Фишинг в письмах: что такое, как распознать и защититься

В июле 2020 года сотрудники Twitter получили фишинговые письма, замаскированные под сообщения от ИТ-отдела. Письма выглядели как обычная рабочая коммуникация, поэтому несколько сотрудников перешли по ссылке и ввели учетные данные.

Этого оказалось достаточно, чтобы захватить управление аккаунтами более чем 100 известных людей и брендов — среди них Илон Маск, Джо Байден и Apple. Через скомпрометированные аккаунты злоумышленники публиковали мошеннические сообщения с призывами перевести биткоины. Инцидент привел к финансовым потерям, масштабному медиа-резонансу и регуляторному расследованию.

В 2025 году злоумышленники отправляли около 3,4 миллиарда фишинговых писем ежедневно, и именно электронная почта стала основным каналом таких атак: в 2024 году на нее пришлось 84% всех фишинговых инцидентов. Почта — это не просто канал доставки, а точка входа в бизнес-процессы, где одно неверное действие сотрудника может масштабироваться до серьезного инцидента.

В этой статье рассказываем, как выглядят современные фишинговые письма, по каким признакам их можно распознать, как проверять подозрительные сообщения и какие действия помогают снизить риск фишинга и защитить компанию.

В 2026 году фишинговые письма выглядят как обычная рабочая переписка. В них нет ошибок и нелепых просьб — они вписываются в привычный рабочий контекст: знакомые имена, понятные задачи, нейтральный корпоративный тон. Поэтому они проходят не только техническую фильтрацию, но и первичную человеческую оценку «ничего подозрительного».

Электронная почта остается основным каналом таких атак, потому что через нее идут ключевые процессы компании: счета и платежи, договоры и акты, доступы к сервисам, уведомления от ИТ и подрядчиков. Это рутина, где от сотрудника часто ждут быстрых решений.

Письма стали персонализированными

Злоумышленники подстраивают фишинг под конкретного человека и его роль. В письмах используют имя, должность, названия команд и фамилии коллег или подрядчиков. Данные берут из утечек, социальных сетей, корпоративных сайтов, публичных презентаций и даже из подписей в почте. В результате письмо выглядит уместно и не выбивается из привычной переписки.

Фишинг копирует реальные бизнес-процессы

Атаки маскируются под задачи, которые сотрудники выполняют каждый день: оплата счета, обновление договора, акт во вложении, доступ к документу в облаке, подтверждение MFA или пароля. Текст, структура письма и формулировки копируют внутренние шаблоны компании. Цель — чтобы сотрудник действовал на автопилоте и не включал дополнительную проверку.

Ошибки больше не выдают атаку

Генеративные инструменты убрали один из заметных сигналов — плохой язык. Сейчас письма часто написаны грамотно, выдержаны в корпоративном стиле и иногда выглядят так, будто их подготовили внутри компании. Поэтому правило «ошибки = фишинг» больше не спасает. Проверять приходится не стиль, а отправителя и детали запроса.

Подробнее о том, как злоумышленники используют ИИ в кибератаках и почему такие сценарии становятся убедительнее, мы разобрали в статье «Как защитить компанию от ИИ-атак и утечек в 2026 году: практическое руководство».

Атака развивается поэтапно

Фишинг все чаще строится как цепочка. Сначала приходит нейтральное письмо или начинается переписка без опасных просьб. Затем появляется ссылка на документ или вложение. И только после этого — запрос на ввод учетных данных или подтверждение доступа.

Отдельно опасны атаки с захватом реальных почтовых цепочек, когда злоумышленник отвечает в существующую переписку. Такое письмо выглядит как продолжение диалога и сложнее распознается по внешним признакам.

Итог простой: фишинг использует скорость принятия решений, доверие к рабочей переписке и рутину сотрудников. Поэтому для защиты важно анализировать не только внешний вид письма, но и детали запроса, контекст и действия, к которым письмо подталкивает.

Фишинговое письмо — сообщение, которое выглядит как легитимная рабочая коммуникация и побуждает сотрудника к опасному для компании действию. В таком письме сотрудника просят перейти по ссылке, ввести учетные данные, открыть вложение или подтвердить операцию.

Важно, что само письмо не всегда содержит вредоносный код. Во многих случаях оно служит только первым шагом атаки — точкой входа в цепочку дальнейших действий.

