Опубликовано 30 октября 2024, 08:43
9 мин.

Топ-10 признаков фишинговой разводки: от общеизвестных до неожиданных и как их распознать

Эксперты в сфере кибербезопасности раскрыли 10 признаков фишинговой разводки. Пожалуй, считаные пользователи интернета ни разу не получали фишинговое сообщение или письмо. Многие по неопытности даже попадались на удочку злоумышленников, а многие попадаются и до сих пор — иначе этот вид мошенничества не был бы таким распространённым. Остановить эту волну практически невозможно, но можно стать волнорезом на её пути — грамотным интернет-юзером, которого не разведёшь на логины-пароли с помощью завлекательных предложений и поддельных ссылок. «Секрет» вместе с экспертами составил топ признаков фишинга, который нужно для этого выучить.

Топ-10 признаков фишинговой разводки: от общеизвестных до неожиданных и как их распознать

© Коллаж: «Секрет фирмы», Racool_studio/Freepik, Freepik, tohamina/Freepik

Читайте на тему:

1. Просьба выслать логин и/или пароль

Первый и главный признак того, что вас хотят развести, — это попытка под любым предлогом выведать у вас конфиденциальную информацию, необходимую для входа в какой-то аккаунт.

Обычно злоумышленников интересуют ваш логин, пароль, ответ на секретный вопрос, код подтверждения для двухфакторной идентификации и т.п.

Предлоги для этого могут быть самые разные, от откровенно смехотворных до достоверных и продуманных. Обычно пользователей «пугают», что их аккаунт заморожен или заподозрен в незаконной деятельности и, чтобы разобраться и вернуть вам контроль над ним, нужно выслать «службе безопасности» или «техподдержке» данные для входа.

Тут нужно помнить ни один сервис, служба, банк или портал не просят пользователей выслать им такие данные.

Ваши логины и пароли у них и так хранятся в зашифрованном виде, и самые критически важные действия вроде заморозки/разморозки могут сделать и без вашего участия. И даже смена пароля уже давно везде делается автоматически по запросу.

2. Поддельные ссылки с просьбой авторизации

Злоумышленники поумнее действуют не в лоб и не просят ваши логины и пароли напрямую. Они сочиняют правдоподобную легенду, чтобы вы сами ввели ваши данные по фишинговой ссылке.

Например, вам приходит письмо от какого-то сервиса или соцсети — её имя даже есть в почтовом адресе отправителя с какой-нибудь припиской типа «security», «press», «client», «present» и т.п. Или без приписки, но с другими странностями. Предположим, компания русская, адрес должен оканчиваться на .ru, а оканчивается на .kz.

Так или иначе вы, скорее всего, даже не задумывались никогда, как должно выглядеть официальное письмо и адрес от этой компании.

А в самом письме вам говорят, например, что вы что-то выиграли, для получения приза нужно авторизоваться по ссылке. И ссылка ведёт на страницу с адресом, где есть, опять же, название сайта, но немного изменённое — с лишними буквами, странным доменным именем, с ошибкой.

Татьяна Куликова
старший контент-аналитик «Лаборатории Касперского»

Один из самых явных признаков фишинга — несоответствие URL сайта официальному адресу. Часто поддельные сайты копируют дизайн популярных сервисов, но название в адресной строке подделать злоумышленники не могут. Они могут добавлять лишние символы, цифры или похожие буквы (например, «rn» вместо «m»).


При этом злоумышленники проявляют активный интерес к аккаунтам российских пользователей в мессенджерах, указала Куликова. Мошенники создают поддельные страницы авторизации, и, если человек введёт на них номер телефона, пароль и код подтверждения, доступ к его аккаунту получат злоумышленники.

Запомните: домен второго уровня (который находится сразу перед .ru, .com и т. д.) всегда должен быть адресом официального сайта. Если правильный адрес — это имясайта.ru, то имясайта.чтотоещё.com — это совершенно левый адрес. Уровни доменов должны разделяться точкой, а не слешем (символ /).

Ещё одно тонкое место, на котором часто ловят пользователей: различные страницы, предлагающие авторизацию через уже существующие соцсети. Это удобно и распространено даже среди совершенно легальных сервисов, поэтому люди, не задумываясь, кликают на этот вариант авторизации и вводят на появившейся странице логин-пароль от своей соцсети — по сути, даря его фишерам.

