Лаборатория деловой безопасности
Лаборатория деловой безопасности
Читать в Telegram

0% атак начинаются с «одного странного письма»

Лаборатория деловой безопасности

Мы разбираем экономическую и налоговую безопасность простым языком — кейсы, чеклисты и понятные алгоритмы для собственника. Показываем, как проверять контрагентов, проходить проверки, защищать базу клиентов и не кормить схемы своим оборотом. Без воды и страшилок — только то, что работает в суде и в реальном бизнесе.

Открыть в TelegramДругие публикации
кибербезопасностьфишингdmarc

Почти всегда это цепочка писем, доменов‑двойников и легитимных сервисов, в которую кто‑то из ваших всё равно кликнет.

🛑 Сценарий №1. Спуфинг отправителя

Атака идёт якобы «от вашего банка», «директора» или «ключевого клиента», но технически письмо не проходит SPF/DKIM/DMARC‑проверки: домен не авторизован, цифровая подпись не совпадает, Return‑Path и «От кого» различаются. Письмо может даже прилететь в «Входящие», если у вас не настроены жёсткие политики DMARC, но заголовки его выдают. Минимум, который должен уметь любой ключевой сотрудник: открыть заголовки, сравнить домены и проверить, есть ли вообще DMARC‑запись у отправителя через публичные анализаторы (PowerDMARC, dmarcian и т.п.).

🌐 Сценарий №2. Сквоттинг и домены‑двойники

Классика: вместо company.ru — cоmpany.ru (кириллическая «о»), лишняя буква или другой домен верхнего уровня. Такие домены регистрируются за 1–2 недели до атаки, часто через зарубежного регистратора и с защитой WHOIS. Простая проверка через любой WHOIS‑сервис показывает: домен свежий, владелец скрыт, контактные данные пустые. Для бизнес‑почты это красный флаг по умолчанию. В реальных делах BEC‑атак (Business Email Compromise) именно домены‑двойники стали причиной многомиллионных переводов «по новым реквизитам» — и суды потом не всегда вставали на сторону компаний, переводивших деньги без проверки.

📨 Сценарий №3. Фишинг с легитимных сервисов

Письмо приходит с реального адреса noreply@google.comno-reply@pfr.gov.ru или почты крупной площадки, но ссылка внутри ведёт на сторонний домен. Здесь SPF/DKIM/DMARC ничего не спасают: технически письмо честное. Работает только поведенческий фильтр:

  • не характерный для контекста запрос («срочно подтвердите данные», «обновите пароль»),
  • странные логины/адреса в приветствии,
  • давление срочностью и последствиями.

Юридически именно такие письма часто фигурируют в материалах уголовных дел и гражданских споров как доказательство невнимательности сотрудников: они «подтвердили», «перешли по ссылке», «ввели доступы» без минимальной проверки.

🧠 Нестандартный угол: техника без людей не работает

DMARC‑политики, антифишинговые фильтры и защищённые шлюзы нужны, но они не закрывают человеческий фактор. Практический минимум для бизнеса:

  • короткий чек‑лист по письмам (кто отправитель, когда зарегистрирован домен, куда ведёт ссылка);
  • обучение ключевых сотрудников и имитационные фишинг‑кампании;
  • правило: любые изменения реквизитов и запросы на перевод денег — никогда не подтверждаются только по письму.

Заодно это снижает риски в возможных спорах с банком или контрагентами: вы сможете показать, что у вас были разумные процедуры проверки.

📌 Сохраните пост и выберите сегодня одного человека в компании, с которого начнёте: научите его проверять заголовки писем и смотреть домены в WHOIS вместо того, чтобы просто «жать на ссылки».

#кибербезопасность #фишинг #businessemailcompromise #финансоваябезопасность #осведомлённость

Женщина в офисе за столом с двумя мониторами и клавиатурой, проверяет почту в деловой обстановке; растения и мебель на фоне.
Офисный сотрудник за компьютером — иллюстрация к теме фишинга и BEC.

Читайте так же