Как распознать и предотвратить фишинговые письма в Gmail

Позвольте мне сначала рассказать вам о реальной ситуации.

Вы получаете электронное письмо от «Команды безопасности Google», в котором говорится, что ваша учетная запись помечена как подозрительная из-за активности при входе в систему и требует немедленной проверки личности, в противном случае ваша учетная запись будет заблокирована в течение 24 часов. Письмо оформлено безупречно, с четким логотипом и официальным уведомлением об авторских правах внизу. Немного запаниковав, вы нажимаете кнопку «Проверить сейчас», которая перенаправляет вас на веб-страницу, которая выглядит точно так же, как страница входа в Google. Вы вводите свой адрес электронной почты и пароль…

В этом случае ваш аккаунт Google перестанет быть вашим.

Именно это и делают фишинговые письма. Им не нужно взламывать ваш пароль или обладать какими-либо сложными хакерскими навыками; все, что им нужно, это чтобы вы в панике перешли по ссылке и ввели свой пароль.

Почему фишинговые письма становится все сложнее распознать?

Фишинговые письма пяти-шестилетней давности было довольно легко распознать — они были полны грамматических ошибок, плохого перевода и явно поддельных логотипов. Но сейчас все иначе.

Создание фишинговых писем сейчас чрезвычайно дешево, а используемые инструменты очень сложны. Злоумышленники могут:

• Идеально воспроизводит шаблоны электронных писем от Google, банков и курьерских компаний с точностью до пикселя.
• Поддельное отображаемое имя отправителя, а в некоторых случаях даже поддельный адрес отправителя.
• Поддельные домены, очень похожие на реальные (например g00gle.com , google-security.com ).
• Использование инструментов искусственного интеллекта для генерации грамматически корректного локализованного контента.
• Целенаправленное использование вашего настоящего имени и некоторой личной информации для повышения доверия.

Говоря прямо, фишинговые письма сегодня уже не являются «очевидно поддельными». Многие люди просто не могут отличить их от настоящих, если специально не проверят.

Самые распространённые рыболовные трюки

1. Имитация уведомлений безопасности Google.

Это классическая тактика. В электронном письме сообщается: «Обнаружена некорректная авторизация», «Срок действия вашего пароля истек» или «Ваш аккаунт будет скоро заблокирован», а затем содержится ссылка для «подтверждения личности» или «обновления пароля».

Подлинные уведомления безопасности Google действительно отправляются по электронной почте, поэтому многие не могут отличить их от поддельных. Мы объясним, как это сделать, позже.

2. Притворитесь коллегой или начальником.

Это особенно часто встречается в корпоративной среде. Вы получаете электронное письмо, которое выглядит так, будто оно от вашего начальника, с текстом: «Я на совещании и не могу позвонить, не могли бы вы купить мне подарочные карты и прислать номера карт?» Или: «Не могли бы вы обновить данные в этом файле и отправить его мне?» — на самом деле это вредоносное вложение.

Этот тип атаки называется «фишинг по электронной почте для бизнеса» (Business Email Phishing, BEC), и финансовые потери от него обычно намного больше, чем от обычного фишинга.

3. Уведомление о выигрыше/возврате налогов/возмещение

«Поздравляем с выигрышем iPhone 16», «Ваш налоговый возврат в размере 320 долларов США ожидает подтверждения», «Возврат средств за ваш заказ на Amazon зачислен на ваш счет, пожалуйста, подтвердите» — любые бонусы, предлагаемые без предварительного уведомления, по сути, являются приманкой.

4. Экстренные предупреждения

«Ваш аккаунт будет безвозвратно удален через 2 часа», «Обнаружена рассылка спама пользователям», «Ваше хранилище Google Drive ограничено из-за неприемлемого контента» — эти сообщения используют страх, чтобы заставить вас действовать немедленно, не давая времени на раздумья.

5. Фишинг через общие документы

Здесь все гораздо сложнее. Вы получаете электронное письмо с сообщением «Такой-то поделился с вами документом», формат которого практически идентичен настоящему уведомлению о совместном использовании документов в Google Docs. При нажатии на него вам предлагается войти в систему, чтобы просмотреть документ — страница входа, конечно же, поддельная.

Как определить, является ли электронное письмо фишинговым?

Никаких специальных знаний не требуется; достаточно выработать следующие навыки проведения осмотра.

Смотрите на адрес отправителя, а не на отображаемое имя.

Это самый простой, но крайне важный шаг. Имя отправителя, отображаемое в электронном письме, можно изменить по желанию; любой может установить его на "Команда безопасности Google". Но ключевое значение имеет фактический адрес электронной почты отправителя.