Всегда обращайте внимание, на какую страницу вас при этом переадресуют: реальный адрес соцсети или какое-то странное зеркало. Если сомневаетесь, лучше авторизуйтесь на телефоне с предустановленными официальными приложениями своих соцсетей. Если сервис реально запрашивают вашу существующую авторизацию там, то вместо окна в браузере откроется ваше приложение и спросит разрешение на предоставление такой-то странице вашей информации.

3. Небезопасное соединение

Приличные сайты устанавливают сертификаты безопасности. Они гарантируют, что ваше соединение с ними защищено и никакая третья сторона не может похитить вводимые там данные.

Сайтам-подделкам, которые создают фишеры, это не нужно и даже, наоборот, мешает. Поэтому чаще всего в их адресной строке будет http вместо https и не будет иконки закрытого замка. Всё, что вы введёте на таких сайтах, — логины, пароли, данные банковских карт — легко могут перехватить хакеры (ну или владельцы сайта, что во многих случаях одно и то же).

4. Примитивный дизайн

Многие фишинговые письма очень успешно маскируются под письма и рассылки от официальных сервисов. Однако чаще всего их выдаёт некоторая небрежность в копировании.

Например, там может быть устаревший дизайн, видоизменённые логотипы, следы замазывания вотермарок, криво встроенные графические элементы.

Кроме того, обычно под официальными рассылками даётся блок с пользовательскими соглашениями, контактами обратной связи, копирайтами, лицензиями и ссылкой для отписки. В фишинговом письме всего этого, скорее всего, не будет.

5. Безличное обращение

Фишинг может быть очень даже адресным, но для этого требуется больше ресурсов — социальная инженерия, какое-никакое исследование потенциальной жертвы. Поэтому до сих пор многие злоумышленники предпочитают массовые веерные рассылки в надежде, что хоть кто-то да клюнет.

Признаком такой рассылки может стать безличное обращение. «Любимый клиент», «дорогой друг», «уважаемый сотрудник» — всё это со старательным избеганием указаний на ваш пол или имя.

6. Признаки машинного перевода

Злоумышленники, промышляющие фишингом, часто весьма ленивы. Многие не утруждают себя даже составлением сколь-либо приличного и достоверного текста в расчёте на самых невнимательных и доверчивых пользователей. А ещё — не ограничиваются каким-то одним языковым сегментом интернета, рассылая один и тот же текст, переведённый автоматически.

Поэтому тексты фишинговых писем и сообщений обычно грешат несогласованностью времён, родовых окончаний («Наша фирма хотел бы сделаем вам подарок») и прочих ошибок, выдающих неумелый машинный перевод или генерацию нейросетью. Причём не самой лучшей, потому как на них тоже экономят.

7. Ошибки и заменённые символы в словах

К чести современных встроенных спам-фильтров многие фишинговые письма вы даже не видите, потому что они сразу улетают в соответствующую папку. Для этого почтовые серверы и решения кибербезопасности используют нейросети, которые анализируют содержимое письма на предмет опасных слов и словосочетаний.

Например, письмо с просьбой отправить кому-то денег, пароль или код от «Госуслуг», скорее всего, упадёт в папку «Спам» или будет помечено как потенциально опасное.

Но самые хитрые мошенники научились обходить эти фильтры. Они меняют какой-нибудь символ в слове на аналогичный из другого алфавита (буквы с, е, х, о, а, р и т.п.) — и вот уже спам-фильтр не идентифицирует это слово как потенциально триггерное. Или специально пишут слова с ошибками, «забывают» пробелы, добавляют дефисы.

Ирина Зиновкина
руководитель направления аналитических исследований Positive Technologies

Сами по себе орфографические и пунктуационные ошибки не всегда указывают именно на мошенничество, но служат поводом для бдительности со стороны пользователя.


8. Запугивание и поторапливание

Интернет-грамотность потихоньку повышается, и нынче уже многие пользователи, обжегшись пару раз, не клюют на типовые разводки вроде «письма от нигерийского принца».

Однако и преступники не лыком шиты и постоянно совершенствуют методы обмана. В частности, они играют на человеческих слабостях и успешно используют различные приёмы, чтобы притупить бдительность и заставить сначала делать, а потом думать.

Татьяна Куликова

Важно помнить, что фишеры реализуют свои схемы с использованием приёмов социальной инженерии: торопят потенциальных жертв, запугивают их, или, наоборот, присылают слишком щедрые предложения.


