Анатомия фишингового письма: что происходит под капотом

Фишинг работает не потому, что люди глупые. Он работает, потому что письма выглядят правильно. Настоящий From, логотип банка, ссылка, которая отличается от оригинала одним символом. Чтобы отличить подделку от оригинала, нужно смотреть не на текст, а на техническую начинку письма. Вот об этом и поговорим.

Почему фишинг до сих пор работает

По данным Anti-Phishing Working Group, в 2025 году было зафиксировано свыше 4,7 миллиона фишинговых атак. Цифра растёт каждый год, несмотря на спам-фильтры, обучение сотрудников и сертификации по безопасности. Причина проста: фишинг эволюционирует быстрее, чем осведомлённость.

Десять лет назад фишинговое письмо можно было опознать по корявому русскому и ссылке вида http://192.168.1.1/login. Сейчас атаки используют зарегистрированные домены с SSL-сертификатами, копируют HTML-шаблоны рассылок до пикселя и отправляют письма через легитимные ESP, прошедшие SPF-проверку.

Визуальный анализ больше не надёжен. Нужен технический.

Заголовки письма: первый уровень диагностики

Каждое email-сообщение содержит два слоя: тело (HTML или текст, который видит получатель) и заголовки (метаданные, которые видит только почтовый клиент). Фишеры тратят усилия на тело. Заголовки они подделывают хуже, потому что многие из них выставляются серверами, а не отправителем.

Чтобы посмотреть заголовки в Gmail: откройте письмо, нажмите три точки, «Показать оригинал». В Outlook: Файл → Свойства → Заголовки. В Thunderbird: View → Message Source. То, что вы увидите, выглядит неприветливо, но ключевых полей всего несколько.

From vs. Return-Path vs. Received

Поле From - то, что видит пользователь. Его может поставить кто угодно. Протокол SMTP не требует, чтобы From совпадал с реальным отправителем. Именно поэтому вы можете получить письмо «от Сбербанка», отправленное с сервера в Нигерии.

Return-Path (он же envelope sender) - адрес, на который уходят bounce-уведомления. У легитимных рассылок он обычно на том же домене или поддомене, что и From. У фишинга - часто нет.

Цепочка Received - следы серверов, через которые прошло письмо. Читается снизу вверх. Самый нижний Received - исходный сервер отправки. Если письмо якобы от google.com, а первый Received указывает на IP-адрес из блока, принадлежащего хостингу в Юго-Восточной Азии, - это красный флаг.

Здесь unknown вместо PTR-записи - подозрительно. У крупных отправителей обратная DNS-запись всегда настроена: IP резолвится обратно в имя хоста, которое совпадает с доменом отправки.

SPF, DKIM, DMARC: три проверки, которые решают всё

Если вы уже знакомы с этими протоколами, можете пропустить вводную часть и перейти к тому, как именно фишеры их обходят. Если нет - вот суть за тридцать секунд.

SPF - DNS-запись, перечисляющая IP-адреса, которым разрешено отправлять почту от имени домена. DKIM - криптографическая подпись на каждом письме, публичный ключ лежит в DNS. DMARC - политика: что делать, если SPF или DKIM провалены, плюс отчёты.

В заголовках легитимного письма вы увидите строку Authentication-Results, которую проставляет принимающий сервер:

Три pass - хороший знак. Но даже одного fail достаточно, чтобы насторожиться. Если dmarc=fail и письмо всё равно попало во «Входящие», значит у домена-отправителя стоит p=none - политика, которая ничего не блокирует. Фишеры об этом знают и выбирают именно такие домены для спуфинга.

Как фишеры обходят аутентификацию

Лобовой спуфинг - подделка From без настройки SPF/DKIM - работает всё реже. Gmail и Mail.ru фильтруют такие письма до входящих. Но у атакующих есть обходные пути.

Lookalike-домены. Не подделка существующего домена, а регистрация похожего: sberbank-online.ru вместо sberbank.ru, mai1.ru вместо mail.ru. У такого домена свои SPF и DKIM, и они проходят проверку. С технической стороны - всё чисто. Подвох только в имени.

