Пять мест, в которых фишинговое письмо выдаёт себя#
Фишинговые письма стали визуально убедительными. Логотипы аккуратные. С грамматикой всё хорошо. В подписи — настоящий адрес. Дизайн больше не помогает.
Что не улучшилось — это сама структура атаки. У каждого фишингового письма по-прежнему пять задач, и в каждой остаётся отпечаток, который защитник читает за секунды.
1. Имя отправителя#
Поле «От» показывает то, что атакующий вписал. «PayPal Service support@payy-pal-secure.com» — совершенно валидный заголовок: имя бренда — это просто подпись. Смотри на адрес, а не на имя отправителя.
2. Тема письма#
У фишинговых тем узкий словарь: Срочно, Требуется действие, Аккаунт заблокирован, Подозрительный вход, Ожидающий возврат, Последнее предупреждение. Их задача — заставить открыть. Когда ты увидел паттерн пару раз, узнаёшь его уже в превью.
3. Первый абзац (хук)#
Первый абзац почти всегда делает две вещи разом: устанавливает угрозу («мы заметили подозрительную активность») и сразу даёт спасительный путь («нажмите здесь, чтобы подтвердить»). Реальные уведомления обычно начинаются с нейтрального состояния («ваш месячный отчёт готов»), а не с угрозы.
4. Ссылка#
Самый диагностический элемент. Наведи на ссылку, не кликая. URL внизу — это правда. Если он не заканчивается на реальный домен бренда — paypal.com, а не paypal-secure-login.net, не paypa1.com, не paypal.com.account-verify.io — выбрасывай.
5. Подпись#
В футере обычно реалистичный адрес, реалистичный телефон, копирайт. Это должно успокаивать. Но всё это тривиально копируется из настоящего письма. Подпись сама по себе ничего не говорит.
Десятисекундная проверка#
Когда приходит неожиданное письмо и просит что-то сделать, прогоняй в голове:
- Прочти реальный домен отправителя (не имя).
- Наведись на кнопку и прочти URL назначения.
- Спроси себя: это письмо просит меня войти или что-то перевести по моей собственной инициативе или нет?
Три проверки. Если что-то не так — не кликай. Открой приложение или сайт бренда, набрав адрес сам.