Представьте себе: вы открываете почтовый ящик и видите срочное сообщение от вашего банка. В нем говорится, что ваш счет взломан и вам необходимо срочно проверить информацию. Ваше сердце бешено колотится, когда вы нажимаете на ссылку, готовый защитить свои деньги, заработанные тяжелым трудом. Но подождите, неужели вы только что попались на одну из самых старых уловок в книге?
Недавно я изучал этот вопрос и был удивлен тем, насколько изощренными стали электронные письма мошенников! Прошли те времена, когда мошенников было легко распознать по плохой орфографии или очевидным схемам нигерийских принцев. Сегодня поддельные адреса электронной почты практически неотличимы от настоящих.
Существует несколько способов определить, что письмо поддельное, но ни один из них не является безошибочным. Приходится использовать комбинацию методов, и даже в этом случае нельзя быть уверенным на 100 %. Но вы можете подойти к этому довольно близко. Мы расскажем обо всем, что вам нужно знать, чтобы сохранить свой почтовый ящик и свою личность в безопасности: от анализа заголовков писем до понимания психологии фишинговых атак.
Основы: Изучение потенциально поддельного адреса электронной почты отправителя
Чтобы поймать мошенника, нужно думать как он. Большинство мошенников начинают с простой цели: обманом заставить вас совершить какое-либо действие, будь то переход по ссылке, загрузка вложения или передача вашей личной и финансовой информации. Но как они доводят вас до этого? Ответ кроется в сочетании психологии и технических уловок.
Начнем с самого простого: посмотрим на сам адрес электронной почты.
Выявление подделок доменов
Во-первых, проверьте домен электронной почты. Если вы ожидаете письмо от солидной компании, домен должен совпадать с официальным сайтом компании. Например, письмо от Amazon должно приходить с @amazon.com, а не с @amaz0n.com.
Спамеры используют такие методы, как typosquatting, когда они регистрируют домены, очень похожие на легитимные. Например, они могут зарегистрировать gooogle.com (с тремя "о") и использовать его для рассылки фишинговых писем, которые выглядят как письма от Google.
Субдомены: Не обманывайтесь
Еще один распространенный трюк - использование поддоменов, чтобы поддельный адрес выглядел законным. Например, "paypal.secure-login.com" на первый взгляд может выглядеть как письмо от PayPal, но на самом деле здесь используется домен "secure-login.com". Всегда смотрите на корневой домен (часть непосредственно перед .com, .org и т. д.), чтобы определить истинного отправителя.
Ищите обманчивые названия дисплеев
Мошенники могут манипулировать отображаемым именем в фишинговом письме, чтобы создать впечатление, будто письмо пришло от знакомого вам человека.
Пример: Может показаться, что письмо пришло от "Amazon Customer Support", но фактический адрес электронной почты - что-то вроде [email protected].
Как проверить: Наведите курсор или щелкните по отображаемому имени, чтобы увидеть фактический адрес электронной почты. Это часто показывает истинный источник письма и позволяет быстро определить, является ли оно законным или нет.
Трюк с Юникодом
Этот хитрый трюк предполагает использование символов из нелатинских алфавитов, которые выглядят идентично стандартным буквам. Например, кириллическая "а" (U+0430) выглядит точно так же, как латинская "а", но позволяет мошенникам зарегистрировать другой домен.
Пример: Легальный адрес электронной почты: apple.com Подделанный мошеннический адрес электронной почты: apple.com (заметили разницу? Визуально ее нет!)
Если у вас возникли подозрения, вы можете скопировать и вставить адрес в программу Unicode inspector, чтобы проверить его на наличие нестандартных символов. Это позволит выявить все нестандартные символы.
