Как самостоятельно проанализировать подозрительное письмо

Если вы получили письмо, подлинность отправителя которого вызывает у вас сомнения, проверьте его самостоятельно. Рассказываем, как.

Мы часто пишем о достаточно очевидных признаках фишинга — несоответствии почтового адреса отправителя заявленной им компании, логических нестыковках в письмах, имитации нотификаций онлайновых сервисов. Но заметить фальшивку может быть не так просто — видимое получателю поле с почтовым адресом отправителя можно подделать. Да, в массовых фишинговых рассылках такое встречается нечасто, но в целевом фишинге это, к сожалению, не редкость. Если письмо выглядит настоящим, но по каким-то причинам подлинность его отправителя вызывает у вас сомнения, имеет смысл копнуть чуть глубже и проверить технический заголовок Received. В этом посте мы расскажем, как это сделать.

Поводы для сомнений

В первую очередь вас должна насторожить необычность запроса. Любое письмо, которое требует от вас каких-то нестандартных или нехарактерных для вашей рабочей роли действий — повод присмотреться к нему внимательнее. Особенно если отправитель аргументирует свой запрос неимоверной важностью (это личный запрос генерального директора!) или же срочностью (в течение двух часов надо оплатить счет!). Это распространенные психологические приемы фишеров. Кроме того, насторожиться следует, если вас просят:

  • перейти по внешней ссылке из письма и ввести там учетные или платежные данные;
  • скачать и открыть файл (особенно исполняемый);
  • осуществить действие, связанное с денежными операциями или с доступом в системы или сервисы.

Как найти технические заголовки письма

Как уже говорилось выше, видимое получателю поле «От»; («From») легко подделать. А вот технический заголовок Received должен показывать настоящий домен отправителя. Найти его можно в любом почтовом клиенте. Для примера приведем Microsoft Outlook как самую распространенную программу для чтения почты в современном бизнесе. Если вдруг вы используете какой-то другой клиент, попробуйте изучить его инструкцию или поискать технические заголовки самостоятельно.

  • Откройте письмо, которое хотите проверить.
  • На закладке «Файл» выберите пункт «Свойства».
  • В открывшемся окне «Свойства» в блоке «Заголовки Интернета» найдите поле Received.

Прежде чем дойти до адресата, письмо может пройти через несколько промежуточных узлов, поэтому полей Received может быть несколько. Вам нужно самое нижнее — именно в нем содержится информация об оригинальном отправителе. Выглядеть оно должно вот так:

Технический заголовок Received

Технический заголовок Received.

Как проверить содержимое заголовка Received

Проще всего сделать это при помощи нашего сервиса Kaspersky Threat Intelligence Portal. Часть предоставляемых им функций бесплатна, так что если вы столкнулись с подозрительным письмом, можете воспользоваться им без какой-либо регистрации.

Для того чтобы проверить адрес в поле Received, скопируйте его, перейдите на Kaspersky Threat Intelligence Portal и вставьте в поисковую строку на закладке «Поиск». Портал выдаст вам всю доступную информацию о домене и его репутации, а также информацию сервиса Whois. Вот как должна выглядеть его выдача:

Информация от Kaspersky Threat Intelligence Portal

Информация от Kaspersky Threat Intelligence Portal

Скорее всего, в самой первой строке будет вердикт «Безопасный объект» или сообщение «Категория не определена». Но это всего лишь значит, что наши системы раньше не замечали использования этого домена в преступных целях. При организации целевой атаки злоумышленники могут зарегистрировать свежий домен или использовать незаконный доступ к чужому домену с хорошей репутацией. Поэтому вам нужно внимательно посмотреть, на какую организацию зарегистрирован домен, и проверить, совпадает ли она с организацией, которую якобы представляет отправитель. Сотрудник компании-партнера из Швейцарии вряд ли будет посылать письмо через неизвестный домен, зарегистрированный где-то в Малайзии.

Кстати, через тот же портал имеет смысл проверить и ссылку из письма, если она кажется подозрительной. Кроме того, через закладку «Анализ файлов» можно проверить и приложенный к письму файл. Вообще-то у Kaspersky Threat Intelligence Portal гораздо больше полезных функций, но большинство их доступно зарегистрированным пользователям. Узнать больше о портале можно, перейдя в закладку About the Portal.

Защита от фишинга и вредоносных рассылок

Проверка подозрительных посланий — дело нужное и полезное, однако чем меньше фишинговых писем доходит до конечного пользователя, тем лучше. Поэтому мы всегда рекомендуем устанавливать защитные решения с антифишинговыми технологиями на уровне почтового сервера компании.

Кроме того, защита с антифишинговым движком на рабочих станциях позволит предотвратить переход по фишинговой ссылке, даже если авторам письма удастся обмануть получателя.

Советы