Как определить источник подозрительного письма и не стать жертвой обмана

Иван Корнев·12.04.2026·⏱6 мин

Если вы получили письмо от незнакомого отправителя, первым делом проверьте домен после символа @ и технические заголовки (SPF, DKIM). Если домен отличается от официального сайта организации или содержит опечатки, а проверки подлинности не пройдены — это с высокой вероятностью мошенничество. Не переходите по ссылкам и не открывайте вложения до полной верификации.

Незнакомые адреса часто маскируются под известные бренды, банки или госорганы. Мошенники используют психологическое давление, срочность и поддельные логотипы, чтобы выключить критическое мышление. В этой статье разберем, как быстро выявить подделку, используя встроенные инструменты почты и простые методы проверки.

Анализ адреса отправителя: где скрывается подвох

Самый очевидный признак фейка — несоответствие имени отправителя и реального адреса. Почтовые клиенты часто отображают только имя (например, «Служба безопасности Сбербанка»), скрывая настоящий адрес.

На что обратить внимание:

Доменное имя. Официальные письма приходят только с корпоративных доменов (например, @sberbank.ru). Адреса вида @sberbank-security.com, @gmail.com, @mail.ru или @support-update.net от имени крупной компании — это 100% мошенничество.
Опечатки и замены. Мошенники регистрируют домены, визуально похожие на оригинал: yandex-support.ru вместо yandex.ru, использование цифры 0 вместо буквы o или латинской c вместо кириллической с.
Случайные наборы символов. Адреса вида [email protected] часто используются для одноразовых рассылок спама.

Никогда не доверяйте только имени отправителя, которое вы видите в списке писем. Всегда раскрывайте полный адрес, кликнув на имя или значок детали письма.

Техническая проверка: заголовки и протоколы безопасности

Почтовые сервисы автоматически проверяют подлинность писем с помощью протоколов SPF, DKIM и DMARC. Если письмо не прошло эти проверки, оно либо попадет в спам, либо будет помечено предупреждением. Однако иногда такие письма проскальзывают во «Входящие».

Как проверить техническую валидность:

Откройте полное сообщение (обычно через меню «Показать оригинал» или «Свойства письма»).
Найдите строки Authentication-Results.
Ищите статусы pass для spf, dkim и dmarc.
- SPF (Sender Policy Framework): подтверждает, что сервер имеет право отправлять почту от имени этого домена. Статус fail или softfail — тревожный знак.
- DKIM (DomainKeys Identified Mail): цифровая подпись, гарантирующая, что письмо не было изменено в пути. Отсутствие подписи (none) или ошибка (fail) говорят о риске.
- DMARC: политика домена, указывающая, что делать с письмами, не прошедшими проверки.

Если вы видите spf=fail или dkim=fail в письме, якобы отправленном банком или государственным органом, удаляйте его немедленно. Легитимные организации строго настраивают эти протоколы.

Красные флаги в содержимом письма

Даже если адрес выглядит правдоподобно, содержание может выдать злоумышленника. Мошенники эксплуатируют эмоции: страх потери денег, любопытство или желание получить выгоду.

Признаки фишинга:

Искусственная срочность. Фразы «Ваш аккаунт будет заблокирован через 2 часа», «Срочно подтвердите данные», «Последнее предупреждение».
Требование конфиденциальных данных. Ни одна легитимная служба не просит прислать пароль, ПИН-код, CVV-код карты или полные реквизиты в ответном письме.
Подозрительные вложения. Файлы с расширениями .exe, .scr, .js, .vbs, а также архивы .zip или .rar с паролями, которые указаны в теле письма.
Ссылки-подмены. Текст ссылки может выглядеть как https://bank.ru/login, но при наведении курсора (без клика!) всплывающая подсказка покажет реальный адрес, например http://bank-verify.xyz/login.
Ошибки и странный стиль. Грамматические ошибки, неестественные формулировки, отсутствие персонализации (обращение «Уважаемый клиент» вместо имени) или, наоборот, избыточная фамильярность.

