформленные в стиле «врачи в шоке».

Как это работает: прикрытие под медицинский совет маскирует вредоносный файл или ссылку на фишинговый сайт.

На что обратить внимание:

• сомнительные заголовки, неуместный эмоциональный тон;
• вложения с инструкциями в формате офиса;
• отсутствие ссылок на проверяемые первоисточники.

5. Просьбы о пожертвованиях и сборы на PPE

Описание: письма от «медиков», «волонтёров» или «организаций помощи», просящие перечислить деньги, купить оборудование или отправить биткоины.

Как это работает: мошенники рассчитывают на сочувствие, обещают направить деньги на закупку масок и костюмов, но используют анонимные каналы оплаты.

На что обратить внимание:

• официальные фонды публикуют счета и имеют верифицированные способы оплаты;
• запросы на перевод в криптовалюте или на личные кошельки — тревожный сигнал;
• проверьте наличие организации в реестре благотворительных фондов.

6. Поддельные магазины с ППЭ и скидками

Описание: письма предлагают купить маски, санитайзеры и респираторы по «огромной скидке» или в приоритетной предзаказной линейке.

Как это работает: ссылка ведёт на фейковый интернет‑магазин, который крадёт платёжные данные, либо вложение содержит инсталлятор.

На что обратить внимание:

• орфографические и грамматические ошибки, низкое качество фотографий из поиска Google;
• отзывы на сайте могут быть поддельными;
• проверьте домен и контактную информацию магазина.

7. Таргетинг удалённых сотрудников и корпоративный спуфинг

Описание: письма, выдающие себя за внутренние сообщения от HR, IT или бухгалтерии, с просьбой открыть документ, пройти краткий опрос или обновить доступы.

Как это работает: злоумышленники используют социальную инженерию и информацию о компании (например, из LinkedIn), чтобы подстроить письмо под конкретного сотрудника — это спиферинг и «spear phishing».

На что обратить внимание:

• неожиданные запросы на смену пароля через сторонние ссылки;
• просьбы срочно перевести деньги или прислать личные данные;
• несвойственный тон или стиль общения для данного отправителя.

Практическая инструкция: как защититься от фишинга на тему COVID‑19

Ниже — подробный набор шагов и правил для индивидуального пользователя и организаций.

Базовый личный чек‑лист (для всех)

1. Проверьте отправителя: домен и адрес отправителя важнее видимого имени.
2. Не кликайте на ссылки в письмах из непроверенных источников. Наведите курсор, чтобы посмотреть URL.
3. Не открывайте вложения, если вы не ожидаете их. Особенно опасны .exe, .scr, .zip, .xlsm, .docm.
4. Никому не давайте свои пароли и коды по электронной почте или телефону, если вы сами не инициировали запрос.
5. Включите двухфакторную аутентификацию (2FA) на важных сервисах.
6. Установите и регулярно обновляйте антивирус/анти‑малварное ПО и систему.
7. Используйте менеджер паролей и уникальные пароли для разных сервисов.
8. Проверяйте официальные сайты государственных органов и медицинских учреждений напрямую — не по ссылкам в письмах.
9. При получении запросов на перевод денег или пожертвование — проверяйте организацию через независимые источники.
10. Обучайте членов семьи и коллег: краткая инструкция и несколько примеров фишинга помогают избежать ошибок.

Important: если сомневаетесь — не торопитесь. Любая дополнительная проверка снижает риск попасть на удочку мошенников.

Технические меры для домашних пользователей и малого бизнеса

• Включите автоматические обновления операционной системы и браузера.
• Ограничьте права пользователей на компьютерах (используйте учётные записи без прав администратора для повседневной работы).
• Блокируйте макросы в Office по умолчанию; разрешайте только проверенные макросы.
• Настройте SPF, DKIM и DMARC для своего домена, чтобы снизить риск спуфинга электронной почты.
• Используйте DNS‑фильтрацию (например, сервисы блокировки вредоносных доменов) на маршрутизаторе.

