Неубедительно: пометки «безопасно» в фишинговых письмах

Если в рабочем письме стоит пометка «абсолютно безопасно», то это повод насторожиться.

Уловки фишеров: пометка «безопасно»

Рассылая фишинговые письма или вредоносные вложения, злоумышленники используют множество уловок, которые, по их мнению, должны убедить вас перейти по ссылке или открыть вложение. Одна из таких уловок — добавление в письмо всевозможных пометок о том, что отправитель, ссылка или приложенный файл достойны доверия.

Как бы глупо это ни звучало, но такой подход действительно работает. Возможно, человек, погруженный в тему информационной безопасности, и не поведется на эту уловку, но у многих далеких от этой темы сотрудников она может не вызвать никаких опасений. Поэтому мы рекомендуем ответственным за ИБ периодически объяснять коллегам даже кажущиеся очевидными уловки злоумышленников.

Как выглядят «пометки убедительности»

Разумеется, единого образца нет — каждый выдумывает свой вариант. Мы видели множество примеров, но как правило, это вариации на тему:

  • приложенный файл проверен антивирусом (иногда далее следует логотип);
  • отправитель находится в списке доверенных;
  • все ссылки проверены антифишинговым движком;
  • угроз не обнаружено.

Вот конкретный пример фишингового письма — злоумышленники, выдающие себя за службу поддержки, пытаются заставить получателя письма перейти по ссылке и ввести учетные данные от Office 365, для убедительности ставя пометку «Отправитель из списка подтвержденных отправителей нашей компании».

Письмо с пометкой

В данном случае пометка «This sender has been verified from [название компании] safe senders list» служит поводом насторожиться.

Как должен рассуждать получатель письма с пометкой

Несмотря на то что текст фишингового или вредоносного письма, как правило, требует действовать немедленно (в приведенном выше примере — под угрозой недоступности рабочей почты), это как раз то, чего делать ни в коем случае не нужно. Сначала задайте себе следующие вопросы:

  • Видели ли вы раньше такую пометку? Если вы работаете в компании хотя бы неделю, то наверняка это не первое полученное вами электронное письмо.
  • Видел ли кто-нибудь из ваших коллег такую пометку в рабочей почте? Если сомневаетесь сами, то лучше уточнить у более опытного коллеги и сотрудника IT.
  • Имеет ли смысл такая пометка в данной переписке? Да, с пометками «файл проверен» или «ссылка проверена» не все так однозначно — они могут иметь смысл. Но если отправитель якобы работает в вашей компании, то как его корпоративный адрес может не быть в списке доверенных?

На самом деле современные почтовые фильтры работают совершенно противоположным образом: если пометки и ставятся, то, наоборот, на опасные, а не на безвредные письма. В письме можно увидеть сообщение об удаленной опасной ссылке или вложении, о том, что письмо предположительно является спамом или попыткой фишинга. И в случае с Outlook из Office 365 ставятся такие пометки — как правило, не в тело письма, а в специальные рабочие поля. Впрочем, чаще всего такие письма просто удаляются до того, как им дают дойти до адресата, или попадают в папку Junk. Маркировать же безопасную корреспонденцию — неэффективно.

Когда-то такая практика действительно применялась в бесплатных почтовых сервисах, но ее реальной целью было подчеркнуть конкурентное преимущество — встроенный фильтр или антивирусный движок.

Как оставаться в безопасности и защитить свою компанию

Мы еще раз рекомендуем периодически рассказывать коллегам об уловках злоумышленников (например, пересылая им ссылку на этот пост). Для большей эффективности имеет смысл повышать их уровень осведомленности о киберугрозах при помощи специальных сервисов.

Ну а чтобы без вcких пометок в теле письма было очевидно, что вложение проверено на всевозможные киберугрозы, мы рекомендуем имплементировать защиту на уровне почтового шлюза или же применять специализированные решения для безопасности Office 365. Защита на уровне рабочей станции с надежным антифишинговым движком тоже не помешает.

Советы