Случайные символы в поддельном адресе электронной почты
Еще одна вещь, на которую следует обратить внимание в поддельном адресе электронной почты, - это случайные строки цифр или букв. В настоящих адресах электронной почты они встречаются редко, если только это не автоматически сгенерированные адреса для определенных целей. Если вы видите письмо с адреса [email protected], оно с большей вероятностью окажется поддельным, чем письмо с адреса [email protected].
Но, опять же, это не является жестким и непреложным правилом. Некоторые люди действительно используют случайные числа в своих адресах электронной почты, особенно если у них общее имя и им нужно отличить свой адрес от других.
Поле Reply-To
Следующее, что следует изучить, - это адрес "reply-to". Он указывает вашему почтовому клиенту, куда отправлять ответы.
Почему это важно
В легальных письмах обычно в качестве адреса для ответа указывается тот же домен, что и у отправителя. Если он отличается, особенно если это бесплатная служба электронной почты, это тревожный знак. Мошенникам часто приходится использовать другой адрес ответа, поскольку они не контролируют домен, который подделывают.
Пример: Может показаться, что письмо пришло с адреса [email protected], но адрес 'Reply-To' может быть установлен на [email protected].
Как проверить
В Gmail адрес ответа можно увидеть, нажав на стрелку, расположенную рядом с именем отправителя. В других почтовых клиентах, чтобы увидеть этот адрес, может потребоваться начать составление ответа. Если ответный адрес не совпадает с адресом отправителя, будьте осторожны.
Иногда мошенники даже не удосуживаются изменить поле reply-to. Вместо этого они включают в тело письма текст с просьбой ответить на другой адрес. Это не менее подозрительно.
Индикаторы аутентификации: Технические проверки
Теперь мы переходим к более техническим вопросам. Не волнуйтесь, если сначала все покажется сложным, но если вы знаете, что искать, это не так уж и сложно.
Что такое индикаторы аутентификации?
Это проверки, подтверждающие, что письмо действительно пришло с того домена, на который оно претендует.
SPF, DKIM и DMARC
Три основных типа индикаторов аутентификации:
- SPF (Sender Policy Framework): Позволяет убедиться, что IP-адрес отправителя имеет право отправлять электронные письма для данного домена. Если письмо приходит с сервера, которого нет в этом списке, оно, скорее всего, поддельное.
- DKIM (DomainKeys Identified Mail): DKIM - это как пломба, обеспечивающая защиту от несанкционированного доступа к электронной почте. Он добавляет цифровую подпись к вашим письмам, чтобы доказать, что письмо действительно пришло от вас и не было изменено по пути к получателю.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): Политика DMARC основывается на SPF и DKIM, позволяя владельцам доменов указывать, как обрабатывать подозрительные письма, которые не прошли эти проверки. Она также предоставляет получателям возможность сообщать отправителям о сообщениях, которые прошли или не прошли эти проверки.
Как их проверить
К сожалению, большинство почтовых клиентов не отображают на видном месте важную информацию об аутентификации, что затрудняет пользователям быструю проверку легитимности письма.
Некоторые программы, например Gmail, отображают информацию "отправлено по почте" и "подписано" прямо в окне просмотра письма, что позволяет быстро убедиться в его подлинности. Для более тщательной проверки можно получить доступ к полным заголовкам письма.
В Gmail нажмите на три точки рядом с кнопкой ответа и выберите "Показать оригинал", чтобы увидеть подробные результаты проверки SPF и DKIM.
На что обратить внимание
Для крупных авторитетных организаций, таких как Google, Apple, Microsoft и т. д., вы должны видеть, что все три из них (SPF, DKIM, DMARC) проходят. Для небольших компаний должны пройти как минимум SPF и DKIM.
Любые сбои здесь очень подозрительны для предполагаемых писем от крупных организаций. Однако прохождение этих проверок не гарантирует, что письмо безопасно. Это лишь означает, что оно действительно пришло с заявленного домена. Мошенник может создать поддельный домен с надлежащей аутентификацией. Поэтому вам все равно нужно убедиться, что это именно тот домен, который вы ожидаете.