Рекомендации для IT‑администратора

• Внедрите правила фильтрации почты на уровне шлюза (антифишинг, sandboxing вложений).
• Регулярно проводите фишинг‑тренинги и тесты социальной инженерии для сотрудников.
• Иметь процесс и контакты для быстрого блокирования подозрительных доменов и адресов.
• Введите простой и понятный алгоритм сообщения о подозрительных письмах (например, кнопку «Report Phish» в почтовом клиенте).

Роль‑ориентированные чек‑листы

Ниже — сжатые чек‑листы, которые можно распечатать или поместить в внутренний вики.

Чек‑лист: удалённый сотрудник

• Подтвердите источник, если просили открыть вложение от HR/IT.
• Используйте корпоративный VPN при работе с внутренними системами.
• Не обновляйте пароль по ссылке — заходите на корпоративный портал напрямую.
• Сообщите о подозрительном письме в IT через установленный канал.

Чек‑лист: HR

• Перед рассылкой внутренних сообщений используйте официальные служебные адреса и домен.
• Не запрашивайте личные данные сотрудников по электронной почте.
• Обучайте сотрудников распознавать фишинг и правильно сообщать о нем.

Чек‑лист: IT‑администратор

• Настройте 2FA для всех администраторских учёток.
• Периодически тестируйте реакцию сотрудников на фишинг‑имитации.
• Иметь план восстановления после успешного компромата.

Чек‑лист: руководитель малого бизнеса

• Убедитесь, что финансовые запросы проходят дополнительное устное подтверждение.
• Централизованно управляйте обновлениями и антивирусом.
• Поставьте ограничение на суммы переводов без многозвенной проверки.

Инцидент‑руководство: что делать при подозрении на фишинг (runbook)

1. Изолировать: не взаимодействуйте с письмом, не открывайте вложения. Отключите устройство от сети, если уже открыто вложение.
2. Сообщить: уведомите IT‑службу или ответственного по безопасности и менеджера.
3. Сохранить доказательства: не удаляйте письмо; сделайте снимки экрана, сохраните заголовки письма и полные письма в EML‑формате.
4. Проанализировать: IT проверяет домен отправителя, IP‑адрес, URL во вложениях, использует песочницу для анализа.
5. Блокировать: при подтверждении злонамеренности заблокируйте домен/адрес, проведите массовую рассылку предупреждения.
6. Очистить и восстановить: удалить вредоносные файлы, восстановить из резервных копий, сбросить учётные данные при необходимости.
7. Уведомить пострадавших: если утекли персональные данные, действуйте согласно внутренним политикам и законодательству по уведомлению.
8. Провести ретроспективу: обновить процедуры, провести дополнительное обучение сотрудников.

Критерии приёмки

• Инцидент задокументирован в журнале инцидентов.
• Угроза локализована и не распространяется.
• Уязвимые учётные записи переведены на безопасный режим.
• Проведена коммуникация с затронутыми пользователями.

SOP: как сообщать о фишинговом письме внутри организации (шаги)

1. Сотрудник пересылает подозрительное письмо на специальный адрес security@yourdomain.com с пометкой “PHISHING”.
2. IT‑специалист подтверждает получение и присваивает номер инцидента.
3. Письмо анализируется в песочнице, определяются IOC (Indicators of Compromise).
4. Если подтверждён фишинг — рассылается предупредительное сообщение всему персоналу; блокируются домены/URL.
5. По результатам — обучение и изменение политик.

Пример шаблона для отчёта о фишинге (скопируйте и используйте):

Тема: PHISHING — [Короткое описание]
От: [Ваше имя]
Дата/Время получения: [дд.мм.гггг чч:мм]
Кому: security@yourdomain.com
Описание: [Кратко опишите содержание и причину подозрений]
Вложение/Ссылка: [ссылка или имя вложения]
Действия: [ничего не открывал/открыл (если открыл, описать что сделал)]

Тесты и критерии приёмки для внутренних тренировок

• Тест 1: отправка имитационного фишинга с некросоверной темой COVID‑19. Критерий приёмки: ≥90% сотрудников не переходят по ссылке.
• Тест 2: имитация вложения .xlsm с макросом. Критерий приёмки: 100% сотрудников не включают макросы без проверки.
• Тест 3: имитация просьбы о переводе денег. Критерий приёмки: все платежи >1000 у. е. требуют двоичной проверки (эл. письмо + устное подтверждение).

