Эксперты предупредили о «праздничном» фишинге: мошенники маскируют письма под скидки и сервисные уведомления

В конце года электронные ящики у большинства пользователей буквально забиты: скидки, поздравления, уведомления о доставке, подтверждения заказов. И именно на этом фоне мошенники чувствуют себя максимально комфортно. По данным X-Labs и viaForcePoint, свежие кампании все чаще маскируются не под грубый фишинг, а под привычные сезонные рассылки и «сервисные» письма, которые выглядят буднично и не вызывают подозрений.

Как злоумышленники делают письма похожими на легальный маркетинг

Главная ставка — на правдоподобие. Такие сообщения нередко отправляются через системы массовых рассылок, поэтому внешне напоминают стандартные коммерческие кампании. Текст аккуратный, без типичных ошибок, а оформление «чистое», как у реального бренда.

• в письмах встречаются ссылки для отслеживания переходов;
• добавляется возможность «отписаться», чтобы усилить доверие;
• структура и верстка выглядят как у обычной рекламной акции;
• за счет этого письма проще обходят базовые антиспам-фильтры, которые опираются на устаревшие шаблоны угроз.

Что происходит после клика: цепочки перенаправлений и сбор данных

После нажатия на кнопку или ссылку пользователь редко попадает на «конечную» страницу сразу. Его ведут через несколько сайтов, которые изображают сезонные финансовые предложения. Сначала вопросы нейтральные — например, какая сумма займа интересует и подходит ли человек по формальным критериям. Но дальше формы становятся все более «жадными» до информации.

1. Запрос базовых параметров (сумма, общие сведения).
2. Сбор персональных данных и деталей занятости.
3. Требование информации о доходах и банковских реквизитах.
4. Новые редиректы на дополнительные финансовые страницы с повторными запросами.

Такая схема позволяет повторно использовать уже собранные сведения и параллельно подталкивать жертву делиться еще большим объемом данных на разных доменах, не понимая, что это единая «воронка».

Отдельная линия атак: «DocuSign» и корпоративные учетные записи

Есть и кампании, рассчитанные на сотрудников компаний. Письма выдают себя за уведомления DocuSign или подтверждения заказов: якобы нужно срочно согласовать документ, подтвердить покупку к праздникам или даже «заказ вина». Для убедительности используется фирменный стиль DocuSign, а ссылки ведут через постороннюю хостинговую инфраструктуру и только потом — на страницы, где выманивают логины и пароли от корпоративной почты.

Почему антивирус не спасает

Проблема в том, что во многих случаях вредоносное ПО не устанавливается. Атака строится на сборе данных, поэтому средства удаления вирусов дают лишь ограниченную защиту и не должны восприниматься как главный барьер.

Как снизить риск: простые правила на период «почтового шторма»

• Проверяйте домен отправителя: неожиданные или «кривые» адреса считайте подозрительными, пока не подтвердите их независимым способом.
• Перед кликом смотрите, куда ведет ссылка, особенно если речь о документах, займах и праздничных покупках.
• Заходите в финансовые сервисы и к документам напрямую через официальные сайты, а не через кнопки в письме.
• Используйте сервисы защиты от кражи личности для мониторинга подозрительной активности и уведомлений о компрометации данных.
• Антивирус держите как вспомогательный контроль, а не как основную защиту от фишинга.
• В периоды массовых рассылок снижайте темп обработки почты: лучше потратить лишние минуты на проверку, чем «подарить» свои данные.