Но читать заголовки электронной почты не так-то просто. Они полны технической информации, которую большинство людей не понимают. И спамеры знают об этом, поэтому они стали лучше подделывать заголовки, которые выглядят законно.
Разгадка "Виа"
Когда вы получаете электронное письмо, вы обычно видите адрес электронной почты отправителя в верхней части. Иногда рядом с адресом отправителя можно увидеть слово "via", за которым следует имя другого домена. Это происходит, когда фактический сервер, отправляющий письмо, не совпадает с указанным адресом электронной почты.
Пример: Допустим, вы получили письмо, которое выглядит следующим образом:
От: [email protected] через xyz.com
В данном случае письмо утверждает, что оно от PowerDMARC, но на самом деле оно отправлено через xyz, который является службой маркетинга электронной почты.
На это есть законные причины. Многие компании используют сервисы электронной почты для рассылки информационных или рекламных писем. Однако мошенники также могут использовать этот трюк, чтобы придать своим почтовым аккаунтам более официальный вид.
Предотвращайте фишинговые аферы с помощью PowerDMARC!
Красные флажки контента: Что на самом деле говорится в электронном письме
Несмотря на важность технических проверок, иногда содержание фишингового письма само по себе может быть самым главным признаком. Мошенники - эксперты в манипулировании эмоциями и создании сценариев, побуждающих к немедленным действиям. Эта тактика известна как "социальная инженерия". Создавая ощущение срочности или апеллируя к вашему желанию получить финансовую выгоду, они надеются обманом заставить вас раскрыть личную информацию или перейти по вредоносным ссылкам.
Например, в письме может содержаться настоятельная просьба просмотреть свои последние действия на незнакомой платформе или ссылка "my assignment help review", маскирующая вредоносное содержимое. Эти фишинговые письма созданы для имитации легитимных организаций, с профессиональными логотипами и макетами, чтобы обмануть пользователей и заставить их доверять.
Типичные фишинговые письма могут утверждать, что:
- Вы выиграли значительную сумму денег.
- Ваша учетная запись была взломана, и необходимо принять срочные меры.
- Доставка посылки не удалась, и вам нужно перенести ее на другой день.
- Ожидается срочный счет или деловой запрос.
Эти фишинговые письма выглядят законно и могут даже использовать знакомые логотипы, шрифты и макеты. Цель - заставить вас быстро отреагировать, не задумываясь о подлинности письма.
Срочность и угрозы
Киберпреступники знают, что страх и срочность могут побудить к быстрым действиям. Поддельные письма могут пытаться напугать вас и создать ощущение срочности: "Ваш счет будет закрыт, если вы немедленно не обновите свои платежные реквизиты"; возбудить вас, например, "Поздравляем! Вы выиграли 100 000 долларов! Нажмите здесь, чтобы получить свой приз"; или вызвать чувство естественного любопытства ("Посмотрите, кто просматривал ваш профиль"). Этот вид фишинговой атаки призван обойти ваше рациональное мышление.
Если вы получили подобное фишинговое письмо, задумайтесь. Имеет ли смысл легальной компании угрожать вам по электронной почте? Большинство реальных организаций не используют такую тактику. Кроме того, если вы не участвовали ни в одном конкурсе или лотерее, вряд ли вы их выиграете. Помните, что легальные организации не раздают крупные суммы денег по незапрошенным электронным письмам.
Если вы получили такое фишинговое письмо, свяжитесь с компанией напрямую, используя проверенный способ связи, чтобы проверить, является ли письмо законным.
Запросы на конфиденциальную информацию
Легальные компании, как правило, не запрашивают конфиденциальную информацию по электронной почте. Если в электронном письме вас просят сообщить личные данные, учетные данные, номер социального страхования или данные кредитной карты, это почти наверняка подделка.