Note: адаптируйте пороги приемки под размер и профиль вашей организации.

Мини‑методология для оценки подозрительных писем (быстрый алгоритм)

1. Проверка отправителя: домен? совпадает с организацией?
2. Проверка ссылок: наведите курсор, проверьте URL, используйте онлайн‑чекеры.
3. Проверка вложений: отложите открытие, просканируйте антивирусом.
4. Контекст: ожидаете ли вы это письмо? есть ли срочность/угроза?
5. Подтверждение: позвоните в организацию через официальный номер и уточните.

Дерево решений (Mermaid) для быстрого реагирования

flowchart TD
  A[Получили письмо о COVID‑19] --> B{Есть вложение или ссылка?}
  B -- Нет --> C{Запрос личных данных?}
  B -- Да --> D[Не открывать, сохранить письмо и сообщить в security]
  C -- Да --> D
  C -- Нет --> E{Отправитель — официальный источник?}
  E -- Нет --> D
  E -- Да --> F[Перейти на официальный сайт напрямую и сверить информацию]
  F --> G[Если подтверждено — действовать по инструкции]
  D --> H[IT анализирует и блокирует IOC]
  H --> I[Уведомление сотрудников и восстановление]

Факт‑бокс: ключевые моменты

• Тема пандемии повышает эмоциональную уязвимость — используйте здравый смысл.
• Частый приём — вложения с макросами в Office и поддельные сайты для ввода учётных данных.
• Образовательные тренировки и технические фильтры значительно снижают риск успешного фишинга.

Примеры ситуаций, когда защита может не сработать и что делать

Контрпример: даже при хорошей защите сотрудник мог случайно ввести данные на убедительном фишинговом сайте. В такой ситуации стоит:

• немедленно сменить пароли и включить 2FA,
• сообщить IT и блокировать скомпрометированные учётные записи,
• проверить логи на несанкционированный доступ.

Альтернативные подходы: для особо чувствительных систем используйте аппаратные ключи 2FA и изолированные рабочие среды (виртуальные машины только для работы с внешними файлами).

Краткий глоссарий (одна строка на термин)

• Фишинг: мошенничество через поддельные сообщения, цель — получить данные или выполнить вредоносное действие.
• Спуфинг: подмена отправителя сообщения, чтобы оно выглядело как из надёжного источника.
• Троян‑бекдор: вредоносная программа, предоставляющая удалённый доступ злоумышленнику.
• Макрос: программный код в документах Office, который может автоматически выполняться.
• 2FA: двухфакторная аутентификация, дополнительный уровень защиты при входе.

Что ещё важно помнить

• Обучение — ключевой актив: периодические короткие тренинги и реальные упражнения повышают устойчивость организации.
• Политики и процедуры должны быть простыми, чтобы сотрудники могли быстро действовать в стрессовой ситуации.
• Коммуникация: прозрачные инструкции о том, куда и как сообщать о подозрительных письмах, снижают время реакции.

Заключение

Фишинг на тему COVID‑19 использует простые психологические приёмы: срочность, страх и жертвенность. Технические и организационные меры в комплексе с внимательностью каждого сотрудника и чёткими процедурами реагирования дают высокий уровень защиты. Если вы руководитель — внедрите простые правила и проверяемые каналы связи; если пользователь — следуйте базовому чек‑листу и не торопитесь с действиями.

Ключевые шаги: проверка отправителя → не открывать вложения → сообщить в security → при необходимости изолировать устройство и сменить пароли.