Фишинг опасен не потому, что использует сложные технические уязвимости. Его цель — добиться действия от человека. Достаточно убедительного сценария и грамотно оформленного письма, чтобы получить доступ к данным или системе без взлома.

Типовая атака через почту строится вокруг одного решения, которое принимает сотрудник. Сценарии могут отличаться, но логика почти всегда одинаковая и укладывается в три шага:

1. Письмо попадает в рабочий контекст. Оно выглядит уместно: знакомый отправитель, понятная тема, типовая задача — счет, документ, доступ, проверка безопасности.
2. Сотрудника подталкивают к действию. В письме просят сделать то, что обычно делают по работе: открыть файл, перейти по ссылке, войти в сервис, подтвердить данные. Часто добавляют фактор срочности или авторитета.
3. Происходит ключевое действие. Сотрудник вводит логин и пароль, открывает вложение или подтверждает операцию. На этом этапе злоумышленники получают учетные данные, доступ к системе или возможность развивать атаку дальше.

Именно это действие и определяет, превратится письмо в инцидент или нет.

При этом фишинговое письмо редко воспринимается как атака. Оно апеллирует к привычным рабочим процессам и ожиданиям. Для сотрудника это выглядит как обычная рабочая задача, а не как инцидент безопасности.

Поэтому фишинг нельзя распознавать только по форме письма. Гораздо важнее понимать, к каким действиям оно подталкивает и на каком этапе возникает риск.

В следующем разделе разберем основные признаки фишинговых писем и покажем, на что обращать внимание при проверке сообщений в рабочей почте.

Фишинговые письма редко содержат один явный маркер подмены. Риск возникает, когда несколько деталей одновременно не совпадают: адрес, контекст, срочность и характер запроса.

Важно оценивать письмо целиком: отправителя и адрес, сам запрос, давление на решение, ссылки и вложения, а также соответствие контексту задачи.

Отправитель и адрес письма

Признаком фишинга часто становится несоответствие адреса и роли отправителя:

• имя выглядит знакомо, но домен отличается от корпоративного или домена подрядчика;
• письмо приходит с внешнего адреса для внутренних задач;
• адрес не соответствует теме сообщения.

Проверьте поля «Адрес отправителя» и «Адрес для ответа». Если ответы уводят на другой домен, остановитесь и подтвердите запрос по независимому каналу.

Запрос, который требует действия

Фишинг почти всегда подталкивает сотрудника к действию, которое выглядит привычно в рабочем контексте электронного письма. Чаще всего просят:

• перейти по ссылке и войти в сервис;
• открыть вложение;
• подтвердить доступ или пароль;
• оплатить счет или проверить реквизиты.

Если письмо связано с оплатой счета, сменой реквизитов, подтверждением доступа, сбросом MFA или передачей данных — не ограничивайтесь ответом в почте. Проверьте запрос через портал, систему заявок или по известному рабочему контакту.

Давление на решение

Если техническая часть письма выглядит корректно, злоумышленники часто давят не на форму, а на реакцию человека. Их цель — ускорить решение и сократить время на проверку.

Самые частые приемы:

• срочность — «нужно прямо сейчас», «до конца дня», «иначе доступ будет заблокирован»;
• авторитет — письмо якобы от руководителя, финансовой службы или службы безопасности с просьбой обойти привычные процедуры;
• страх — упоминания расследований, утечек, штрафов или блокировок, часто с вложением или ссылкой;
• выгода — компенсации, премии, возвраты или бонусы с просьбой подтвердить данные или войти в аккаунт.

Если письмо требует выполнить действие «прямо сейчас», просит обойти согласование или ссылается на угрозу блокировки, штрафа или утечки — это повод остановиться и проверить запрос до того, как вы выполните действие.

Ссылки и вложения

Даже правдоподобное электронное письмо может содержать фишинговую ссылку или вредоносный файл.

Повод остановиться и проверить письмо появляется, если:

• ссылка ведет на url, который не используют в компании или сервисе;
• вложение приходит без предварительного обсуждения;
• формат файла не соответствует задаче.

Даже если письмо выглядит корректно, ссылку стоит проверить до клика: сравнить домен с официальным, оценить структуру адреса и убедиться, что формат файла соответствует задаче.

Несоответствие контекста

Иногда письмо выглядит правильно по отдельным признакам, но не совпадает с реальной ситуацией.

Например:

• сотрудника просят выполнить задачу, которая не относится к его роли;
• письмо приходит в момент, когда такой процесс обычно не происходит;
• запрос противоречит тому, как задачи решают в компании.

Такие несоответствия часто становятся единственным сигналом фишинга в электронных письмах.

Итог простой: фишинговые письма редко содержат один явный признак. Риск возникает, когда письмо одновременно выглядит рабочим, требует действия и подталкивает к быстрому решению. Именно в этот момент важно остановиться и проверить сообщение.

В следующем разделе разберем, как проверить подозрительное письмо пошагово, чтобы сотрудник понимал, что делать в момент сомнения.

Когда письмо выглядит рабочим, но вызывает сомнение, важно не действовать автоматически. Проверка должна снижать риск, а не создавать новый. Поэтому первое правило — не кликать и не отвечать на письмо, пока вы его проверяете.

Шаг 1. Остановитесь и не выполняйте запрос

Если письмо просит срочно оплатить счет, подтвердить доступ или открыть вложение, не выполняйте действие сразу. Дайте себе время проверить отправителя и контекст запроса.

На этом этапе важно ничего не делать из письма: не переходить по ссылкам, не открывать файлы и не отвечать кнопкой «Ответить».

Шаг 2. Проверьте отправителя и адрес письма

Откройте карточку отправителя и посмотрите:

• адрес отправителя и домен;
• поле «Адрес для ответа»;
• соответствует ли адрес теме письма и роли отправителя.

Если адрес для ответа ведет на другой домен или выглядит нетипично для компании или подрядчика, не продолжайте переписку. В таких случаях письмо стоит считать подозрительным до подтверждения.

Шаг 3. Оцените запрос и контекст

Задайте себе вопрос: соответствует ли этот запрос тому, как такие задачи обычно решают в компании.

Повод насторожиться возникает, если:

• внутренний процесс внезапно заменили письмом;
• просят обойти привычное согласование;
• нет номера заявки, тикета, договора или ссылки на существующую задачу;
• письмо приходит без предыстории и обсуждения.

Даже корректный по форме запрос стоит проверить, если он затрагивает деньги, доступы или данные.

Шаг 4. Проверьте ссылки и вложения без клика

Если письмо содержит ссылку или файл, проверяйте их до открытия.

Для ссылок:

• наведите курсор на ссылку и посмотрите реальный адрес;
• обратите внимание на домен, а не на текст ссылки;
• насторожитесь, если используется сокращатель или длинная цепочка редиректов.

Для вложений:

• не открывайте неожиданные файлы, особенно если письмо короткое и «срочное»;
• оцените формат файла и его уместность для задачи;
• помните, что вредонос может скрываться в привычных форматах.

Не делайте выводы о безопасности файла по его названию или иконке и не открывайте его из письма.

Шаг 5. Подтвердите запрос по независимому каналу

Если письмо касается денег, доступов или конфиденциальных данных, подтвердите запрос вне почты:

• через корпоративный портал;
• по известному номеру телефона;
• в рабочем чате;
• через внутреннюю систему заявок или задач.

Используйте контакты, которым вы доверяете, а не те, что указаны в письме. Не отвечайте на подозрительное письмо, даже чтобы «просто уточнить».

Шаг 6. Передайте письмо в ИБ или ИТ

Если вы не уверены в письме или не знаете, как его проверить, перешлите сообщение в команду ИБ или ИТ с коротким комментарием, что именно вызывает сомнение. Это быстрее и безопаснее, чем разбираться в одиночку.

Такое поведение помогает не только избежать инцидента, но и усиливает защиту для всей компании.

Даже при внимательной проверке фишинговая атака может сработать. В этот момент важно не искать виноватых, а действовать по факту того, что уже произошло. 
В фишинговых атаках решающим фактором становится скорость реакции. Чем раньше команда ИБ узнает о переходе по ссылке или вводе данных, тем выше вероятность ограничить распространение атаки.

Если вы перешли по ссылке, но ничего не вводили

Если вы открыли страницу, но не вводили данные и не нажимали кнопки:

• закройте вкладку и не взаимодействуйте со страницей;
• не проходите проверки, не разрешайте уведомления;
• зафиксируйте ссылку и время перехода.