Неожиданные вложения
Многие мошенники часто используют вредоносные вложения для доставки вредоносных программ или вирусов, которые могут заразить ваш компьютер и украсть вашу личную информацию. Если вы получили неожиданное вложение, особенно если это файл в формате .zip или файл необычного типа, например .exe, .scr или .vbs, будьте очень осторожны. Даже такие безобидные на первый взгляд типы файлов, как PDF-файлы или документы Word, могут содержать вредоносные макросы.
Что делать с подозрительными вложениями:
- Не открывайте их: Если вы получили неожиданное вложение, не открывайте его, если не уверены, что оно получено из надежного источника.
- Используйте антивирусное программное обеспечение: Убедитесь, что ваше антивирусное программное обеспечение обновлено, и используйте его для проверки любых вложений, прежде чем открывать их.
Грамматические, орфографические ошибки и несоответствия
Несмотря на то, что это не является абсолютным доказательством (в некоторых законных письмах тоже встречаются ошибки), плохая грамматика и многочисленные ошибки могут быть тревожным сигналом. Мошенники могут не всегда хорошо владеть языком, на котором пишут, или же они могут намеренно использовать неправильную грамматику в качестве фильтра, чтобы отсеять более разборчивых получателей (люди, которые замечают грамматические ошибки и отталкиваются от них, с меньшей вероятностью поддадутся на попытку фишинга). Вот почему один из самых простых способов выявить поддельный адрес электронной почты - проверить его на наличие грамматических, орфографических и орфоэпических ошибок.
У легальных компаний есть специальные команды, которые следят за тем, чтобы их сообщения были профессиональными и не содержали ошибок. Как правило, у них есть последовательные, профессионально выглядящие шаблоны электронных писем. Если письмо, выдаваемое за письмо от крупной компании, выглядит по-дилетантски или имеет непоследовательное форматирование, оно может быть поддельным.
"Уважаемый клиент" или "Здравствуйте, пользователь" также могут быть мертвой уликой. Легальные компании обычно обращаются к вам по имени, поскольку у них есть ваши данные в файле. В поддельных письмах часто используются общие приветствия, поскольку они рассылаются массово.
Несоответствующие ссылки
Одна из самых распространенных тактик, используемых мошенниками, - встраивание вредоносных ссылок в электронные письма. Эти подозрительные ссылки часто ведут на поддельные неожиданные веб-сайты, предназначенные для кражи ваших учетных данных или заражения вашего устройства вредоносным ПО.
Пример: В тексте вредоносной ссылки в электронном письме может быть написано"www.yourbank.com", но при наведении курсора на нее фактический URL-адрес будет совершенно другим, например"www.scamsite.com/login". Это называется маскированным или скрытым URL.
Как проверять ссылки
Вы можете:
Наведите курсор на ссылку
Наведите курсор на ссылку, не нажимая на нее. Это покажет фактический URL-адрес назначения. Если он выглядит подозрительно или не соответствует официальному сайту, не нажимайте на него. Вместо того чтобы щелкать по ссылке, введите название компании в поисковую систему, чтобы найти ее официальный сайт. Однако будьте осторожны: спамеры могут использовать сократители URL или другие методы, чтобы скрыть реальное назначение ссылки. А некоторые почтовые клиенты не позволяют навести курсор на встроенные ссылки, чтобы увидеть, куда они ведут.
Ищите HTTPS
Легальные сайты обычно имеют URL-адрес, начинающийся с `https://`, и значок висячего замка. Тем не менее, это не так надежно, поскольку мошенники также могут защищать свои вредоносные сайты.
Фальшивые уведомления о доставке посылок
С ростом числа покупок в Интернете мошенники стали использовать поддельные уведомления о доставке посылок, чтобы обманом заставить людей перейти по вредоносным ссылкам.
Пример: "Ваша попытка доставки посылки не удалась. Нажмите здесь, чтобы перенести доставку".
Что делать:
- Проверьте адрес электронной почты отправителя: Убедитесь, что письмо пришло с официального домена транспортной компании (например, `@fedex.com` или `@ups.com`).
- Зайдите в свой аккаунт напрямую: Вместо того чтобы переходить по ссылкам, перейдите на сайт компании напрямую, чтобы отследить посылку.
Примеры фишинговых афер
Давайте рассмотрим несколько примеров, чтобы увидеть, как эти принципы применяются на практике.
Классическая афера с PayPal
From: [email protected] Subject: Ваш счет был ограничен! Тело: Уважаемый клиент, Мы заметили необычную активность на вашем счете. Пожалуйста, перейдите по ссылке ниже, чтобы проверить информацию и восстановить полный доступ к вашему аккаунту. [LINK]
Красные флажки:
- Подмена домена (paypal.com.secure-account.com)
- Срочная тема
- Общее приветствие
- Запрос на переход по ссылке и ввод информации
Изощренное мошенничество генерального директора
From: [email protected] Subject: Требуется срочный банковский перевод Тело: [Имя сотрудника], мне нужно, чтобы вы срочно обработали банковский перевод для нового приобретения. Это очень важно и конфиденциально. Пожалуйста, немедленно переведите $50 000 на следующий счет: [РЕКВИЗИТЫ СЧЕТА].
Дайте мне знать, когда все будет готово.
[Имя генерального директора]
Красные флажки:
- Срочная просьба о деньгах
- Давление, требующее быстрых действий
- Запрос на конфиденциальность
- Необычная просьба от высокопоставленного руководителя
Этот вид мошенничества, известный как Business Email Compromise (BEC), обошелся компаниям в миллиарды долларов. Зачастую он включает в себя взлом или подмену учетной записи электронной почты руководителя для запроса мошеннических переводов.
Легальное электронное письмо, которое выглядит поддельным
Вы получаете электронное письмо от небольшой компании, с которой вы уже имели дело. Проверка подлинности не проходит, а письмо содержит несколько опечаток. Вашим первым побуждением может быть пометить его как спам.
Однако вы замечаете, что адрес отправителя совпадает с предыдущей перепиской, которую вы вели с этим предприятием. Содержание письма содержит конкретные сведения о вашем последнем взаимодействии с этим предприятием. В этом случае, несмотря на неудачную проверку, письмо может быть легитимным - возможно, у малого предприятия просто не настроена надлежащая аутентификация электронной почты. Этот пример показывает, почему важно учитывать множество факторов, включая контекст и ваши отношения с отправителем, а не только технические проверки.
Пределы этих проверок
Стоит отметить, что даже если письмо прошло все эти проверки, теоретически оно все равно может быть вредоносным, если аккаунт отправителя был взломан. Поэтому всегда критически оценивайте содержимое письма и думайте, есть ли смысл в том, что оно пришло именно от этого отправителя.
Также помните, что эти проверки в основном помогают проверить, от кого пришло письмо. Они не обязательно говорят вам, заслуживает ли доверия сам отправитель. Мошенник может создать правильно аутентифицированный домен, который пройдет все эти проверки, но все равно будет использоваться в злонамеренных целях.
Проактивные шаги для защиты от поддельных писем и фишинговых атак
Знать о признаках поддельных адресов - это только половина успеха. Не менее важно предпринять активные шаги для защиты себя и своей организации.
Быть в курсе современных мошенничеств
Тактика использования поддельных писем постоянно развивается. Информированность о текущих фишинговых аферах поможет вам обнаружить новые типы поддельных писем. Многие организации регулярно публикуют информацию о новых мошенничествах с электронной почтой. Например, Центр жалоб на интернет-преступления ФБР(IC3) публикует предупреждения о современных киберугрозах и мошенничествах. Аналогичным образом Федеральная торговая комиссия (FTC) предлагает ценную информацию о последних мошеннических действиях. А если вы хотите разобраться во всем этом по-настоящему глубоко, существует Anti-Phishing Working Group(APWG), которая занимается именно фишинговыми аферами.
