2check.click

4 мин. чтения Обновлено: июнь 2026 г.

Как фишинговые письма попадают во входящие

Спам-фильтры стали значительно лучше за последнее десятилетие. И всё же фишинговые письма регулярно оказываются во входящих — минуя все защитные барьеры. Это не случайность: мошенники специально адаптируют свои методы, чтобы имитировать легитимную переписку. Разберёмся, как именно они это делают.

Почему спам-фильтры не ловят всё

Современные почтовые сервисы используют многоуровневую фильтрацию: проверяют репутацию IP-адреса отправителя, анализируют содержимое письма на характерные фразы, проверяют SPF/DKIM/DMARC записи, сравнивают ссылки с базами вредоносных сайтов. Но у каждого из этих методов есть слабые места, которыми пользуются злоумышленники.

Взломанные аккаунты как плацдарм для рассылки

Один из самых эффективных способов обойти фильтры — рассылать фишинг с настоящих аккаунтов. Если мошенник получил доступ к чужому почтовому ящику на Gmail или Yandex, письма с него будут иметь отличную репутацию. Получатель видит знакомое имя отправителя, спам-фильтр видит «чистый» домен — письмо проходит.

Именно поэтому важно использовать двухфакторную аутентификацию и не переходить по фишинговым ссылкам — взлом одного аккаунта может превратить вас в невольного соучастника следующей атаки.

Злоупотребление легитимными сервисами

Мошенники рассылают фишинг через легальные платформы: Google Docs, OneDrive, Notion, сервисы email-маркетинга. Письмо приходит с адреса @gmail.com, @googlemail.com или от известного ESP (email service provider) — у таких отправителей безупречная репутация, и фильтры их пропускают. Вредоносная ссылка ведёт на документ Google, который уже перенаправляет на фишинговую страницу — при этом сам Google-домен в письме выглядит совершенно безобидно.

Трюк с «выдержанными» доменами

Фильтры проверяют репутацию домена отправителя. Новый домен, зарегистрированный сегодня, автоматически вызывает подозрение. Поэтому часть мошенников регистрирует домены заранее — за несколько недель или месяцев — и «прогревают» их небольшими объёмами легитимной переписки. К моменту атаки домен имеет историю и хорошую репутацию.

Имитация доверенных отправителей

Несколько приёмов, которые делают письмо похожим на настоящее:

  • Подмена отображаемого имени. Отправитель может называться «Сбербанк Служба безопасности», хотя реальный адрес — sbersecurity@mail-notify.ru. Многие почтовые клиенты показывают только имя, скрывая адрес.
  • Похожий домен. sberbank-alert.ru отличается от sberbank.ru, но при беглом взгляде разница не заметна.
  • Корректная HTML-вёрстка. Официальный логотип, правильные цвета, аккуратный футер с «юридической информацией» — всё это снижает подозрения и фильтров, и читателя.
  • Персонализация. Письмо с вашим именем и последними четырьмя цифрами карты (взятыми из утечки) выглядит значительно убедительнее.

Как проверить подлинность письма

Посмотрите на реальный адрес отправителя

В большинстве почтовых клиентов можно нажать на имя отправителя и увидеть полный адрес. Если отображаемое имя «Сбербанк», а адрес — sber-info@mail-notify.ru — это подделка.

Не доверяйте ссылкам в письме

Даже если письмо выглядит легитимно — не переходите по ссылкам в нём. Зайдите на сайт напрямую, набрав адрес вручную или через закладки. Если проблема реальная — вы увидите её в своём аккаунте.

Проверьте ссылку перед переходом

Скопируйте ссылку из письма и вставьте в 2check.click — анализатор покажет реальный домен назначения, возраст домена и признаки маскировки. Подробнее о проверке ссылок — в руководстве как проверить безопасность ссылки.

Обратите внимание на заголовки письма

В расширенных заголовках (обычно доступны через «Показать оригинал» или «Свойства письма») можно увидеть результаты проверки SPF, DKIM и DMARC. «FAIL» в любом из них — серьёзный повод для подозрений.

Письма от доверенных отправителей тоже могут быть опасны

Если аккаунт вашего коллеги или знакомого взломан, вы можете получить фишинговое письмо буквально от него. Поэтому при любом неожиданном запросе перейти по ссылке или ввести данные — даже от знакомого адресата — стоит уточнить по другому каналу (позвонить, написать в мессенджер), действительно ли человек отправлял это письмо.

Проверьте подозрительную ссылку

Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.

Открыть анализатор 2check.click

Часто задаваемые вопросы

Почему фишинг иногда приходит от известных компаний вроде Google или Microsoft?

Мошенники злоупотребляют сервисами этих компаний (Google Forms, OneDrive), чтобы письма отправлялись с их доверенных доменов. Сам сервис легитимный, но ссылка внутри ведёт на мошеннический сайт.

Может ли фишинговое письмо выглядеть как ответ на мою переписку?

Да, это называется «hijacking thread» — перехват цепочки писем. Если взломан почтовый ящик кого-то из вашей переписки, мошенник может продолжить реальный разговор, вставив вредоносную ссылку.

Помогают ли антивирусные расширения для браузера?

Расширения вроде Google Safe Browsing встроены в браузер по умолчанию и помогают блокировать известные фишинговые сайты. Но они не защищают от свежезарегистрированных доменов, которых ещё нет в базах.

Как мошенники получают мой email-адрес?

Из утечек баз данных сервисов, парсинга открытых источников (сайты, форумы, соцсети), покупки списков на теневых рынках. Иногда рассылка идёт по всем адресам из утёкшей базы без персонализации.

Что делать, если подозрительное письмо уже открыто?

Само открытие письма (просмотр текста) не опасно. Не переходите по ссылкам и не открывайте вложения. Отметьте письмо как фишинг или спам — это помогает улучшить фильтры для всех пользователей.

Популярные статьи

Получили подозрительную ссылку?

Проверьте сейчас →

Похожие статьи