После этого сообщите в ИБ или ИТ, из какого письма вы перешли по ссылке. Это поможет заблокировать домен и предупредить других сотрудников.

Если вы вводили учетные данные

Если вы ввели логин, пароль или одноразовый код:

• как можно быстрее смените пароль в этом сервисе;
• обновите пароль в других системах, если он использовался повторно;
• проверьте, что многофакторная аутентификация включена и работает.

Даже если вы сразу сменили пароль, обязательно сообщите об этом в ИБ или ИТ. Команде может потребоваться проверить входы, сессии и почтовые правила.

Если вы вводили платежные данные

Если вы ввели данные карты или подтвердили платеж:

• свяжитесь с банком по официальному номеру или через приложение;
• заблокируйте карту и уточните дальнейшие действия;
• зафиксируйте письмо, ссылку и время операции.

Чем раньше вы обратитесь, тем выше шанс остановить операции или вернуть средства.

Если вы скачали или открыли файл

Если вы скачали или запустили файл:

• прекратите работу и отключите устройство от сети;
• не перезагружайте устройство без инструкций ИБ или ИТ;
• как можно быстрее передайте информацию специалистам.

Самостоятельные действия могут усложнить расследование и восстановление.

Сообщайте об инциденте

Фишинг — это не личная ошибка, а рабочая ситуация. Сообщение об инциденте помогает защитить не только вас, но и всю компанию. Часто именно такие сигналы позволяют вовремя обнаружить массовую атаку и остановить ее.

Итог простой: если фишинговая атака все же сработала, скорость реакции важнее идеальных действий. Чем раньше вы сообщите о случившемся и начнете действовать по процессу, тем меньше последствий для компании.

Фишинг нельзя закрыть одним инструментом или инструкцией. Он остается управляемым риском, если в компании заранее заданы понятные правила и процессы. Ниже — базовый чек-лист, который помогает снижать вероятность инцидентов и их последствия.

Проверяйте письма и запросы

• Сотрудники проверяют не только имя отправителя, но и адрес, особенно в письмах про деньги, доступы и безопасность.
• Любые срочные запросы на оплату, смену реквизитов или подтверждение доступа подтверждают вне почты — через портал, чат, известный номер или систему заявок.
• По ссылкам из писем не переходят, если запрос можно выполнить через сервис вручную или по закладке.

Относитесь к ссылкам и вложениям как к риску

• Ссылки и вложения считают зоной повышенного риска, даже если письмо выглядит корректно.
• Неожиданные файлы и «срочные» документы передают в ИБ или ИТ, а не открывают самостоятельно.
• Подозрительные письма пересылают специалистам целиком, чтобы сохранить технические данные для проверки.

Снижайте ущерб заранее

• В компании используют уникальные пароли и менеджеры паролей, чтобы исключить цепную компрометацию.
• MFA включен в почте, финансовых сервисах, административных системах и облаках.
• Для платежей и смены реквизитов настроены лимиты, разделение ролей и двухэтапное согласование.

Создайте для сотрудников возможность сообщать о подозрительных письмах

Сотрудников важно учить не просто «распознавать фишинг», а правильно действовать в момент сомнения.

Работает простое правило: если письмо вызывает вопросы, его проверяют без риска для себя. А сообщения о подозрительных письмах поощряются и не воспринимаются как ошибка. Чтобы это правило работало на практике, сотрудникам нужен понятный и быстрый способ передать письмо команде безопасности.

Через плагин Start AWR сотрудники сообщают о подозрительных письмах напрямую команде ИБ в один клик. Плагин отфильтровывает имитированные атаки и передает специалистам только реальные письма, а за репорты атак сотрудники получают дополнительные баллы в рейтинге.

Оставьте заявку на демо, чтобы оценить, как Start AWR помогает встроить работу с фишингом в ежедневные процессы компании.

Две минуты на проверку письма обходятся компании дешевле, чем разбор инцидента, восстановление доступов и отмена платежей. Фишинг редко начинается с технической уязвимости — он начинается с обычного рабочего письма и одного действия. Когда в компании есть понятный процесс проверки и поддержка со стороны ИБ, сотрудники чаще останавливаются и проверяют запрос, а риск атак снижается.