В Gmail нажмите на маленькую стрелку рядом с именем отправителя, чтобы развернуть подробности и увидеть фактический адрес электронной почты. Google официально использует только домены типа @google.com или @accounts.google.com . Если фактический адрес выглядит, например, как security-alert@google-verify.com или noreply@g00gle-support.net , то это подделка.

Наведите курсор мыши на ссылку, чтобы увидеть фактический URL-адрес.

Текст ссылки в электронном письме может полностью отличаться от фактического URL-адреса, на который она указывает. Кнопка с надписью «Войти в Google» на самом деле может вести на http://accounts-google.security-check.xyz/login .

На компьютере наведите курсор мыши на ссылку, не щелкая по ней, и посмотрите на фактический URL-адрес, отображаемый в левом нижнем углу браузера или во всплывающей подсказке. На мобильном телефоне удерживайте ссылку, чтобы просмотреть адрес.

Официальный адрес страницы входа в Google всегда начинается с https://accounts.google.com/ . Не доверяйте никаким другим вариантам.

Обратите внимание на ощущение срочности в вашем тоне.

В фишинговых письмах часто создают ощущение срочности, используя фразы вроде «немедленно», «сразу же», «в течение 24 часов» и «в противном случае письмо будет безвозвратно удалено», потому что люди чаще совершают ошибки, когда нервничают.

Даже если уведомление от уважаемой компании имеет ограничение по времени, формулировка будет более мягкой и не будет носить угрожающий характер. Кроме того, в случае действительно важных вопросов безопасности учетной записи Google будет уведомлять вас по нескольким каналам (push-уведомления, резервные электронные письма, SMS-сообщения на ваш номер телефона), а не только по одному электронному письму.

Не открывайте вложения, которые не прошли проверку.

Особенно следует избегать открытия файлов с расширениями .exe , .scr , .zip или .js . Даже файлы .pdf или .docx не следует открывать, если их источник неизвестен. Вредоносные документы могут использовать уязвимости программного обеспечения для выполнения вредоносного кода в момент их открытия.

Если вам действительно необходимо просмотреть вложения, вы можете сначала открыть их с помощью функции предварительного просмотра в Google Drive, вместо того чтобы загружать их на локальный диск.

Подтвердите данные, используя информацию, предоставленную Gmail.

В Gmail есть несколько встроенных функций, которые помогут вам это определить:

• Предупреждение от внешнего отправителя — Если вы используете Google Workspace (Enterprise), вы увидите желтую полосу предупреждения при получении электронных писем извне вашей организации.
• Если отправитель не подтвержден, в области изображения профиля появится вопросительный знак ("?" ).
• Красное предупреждающее сообщение — Gmail отображает красное предупреждение вверху страницы, когда обнаруживает подозрительные электронные письма, сообщая: «Это письмо выглядит подозрительно».

Обратите особое внимание на эти советы.

Если вы уже перешли по фишинговой ссылке

Не паникуйте, но действуйте быстро. Выполните следующие шаги:

Я просто перешёл по ссылке, но не ввёл никакой информации.

Это не большая проблема. Закройте страницу и очистите кэш и файлы cookie браузера. Если вас беспокоят вредоносные скрипты на странице, выполните полное сканирование системы с помощью антивирусного программного обеспечения.

Введен пароль

1. Немедленно смените пароль — войдите в свою учетную myaccount.google.com на другом устройстве, в безопасности которого вы уверены, и смените пароль.
2. Проверьте недавнюю активность входа в систему — в настройках безопасности отметьте пункты «Ваше устройство» и «Недавняя активность в системе безопасности» и выйдите из системы на всех незнакомых устройствах.
3. Проверьте параметры восстановления — убедитесь, что ваш резервный адрес электронной почты и номер телефона не были изменены.
4. Проверьте настройки пересылки электронной почты — фишинговые злоумышленники могут настроить автоматическую пересылку писем в свой почтовый ящик. Перейдите в настройки Gmail → Пересылка и POP/IMAP и проверьте наличие подозрительных адресов пересылки.
5. Включите двухфакторную аутентификацию — если вы её раньше не включали, включите сейчас. Лучше всего настроить пароль или ключ безопасности.
6. Проверьте разрешения сторонних приложений — перейдите на сайт myaccount.google.com/permissions , чтобы узнать, не предоставлен ли доступ к вашей учетной записи каким-либо незнакомым приложениям.

Введены данные банковской карты или платежная информация.

