Как проверить outlook на вирусы

Обновлено: 05.07.2024

Разбираемся, как отличить фишинговое письмо, когда оно приходит якобы от приложения Microsoft.

Учетные данные для входа в Microsoft Office — лакомый кусок для злоумышленников: получив доступ к чьей-то почте, они могут организовать атаку типа business e-mail compromise. Поэтому фишинговые письма, которые пытаются вынудить получателя ввести логин и пароль от их аккаунта Microsoft 365 на сайте, имитирующем страницу входа в учетную запись Office, приходят корпоративным пользователям с завидной регулярностью. А значит, крайне важно знать, на что следует обращать внимание, когда вас в очередной раз пытаются убедить перейти на такую страницу.

Мы уже рассказывали про то, как злоумышленники выманивают учетные данные от аккаунтов Microsoft Office. Но их уловки постоянно совершенствуются, поэтому мы решили еще раз показать на конкретном примере, что именно должно казаться ненормальным, а заодно и рассказать о новых трюках. На этот раз в качестве наглядного пособия будет использовано фишинговое письмо, пришедшее одному из наших коллег.

Новая фишинговая уловка: html-вложение

Как правило, фишинговое письмо содержит ссылку на фальшивый сайт. Мы регулярно пишем о том, что нужно тщательно смотреть не только на внешний вид ссылки, но и на реальный адрес, зашитый внутри нее (в большинстве клиентов и в веб-интерфейсах он отображается, если подвести к ссылке курсор мыши). Очевидно, фишеры решили минимизировать риск того, что фальшивку заметят на этом этапе, а потому вместо ссылки начали присылать html-файл, который служит исключительно для автоматизации перехода.

Пользователь получает письмо, кликает на html-вложение, которое открывается в браузере. Внутри — одна строчка кода javascript: window.location.href, параметром которого является адрес вредоносного сайта. Она заставляет браузер незамедлительно открыть расположенную по этому адресу страницу в том же окне. Вот, собственно, и все.

Фишинговое письмо: на что стоит обратить внимание

Фишинговое письмо с имитацией голосовой почты

На наш взгляд, прежде чем кликать на вложение, нужно ответить себе на несколько вопросов:

В зависимости от того, каким будет содержание письма и вложений, вопросы себе надо задавать разные, но общая их суть всегда должна сводиться к одному: похоже ли то, что вы получили, на что-то нормальное и общепринятое? Если нет — не открывайте вложения и не переходите по ссылкам.

Фишинговая страница: как распознать подделку

Но допустим, вы все-таки кликнули на вложение — и оказались на фишинговой странице. Как понять, что она фишинговая, а не легитимная?

Фишинговая страница, изобрадающая страницу входа в Microsoft Office

Вот на что надо смотреть:

Как не попасться на корпоративный фишинг?

Чтобы не сдать неизвестным злоумышленникам свой пароль от учетной записи Microsoft 365, нужно:

Если вы получили письмо, подлинность отправителя которого вызывает у вас сомнения, проверьте его самостоятельно. Рассказываем, как.

22 октября 2021

Мы часто пишем о достаточно очевидных признаках фишинга — несоответствии почтового адреса отправителя заявленной им компании, логических нестыковках в письмах, имитации нотификаций онлайновых сервисов. Но заметить фальшивку может быть не так просто — видимое получателю поле с почтовым адресом отправителя можно подделать. Да, в массовых фишинговых рассылках такое встречается нечасто, но в целевом фишинге это, к сожалению, не редкость. Если письмо выглядит настоящим, но по каким-то причинам подлинность его отправителя вызывает у вас сомнения, имеет смысл копнуть чуть глубже и проверить технический заголовок Received. В этом посте мы расскажем, как это сделать.

Поводы для сомнений

В первую очередь вас должна насторожить необычность запроса. Любое письмо, которое требует от вас каких-то нестандартных или нехарактерных для вашей рабочей роли действий — повод присмотреться к нему внимательнее. Особенно если отправитель аргументирует свой запрос неимоверной важностью (это личный запрос генерального директора!) или же срочностью (в течение двух часов надо оплатить счет!). Это распространенные психологические приемы фишеров. Кроме того, насторожиться следует, если вас просят:

  • перейти по внешней ссылке из письма и ввести там учетные или платежные данные;
  • скачать и открыть файл (особенно исполняемый);
  • осуществить действие, связанное с денежными операциями или с доступом в системы или сервисы.

Как найти технические заголовки письма

Прежде чем дойти до адресата, письмо может пройти через несколько промежуточных узлов, поэтому полей Received может быть несколько. Вам нужно самое нижнее — именно в нем содержится информация об оригинальном отправителе. Выглядеть оно должно вот так:

Технический заголовок Received

Технический заголовок Received.

Как проверить содержимое заголовка Received

Проще всего сделать это при помощи нашего сервиса Kaspersky Threat Intelligence Portal. Часть предоставляемых им функций бесплатна, так что если вы столкнулись с подозрительным письмом, можете воспользоваться им без какой-либо регистрации.

Информация от Kaspersky Threat Intelligence Portal

Информация от Kaspersky Threat Intelligence Portal

Защита от фишинга и вредоносных рассылок

Проверка подозрительных посланий — дело нужное и полезное, однако чем меньше фишинговых писем доходит до конечного пользователя, тем лучше. Поэтому мы всегда рекомендуем устанавливать защитные решения с антифишинговыми технологиями на уровне почтового сервера компании.

Кроме того, защита с антифишинговым движком на рабочих станциях позволит предотвратить переход по фишинговой ссылке, даже если авторам письма удастся обмануть получателя.

Читайте также: