- несоответствии почтового адреса отправителя заявленной им компании
- логические нестыковки в письмах
- имитация нотификаций онлайновых сервисов
Но заметить фальшивку может быть не так просто — видимое получателю поле с почтовым адресом отправителя можно подделать. В массовых фишинговых рассылках такое встречается нечасто, но в целевом в фишинге это, к сожалению, не редкость. Если письмо выглядит настоящим, но по каким-то причинам подлинность его отправителя вызывает у вас сомнения, имеет смысл копнуть чуть глубже и проверить технический заголовок Received. В этом посте из блога Касперского, Yasroslav Andreev расскажет как.
Поводы для сомнений
В первую очередь вас должна насторожить необычность запроса. Любое письмо, которое требует от вас каких-то нестандартных или нехарактерных для вашей рабочей роли действий — повод присмотреться к нему внимательнее. Особенно если отправитель аргументирует свой запрос неимоверной важностью (это личный запрос генерального директора!) или же срочностью (в течение двух часов надо оплатить счет!). Это распространенные психологические приемы фишеров.
Кроме того, насторожиться следует, если вас просят:
- перейти по внешней ссылке из письма и ввести там учетные или платежные данные;
- скачать и открыть файл (особенно исполняемый);
- осуществить действие, связанное с денежными операциями или с доступом в системы или сервисы.
Как найти технические заголовки письма
Как уже говорилось выше, видимое получателю поле «От»; («From») легко подделать. А вот технический заголовок Received должен показывать настоящий домен отправителя. Найти его можно в любом почтовом клиенте. Для примера приведем Microsoft Outlook как самую распространенную программу для чтения почты в современном бизнесе. Если вдруг вы используете какой-то другой клиент, попробуйте изучить его инструкцию или поискать технические заголовки самостоятельно.
- Откройте письмо, которое хотите проверить.
- На закладке «Файл» выберите пункт «Свойства».
- В открывшемся окне «Свойства» в блоке «Заголовки Интернета» найдите поле Received.
Прежде чем дойти до адресата, письмо может пройти через несколько промежуточных узлов, поэтому полей Received может быть несколько. Вам нужно самое нижнее — именно в нем содержится информация об оригинальном отправителе. Выглядеть оно должно вот так:
Так же для проверки содержимого Received рекомендуем воспользоваться сервисом Kaspersky Threat Intelligence Portal. О том как им воспользоваться смотрите здесь.
Защита от фишинга и вредоносных рассылок
Проверка подозрительных посланий — дело нужное и полезное, однако чем меньше фишинговых писем доходит до конечного пользователя, тем лучше. Поэтому мы всегда рекомендуем устанавливать защитные решения с антифишинговыми технологиями на уровне почтового сервера компании.
Кроме того, защита с антифишинговым движком на рабочих станциях позволит предотвратить переход по фишинговой ссылке, даже если авторам письма удастся обмануть получателя.