Правило двух каналов: Если письмо требует действий (перевод денег, смена пароля), не используйте ссылки из письма. Зайдите на официальный сайт организации вручную через браузер или позвоните на горячую линию, номер которой указан на обратной стороне вашей карты или на официальном ресурсе.

Алгоритм действий при получении сомнительного письма

Чтобы обезопасить себя и свои данные, следуйте четкому плану при возникновении подозрений:

Стоп-действие. Не кликайте по ссылкам, не скачивайте вложения и не отвечайте на письмо.
Визуальный осмотр. Проверьте адрес отправителя, наведите курсор на все ссылки, оцените тон сообщения.
Технический аудит. Посмотрите заголовки письма и проверьте статусы SPF/DKIM.
Верификация. Свяжитесь с организацией через официальные каналы (сайт, приложение, телефон), чтобы подтвердить факт рассылки.
Изоляция. Пометьте письмо как «Спам» или «Фишинг». Это поможет почтовому сервису обучить фильтры и защитить других пользователей.
Очистка. Если вы случайно перешли по ссылке или ввели данные, немедленно смените пароли, обратитесь в банк для блокировки карт и проверьте устройство антивирусом.

Сравнение признаков легитимного и мошеннического письма

Критерий	Легитимное письмо	Мошенническое письмо (Фишинг)
Адрес отправителя	Корпоративный домен, совпадает с сайтом	Публичный ящик (gmail, mail), домен с опечатками
Обращение	Персонализированное (по имени/фамилии)	Обезличенное («Клиент», «Пользователь») или слишком общее
Срочность	Спокойный тон, информирование	Давление, угрозы блокировки, ограничение по времени
Запрос данных	Никогда не запрашивает пароли и полные реквизиты	Требует ввести пароль, код из СМС, данные карты
Ссылки	Ведут на основной домен организации	Ведут на сторонние ресурсы, сокращатели ссылок
Технические метки	SPF, DKIM, DMARC: `pass`	Часто отсутствуют или имеют статус `fail`

Частые ошибки пользователей

Доверие к логотипу. Красивая картинка и фирменный стиль в шапке письма ничего не значат — их легко скопировать.
Игнорирование адреса в мобильном приложении. На смартфонах адрес отправителя часто скрыт по умолчанию. Нужно тапать по имени, чтобы увидеть полный email.
Переход по ссылке «для проверки». Даже если вы не вводите данные, сам факт перехода на фишинговый сайт может запустить скрипт сбора информации о вашем браузере и устройстве.
Ответ «Отстаньте». Ответ на спам-письмо подтверждает мошенникам, что ваш адрес активен и им пользуется живой человек. После этого объем спама только вырастет.

FAQ

Можно ли заразиться вирусом, просто открыв письмо? В современных почтовых сервисах простое открытие текста письма безопасно. Вирус можно подхватить только если скачать и запустить вложенный файл или перейти по ссылке на вредоносный сайт. Однако некоторые старые уязвимости позволяли выполнять код через картинки, поэтому лучше отключить автоматическую загрузку изображений от неизвестных отправителей.

Что делать, если я ввел пароль на поддельном сайте? Срочно смените пароль на настоящем сайте организации. Если этот пароль использовался где-то еще — смените его и там. Включите двухфакторную аутентификацию (2FA) везде, где это возможно.

Почему письмо от известного бренда попало во «Входящие», а не в спам? Фильтры не идеальны. Мошенники постоянно меняют домены и техники обхода фильтров. Кроме того, если домен новый и еще не попал в черные списки, он может пройти первичную проверку. Всегда полагайтесь на собственную внимательность, а не только на автоматическую защиту.

Как проверить, реальна ли ссылка, не переходя по ней? Наведите курсор на ссылку (на компьютере) или нажмите и удерживайте палец на ссылке (на смартфоне), чтобы увидеть всплывающую подсказку с реальным адресом. Также можно скопировать ссылку и вставить её в специальные онлайн-сервисы проверки ссылок (URL scanners), которые покажут, безопасен ли ресурс.