Скомпрометированные аккаунты ESP. Злоумышленник регистрируется в Mailchimp или SendPulse, подключает свой домен, настраивает SPF и DKIM по всем правилам. Рассылка проходит аутентификацию, потому что технически всё корректно. Отличить от легитимной рассылки можно только по содержимому и репутации домена.

Display name spoofing. Самый примитивный, но до сих пор действенный трюк. Имя отправителя в поле From - «Служба безопасности Тинькофф», а адрес - что-то вроде info@random-domain.xyz. На мобильных устройствах адрес часто скрыт, видно только имя. Половина пользователей не раскрывает полный адрес.

Субдомены без DMARC-политики. Если основной домен настроен с p=reject, но в записи нет sp=reject, субдомены остаются открытыми. Письмо от support.sberbank.ru при отсутствии отдельной DMARC-записи для субдомена может пройти без блокировки.

Фишинг 2026 года - это не про взлом серверов. Это про эксплуатацию разрывов между тем, что проверяет протокол, и тем, что видит человек.

Ссылки: где прячется подмена

В HTML-письме текст ссылки и её реальный URL - две разные вещи. Письмо может показывать «sberbank.ru/login», а вести на sberbank-login.phishing-site.com. Проверка элементарная: навести курсор и посмотреть, куда ведёт href. Но на мобильных это неудобно, а в спешке - забывается.

Более изощрённый приём - использование редиректов через легитимные сервисы. Ссылка на Google Docs, которая перенаправляет на фишинговую страницу. Или сокращатель URL - bit.ly, clck.ru. Исходный домен выглядит безопасно, конечный - нет.

Ещё один красный флаг - punycode-домены. Символ «а» кириллический и «a» латинский визуально неотличимы, но это разные Unicode-кодпоинты. Домен xn--80ak6aa92e.com в адресной строке браузера может отображаться как знакомое слово. Современные браузеры частично защищают от этого, но в email-клиентах защита слабее.

Практический совет: если в письме есть ссылка на вход в личный кабинет, банк или платёжную систему - не кликайте. Откройте сайт вручную через закладку или строку браузера. Это единственный способ, который работает на 100%.

Контентные признаки: что выдаёт подделку

Технический анализ заголовков - надёжный метод, но он требует навыков. Есть признаки, которые можно заметить быстрее.

Срочность без контекста. «Ваш аккаунт будет заблокирован через 24 часа» - классика. Легитимные сервисы редко ставят жёсткие дедлайны в первом письме. Обычно есть цепочка предупреждений: первое, второе, третье. Фишинг бьёт сразу, потому что у него нет второго шанса.

Запрос чувствительных данных. Пароль, CVV, код из SMS. Ни один банк и ни один сервис никогда не запрашивает это по email. Если запрашивают - это фишинг. Без исключений.

Несоответствие тона. Компания, с которой вы общаетесь на «ты» в поддержке, вдруг пишет канцелярским языком. Или наоборот: государственный орган шлёт письмо с восклицательными знаками и эмодзи. Тон - сложная вещь для подделки, особенно когда атака массовая, а не таргетированная.

Вложения неожиданных форматов. .html, .exe, .iso, .img, .scr в письме от «бухгалтерии» или «курьерской службы». Макросы в .docx, которые просят «включить содержимое». Архив с паролем, который указан тут же в тексте (пароль нужен, чтобы файл не просканировал антивирус на почтовом сервере).

Инструменты для проверки

Если подозреваете письмо - несколько бесплатных инструментов помогут разобраться.

• Google Admin Toolbox (Messageheader). Вставляете полные заголовки - получаете разбор: маршрут письма, результаты аутентификации, задержки между серверами.
• MXToolbox Header Analyzer. Аналогичный инструмент с визуализацией цепочки Received и проверкой IP по чёрным спискам.
• VirusTotal. Проверка вложений и URL по десяткам антивирусных движков. Если ссылка из письма вызывает сомнения, скопируйте её (не кликая) и вставьте в VirusTotal.
• Whois. Посмотрите, когда зарегистрирован домен отправителя. Если письмо «от Сбербанка» приходит с домена, созданного два дня назад, - вывод однозначен.