В дополнение к описанным выше шагам, вам следует незамедлительно связаться с банком, чтобы заблокировать соответствующие карты и отслеживать последние транзакции.

Проактивная защита: Затруднение получения фишинговых писем.

Вместо того чтобы каждый раз полагаться на визуальный осмотр для определения подлинности, лучше принять превентивные меры, чтобы даже если фишинговое письмо обманом заставит вас сообщить свой пароль, злоумышленник не смог войти в вашу учетную запись.

Включить двухфакторную аутентификацию

Это наиболее экономически эффективная мера безопасности. После включения этой функции, даже если ваш пароль будет украден, злоумышленники не смогут войти в систему без вашего номера телефона.

Перейдите в myaccount.google.com → Безопасность → Двухфакторная аутентификация и следуйте инструкциям для ее настройки. Рекомендуется использовать Google Authenticator или Passkey; коды подтверждения по SMS не рекомендуются (SMS-сообщения могут быть перехвачены SIM-картами).

Установить пароль

Это шаг вперед по сравнению с двухфакторной аутентификацией. Пароли по своей природе защищены от фишинга, поскольку автоматически проверяют домен веб-сайта, предотвращая запуск процесса проверки поддельными сайтами. Подробные инструкции по настройке см. в нашей предыдущей статье «Что такое Google Passkey: новый способ попрощаться с традиционными паролями».

Не забывайте оставлять включенными функции безопасности Gmail.

В Gmail по умолчанию включено множество функций безопасности; не стоит отключать их без необходимости.

• Фильтрация спама
• Обнаружение фишинговых писем
• Сканирование подозрительных вложений
• Защита от несанкционированного доступа (система проверяет безопасность целевого веб-сайта при переходе по ссылке).

Эти функции могут блокировать более 99% фишинговых писем. Однако небольшое количество фишинговых писем все же проскальзывает и попадает в почтовый ящик, поэтому ручная проверка остается важной.

Регулярно проверяйте состояние безопасности учетной записи.

Google предлагает инструмент «проверки безопасности» по адресу myaccount.google.com/security-checkup . Он поможет вам проверить:

• Есть ли какие-либо подозрительные устройства, недавно использовавшиеся для входа в систему?
• Нормальны ли разрешения сторонних приложений?
• Включена двухфакторная аутентификация
• Полная ли информация для восстановления?

Предлагаю уделять этому две минуты каждый месяц.

Будьте осторожны с общедоступным Wi-Fi.

Вход в электронную почту через общедоступные сети Wi-Fi в кафе, аэропортах или отелях гораздо рискованнее, чем дома. Если вам необходимо использовать общедоступную сеть, рекомендуется использовать VPN.

Дополнительные моменты, которые следует учитывать корпоративным пользователям.

Если вы используете Google Workspace (Gmail для бизнеса), администраторы также могут выполнить следующие действия для защиты всей организации:

• Включение двухфакторной аутентификации — настройте это в консоли управления; все сотрудники должны включить эту функцию.
• Внедрите политику DMARC — это предотвратит выдачу себя за домен вашей компании и отправку фишинговых писем вашим клиентам или сотрудникам.
• Чтобы включить расширенную защиту от фишинга , перейдите в консоль администратора Workspace → Безопасность → Gmail → Безопасность. Там вы найдете несколько расширенных параметров защиты.
• Регулярно проводите обучение сотрудников по вопросам фишинговых писем — осведомленность в вопросах безопасности важнее любых технических средств.

Как сообщить о фишинговых письмах

Не просто удаляйте это; потратьте две секунды, чтобы сообщить об этом, это поможет Google улучшить свой алгоритм фильтрации и защитит других от подобных проблем.

1. Откройте это письмо.
2. Нажмите на меню с тремя точками в правом верхнем углу.
3. Выберите «Сообщить как о фишинговом письме».

Всё очень просто. Google обновляет свою базу данных фишинговых подписей в электронных письмах на основе полученных данных, что упрощает автоматическую блокировку подобных писем в будущем.

Запомните один общий принцип

И наконец, вот самый практичный принцип оценки электронных писем: если вы столкнулись с письмом, в котором не уверены, помните следующее:

Надежные организации никогда не попросят вас ввести пароль по ссылке в электронном письме.

Независимо от того, насколько подлинным или срочным может показаться электронное письмо, если в нем вас просят перейти по ссылке для входа в систему или ввести конфиденциальную информацию, не делайте этого. Правильный подход — открыть браузер, вручную ввести адрес официального сайта, войти в систему и проверить письмо самостоятельно. Как только вы выработаете эту привычку, угроза фишинговых писем снизится практически до нуля.