1. Неизвестный доменный адрес — первый сигнал
К примеру, адрес почтового сервера вашей компании — @компания.by. Почтовый адрес директора — игорьиванович@компания.by. Мошенники незначительно меняют имя домена, рассчитывая на вашу невнимательность. Если вам вдруг приходит письмо от «игорьиванович@компания1.by» — то это уже другой Игорь Иванович, вам он не нужен.
Многие компании используют инструменты, которые умеют автоматически блокировать письма с незнакомых доменов. Для примера, DLP-система Falcongaze SecureTower может пропускать письма только с адресов @компания.by, блокируя все остальные. Или наоборот, она будет пропускать все письма за исключением нескольких заранее заданных адресов.
2. Безличное обращение
Часто мошенники в фишинговых письмах используют обращения вроде «Дорогой клиент!» или «Уважаемый сотрудник!». Рассылки у них чаще всего массовые, да и имена адресатов не всегда известны. Но в последнее время участились случаи именных фишинговых атак. Имена для них могут браться из слитых баз данных различных сервисов, которыми вы пользуетесь.
Еще одна черта помимо безличного обращения — текст, похожий на машинный перевод. «Дорогой друг! Наш компания хотел бы предупредить Вас о взломанном аккаунте».
3. Слегка измененные названия известных брендов
Помните легендарные кроссовки Abibas? Их дело живет. Мошенники, опять же рассчитывая на вашу невнимательность или незнание, делают ссылки с именами известных компаний или брендов с небольшим изменением: aplle.com или qoogle.com (не переходите по этим адресам!).
4. Ошибки в словах
Чтобы реже встречать в ящиках спам и фишинговые письма, люди пользуются спам-фильтрами. Они срабатывают на слова, характерные для такого рода корреспонденции. Для того, чтобы обойти фильтры, мошенники сознательно изменяют слова и пишут с ошибками. Допустим: «отправьтепароль». Или так: «отправте пароль». К сожалению, во втором случае не для всех очевидно, что не так.
5. Просьба ввести пароль или логин
Вам может прийти письмо от банка с предупреждением о взломе аккаунта. Чтобы поменять логин и пароль нужно срочно перейти по ссылке в письме и ввести старые логин и пароль. Такое письмо однозначно фишинговое. Ни один банк, сервис, доставка, служба — никто, кто не хочет вас обмануть, не станет спрашивать ваши пароль и логин. Они нужны только для входа в личный кабинет
6. Срочность
Мошенникам важно, чтобы вы не начали думать. Из-за этого они часто используют срочность. В письме будет какое-нибудь «последнее предупреждение», «срочная проверка», «скорая блокировка» или «внезапный выигрыш». И действие от вас будет требоваться немедленно, прямо сейчас.
7. Использование или подмена домена второго уровня
Вам пришло письмо от банка, в котором говорится, что ваш пароль взломан, и вам срочно нужно перейти по ссылке, чтобы сменить его. Если вы наведете курсор на ссылку (НЕ НАЖИМАЯ!), то внизу слева в браузере увидите адрес, на который реально ведет ссылка. Если настоящий адрес банка выглядит так: https://имябанка.by/сброспароля, то фишинговая ссылка будет представлять собой что-то вроде: https://имя.банка.by... или https://имябанка.левыйадрес.by.
Правило такое — домен второго уровня (который находится сразу перед .by, .com и т.д.) всегда должен быть адресом официального сайта. Если правильный адрес это имясайта.com, то имясайта.чтоугодно.com — это уже совершенно другой адрес. Напомним, что уровни доменов разделяются «.» — точкой, а не слешем «/».