Ирина Зиновкина

Злоумышленники часто пытаются вызвать у жертвы ощущение срочности. Например, провести немедленную оплату, чтобы избежать формирования задолженности.


Тема письма также может быть подсказкой, так как мошенники стараются использовать актуальные и обсуждаемые темы, добавила Зиновкина. Так что если вас с ходу пытаются вывести на эмоции — притормозите, охладите голову и подумайте, кому это может быть выгодно.

9. Ссылки и вложения

Если с незнакомого или подозрительного адреса приходит письмо с прикреплёнными документами, файлами, картинками, упаси вас здравый смысл открывать их или скачивать на устройство.

С очень большой вероятностью такие файлы содержат вредоносный код, который внедрится к вам — со всеми возможными негативными последствиями, от шпионажа до блокировки системы с целью вымогательства.

Также настороженно нужно относиться к внезапно присылаемым ссылкам, особенно если по сообщению непонятно, что именно вас ждёт по ним. Особенно опасны ссылки, на которые так и подмывает кликнуть: фишеры отлично умеют расставлять по тексту «крючки», чтобы заинтересовать читателя.

«Я даже не думал, что ты так можешь! Смотри, что наснимали на корпоративе! (ссылка)» «Срочно! Я попала в беду, подробности по ссылке!» «Если не заплатишь деньги, твоё интимное видео по этой ссылке попадёт в Сеть» и т. п.

Разумеется, основная задача — не развести вас на эмоции, а следом и на деньги (хотя мошенники и не откажутся), а заставить, испугавшись, кликнуть по ссылке, чтобы оценить масштаб бедствия. А там вас уже будет ждать троян или форма авторизации с ненавязчивым требованием логина-пароля.

Ирина Зиновкина

Стоит также отметить квишинг — разновидность фишинга, при которой мошенники вместо стандартной подозрительной ссылки присылают QR-код. Это позволяет и замаскировать вредоносную нагрузку, обходя средства защиты, и обмануть пользователя, так как QR-коды всё чаще используются в легитимных целях и вызывают доверие среди потенциальных жертв.


10. Неожиданные запросы

Многие фишинговые ссылки не только воруют данные, но и уводят аккаунт пользователя или заражают его компьютер, чтобы от его лица продолжить вредоносную рассылку. Таким образом, они используют контакты и репутацию своей жертвы, чтобы повысить доверие к своим сообщениям.

Поэтому, если вам пишет человек, с которым вы общались давно, редко и в каком-то строго определённом контексте, и неожиданно обращается за помощью именно к вам – это повод насторожиться. Одолжить деньги или попросить «проголосовать за племянницу в конкурсе по ссылке» – это не та просьба, с которой пойдёшь к малознакомому человеку.

Если даже вы получаете аудиосообщение или звонок от знакомого, но с неизвестного номера, или даже с известного, но всё равно внезапного, не торопитесь доверять и сообщать личные данные или соглашаться перевести деньги. Современные технологии позволяют подделать речь, видео, телефонный номер, так что последним бастионом перед натиском мошенников должен быть здравый смысл.

Ирина Зиновкина

Аудио- и видеосообщения больше не гарантия достоверности, поскольку могут быть сгенерированы злоумышленниками.


Что делать, если обнаружили фишинговое письмо

Лучшее решение — немедленно удалить такое письмо и заблокировать отправителя. В идеале — даже не открывая.

Если вдруг вы пользуетесь почтовым клиентом, который поддерживает скрипты и сразу отображает содержимое письма и открывает ссылки и вложения, то есть риск подхватить вирус, просто открыв письмо.

Если письмо пришло на рабочий адрес, возможно, имеет смысл с соответствующей пометкой переправить его в вашу службу информационной безопасности, чтобы они изучили его, включили в спам-фильтр или предупредили о возможной опасности других сотрудников.

Если вам часто присылают фишинговые письма, проверьте, где ваш адрес находится в открытом доступе. Возможно, вам нужно подчистить свои следы в интернете. Или даже сменить адрес почтового ящика.

Наконец, имеет смысл установить какое-то надёжное антивирусное решение со встроенным спам-фильтром и защитой вашего интернет-соединения. Такие программы будут предупреждать вас о подозрительных ссылках и блокировать попытки по ним перейти. А браузеры Chrome, Firefox, Opera, Yandex Браузер и Safari уже имеют встроенную антифишинговую защиту.