Кроме того, остерегайтесь мошенничества, созданного искусственным интеллектом, и голосового фишинга (вишинга). Искусственный интеллект облегчает мошенникам создание убедительных и персонализированных фишинговых сообщений. В то же время некоторые мошенники сочетают тактику электронной почты с голосовыми и телефонными звонками, часто используя искусственный интеллект для клонирования голосов, создавая более сложную и потенциально правдоподобную аферу. Эта техника, известная как вишинг, добавляет слуховой элемент к традиционным фишинговым атакам, что еще больше усложняет потенциальным жертвам задачу распознавания истины.
Использование решений для фильтрации электронной почты
Усовершенствованные спам-фильтры помогут обнаружить и заблокировать поддельные письма до того, как они попадут в основной почтовый ящик. Эти решения используют машинное обучение и искусственный интеллект для анализа содержимого электронной почты, информации об отправителе и других метаданных для выявления потенциально вредоносных писем.
Служба уведомления о нарушении данных
Используйте легальные сервисы, такие как Have I Been Pwned, Avast Hack Check, чтобы узнать, не был ли ваш адрес электронной почты вовлечен в утечку данных.
Внедрение протоколов аутентификации электронной почты
Использование протоколов аутентификации электронной почты, таких как SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting, and Conformance), поможет защитить ваш домен от подделки.
К сожалению, аутентификация электронной почты распространена не так широко, как вы могли бы надеяться. По некоторым оценкам, более 80 % доменов вообще не имеют SPF-записей. А в тех, где они есть, многие не придерживаются строгой политики. DMARC, который считается наиболее полным методом аутентификации электронной почты, используется еще меньшим количеством доменов. Даже если эти средства защиты существуют, они не всегда настроены правильно.
Компаниям, желающим внедрить надежную аутентификацию электронной почты, PowerDMARC предлагает комплексное решение. Их платформа упрощает процесс настройки и управления записями DMARC, SPF и DKIM.
Ключевые особенности:
- Генератор DMARC-записей: Простое создание и управление записями DMARC.
- Управление SPF-записями: Оптимизируйте записи SPF для предотвращения подделки электронной почты.
- Помощь в настройке DKIM: Внедрите DKIM-подпись для вашего домена с помощью инструмента генератора DKIM.
- Криминалистическая отчетность: Получите подробную информацию о сбоях аутентификации электронной почты.
- Анализ угроз: Выявление потенциальных угроз для домена вашей компании.
Используя такой сервис, как PowerDMARC, организации могут значительно снизить риск использования своего домена в фишинговых атаках, защищая репутацию своего бренда и своих клиентов.
Будьте бдительны
Мошенники постоянно совершенствуют свои методы. Но, внимательно изучив адрес отправителя, поле ответа на письмо и результаты проверки подлинности, вы сможете распознать большинство поддельных писем. Рассматривайте эти методы как вспомогательные средства, усиливающие ваш естественный скептицизм, а не заменяющие его. Они подобны системам безопасности в автомобиле - они могут помочь предотвратить аварию, но ездить все равно нужно осторожно. В конце концов, если письмо кажется вам подозрительным, отнеситесь к нему именно так. Лучше иногда проигнорировать настоящее письмо, чем попасться на фишинговую аферу.
Помните, что никто не застрахован от фишинговых афер. Даже люди, подкованные в технологиях, могут быть одурачены достаточно ловкой подделкой.
- Как долго распространяются записи SPF и DMARC? - 12 февраля 2025 г.
- Автоматизированные инструменты Pentest революционизируют электронную почту и кибербезопасность - 3 февраля 2025 г.
- Пример из практики MSP: Hubelia упростила управление безопасностью клиентского домена с помощью PowerDMARC - 31 января 2025 г.