Для организаций есть более серьёзные решения: SIEM-системы, которые анализируют заголовки входящей почты автоматически, и sandbox-платформы, которые открывают вложения в изолированной среде. Но это отдельная история с отдельными бюджетами.

Фишинг и email-рассылки: связь ближе, чем кажется

Если вы занимаетесь email-маркетингом, фишинг - ваша проблема, даже если вы не жертва. И вот почему.

Фишинговые кампании загрязняют почтовую экосистему. Провайдеры ужесточают фильтры, повышают пороги срабатывания, чаще отправляют письма в спам «на всякий случай». Легитимные рассылки страдают от этого. Если ваш домен не настроен правильно - SPF без жёсткого -all, DKIM с 1024-битным ключом, DMARC с p=none - ваши письма попадают в категорию «сомнительных» вместе с фишингом.

Вторая связь - база подписчиков. Фишеры тоже собирают адреса. Утёкшие базы, парсинг, генерация по паттернам. Адреса, которые встречаются в фишинговых рассылках, получают пометку у провайдера. Если те же адреса есть в вашей базе и вы шлёте на них - репутация вашего домена страдает по ассоциации.

А ещё существуют honeypot-адреса - ловушки, которые провайдеры и антифишинговые организации специально разбрасывают в открытых источниках. Любой, кто отправит на такой адрес письмо, получает штраф к репутации. Неважно, фишинг это или легитимная рассылка. Ловушка не различает.

Валидация базы как защита от попадания в одну категорию с фишерами

Чистая аутентификация (SPF, DKIM, DMARC с p=reject) защищает от того, чтобы кто-то слал письма от вашего имени. Но она не защищает от того, чтобы вы сами вредили своей репутации, отправляя на мёртвые адреса и спам-ловушки.

Именно здесь работает валидация. Проверка базы перед рассылкой убирает невалидные адреса, одноразовые ящики и адреса с высоким риском. Результат - ниже bounce rate, меньше жалоб, выше репутация домена. Провайдер видит, что вы шлёте только туда, где ждут. И ваши письма проходят фильтры, которые ставятся из-за фишинга.

Работает и в обратную сторону. Если вы получаете подозрительные заявки на подписку - боты, генераторы, случайный ввод - валидация на этапе регистрации отсеивает их до того, как они попадут в базу. Меньше мусора на входе - чище список, выше доставляемость.

Чек-лист: быстрая проверка подозрительного письма

1. Раскройте полный адрес отправителя. Совпадает с ожидаемым доменом?
2. Откройте заголовки. Есть spf=pass, dkim=pass, dmarc=pass?
3. Сравните домен в From и Return-Path. Совпадают или хотя бы родственны?
4. Наведите курсор на ссылки (не кликайте). URL ведёт туда, куда обещает текст?
5. Проверьте домен ссылки через Whois. Когда зарегистрирован?
6. Есть запрос пароля, CVV, кода подтверждения? Если да - это фишинг.
7. Есть вложение неожиданного формата (.html, .exe, архив с паролем)? Не открывайте.
8. Не уверены - откройте сайт вручную через браузер, а не через ссылку в письме.

Этот список не спасёт от целевого spear-phishing, адаптированного под конкретного человека. Но от массовых атак, которые составляют 95% фишинга, - вполне.

Фишинг - это гонка вооружений. Атакующие совершенствуют подделки, защитники совершенствуют фильтры. Как отправитель рассылок вы находитесь посередине: ваша задача - чтобы вас не путали ни с одной из сторон. Корректная аутентификация и чистая база - два инструмента, которые отделяют вас от фишеров в глазах провайдера. Без одного из них - вы в зоне риска.