Вредоносные вложения: как по расширению файла и другим признакам понять, что вас хотят взломать, и что делать

Чтобы взломать компанию, не всегда нужен сложный технический сценарий. Иногда достаточно одного письма с вложением: архива с обновлением от техподдержки, папки с фотографиями после корпоратива или документа, который якобы прислал коллега.

По данным HP Wolf Security, в третьем квартале 2025 года архивы оставались самым распространенным типом файлов для доставки вредоносного кода — на них пришлось 45% угроз, которые HP Sure Click остановил на конечных устройствах.

Опасное вложение обычно выглядит безобидно, поэтому важно смотреть не только на сам файл, но и на письмо целиком: кто его отправил, почему оно пришло именно сейчас и что от вас хотят.

В этой статье разберем, как выглядят вредоносные вложения, по каким признакам их распознать и что делать, чтобы одно письмо не превратилось в инцидент.

Вредоносное вложение — это файл или ссылка в письме, сообщении или рабочем чате. С их помощью злоумышленник пытается загрузить код на устройство, получить доступ к данным или закрепиться во внутренней сети.

Для атакующего это удобный способ спрятать вредоносное действие внутри обычной задачи. Человек не думает, что запускает программу или способствует атаке. Он видит рабочий файл и делает с ним то, что кажется логичным. Поэтому такой сценарий может начаться не только в почте, но и в мессенджере, рабочем чате или через облачный сервис.

Чаще всего такие угрозы приходят по электронной почте. По данным того же отчета HP Wolf Security за третий квартал 2025 года, на электронную почту пришлось 67% угроз, которые HP Sure Click остановил на конечных устройствах.

Заражение не всегда происходит сразу после открытия файла. Иногда атака развивается по цепочке: человек открывает вложение, распаковывает архив, разрешает редактирование или переходит на внешнюю страницу. На одном из этих шагов обычное действие становится началом инцидента.

Неожиданное вложение от незнакомого отправителя

Если вы не ждали письмо с вложением, не открывайте его сразу. Особенно если отправитель пишет вам впервые, а во вложении — отчет, договор, обновление или архив. Сначала уточните по другому каналу, кто вам пишет и действительно ли он отправлял это письмо.

Подозрительное или двойное расширение файла

Название файла легко подделать. Например, вместо фотографии вам могут прислать файл вида photo.jpg.exe. На первый взгляд он похож на изображение, но на самом деле это исполняемый файл, который запускает программу.

Поэтому смотрите не только на название, но и на реальный тип файла. 

В Windows откройте папку с файлом в Проводнике, включите показ расширений через Вид → Показать → Расширения имен файлов и проверьте колонку «Тип».

На Mac откройте файл в Finder, нажмите на него правой кнопкой и выберите «Получить информацию». В окне будет видно полное имя файла и его тип. Чтобы расширения показывались всегда, включите настройку Finder → Настройки → Дополнения → Показывать все расширения имен файлов.

Если расширения скрыты, опасный файл проще выдать за фото, документ или таблицу.

Запрос на включение макросов или редактирования

Если документ просит нажать «Разрешить редактирование» или таблица предлагает «Включить содержимое», это не всегда означает атаку. Но такой запрос должен насторожить: через макросы или другое активное содержимое может запуститься вредоносный код.

Если вы не ожидали этот файл или не уверены в отправителе, не включайте редактирование и макросы. Уточните запрос по другому каналу или передайте письмо в ИБ.

Ошибки, опечатки и неестественный стиль письма

Подозрение должно вызывать не только само вложение, но и текст письма. Ошибки в адресе отправителя, странные формулировки, слишком официальный или, наоборот, неестественно знакомый тон часто выдают подделку.

Если письмо с важным вложением написано не так, как обычно пишет коллега, контрагент или сервис, файл лучше не открывать до проверки.

Давление и срочность

«Откройте до конца дня», «иначе доступ закроется», «нужно срочно подтвердить данные» — типичный прием давления. Чем меньше времени вам оставляют на проверку, тем выше риск, что письмо специально подталкивает к ошибке.

Ссылка вместо файла или подмена названия

Иногда в письме нет файла вообще. Вместо него вставляют ссылку и оформляют ее так, будто это документ, заявка или вложение в облаке. Человек думает, что сейчас откроет файл, а на деле переходит на поддельный сайт или запускает скачивание вредоноса.

Архив с паролем

Архив с паролем не всегда опасен, но его сложнее проверить автоматически. Антивирус может не увидеть, что лежит внутри, пока архив не распакован. Поэтому не открывайте такой архив сразу: сначала уточните у отправителя по другому каналу, действительно ли он прислал файл и зачем нужен пароль.

Одного расширения, по которому можно сразу понять, что вас хотят взломать, нет. Опасным может оказаться не только файл .exe, но и архив, документ, таблица, ярлык или ссылка, замаскированная под вложение.

Поэтому сначала проверяйте не «плохое» расширение, а соответствие контексту. Если вам прислали фотографии, внутри должны быть изображения. Если договор, акт или отчет — документ в ожидаемом формате. Если вместо этого после скачивания или распаковки появляется приложение, скрипт или ярлык, файл открывать нельзя.

Особенно внимательно стоит проверять такие типы файлов:

После распаковки архива не запускайте файлы сразу. Если в письме обещали фото, таблицу или документ, а внутри оказалось приложение, скрипт или ярлык, передайте письмо в ИБ.

Главный признак маскировки — не один подозрительный элемент, а цепочка мелких несостыковок. Файл пришел неожиданно, повод давит на скорость, адрес чуть отличается, а после открытия нужно что-то разрешить или скачать. Поэтому важно смотреть не на один признак, а на всю цепочку.

Ниже — основные приемы, которые используют мошенники.

Подбирают правдоподобный повод

Вложение редко присылают без объяснения. К нему добавляют повод, который похож на обычную рабочую ситуацию. Например, бухгалтеру приходит письмо якобы от контрагента: «Проверьте акт за прошлый месяц, нашли расхождение в сумме». Повод снижает настороженность: человек сначала думает о расхождении в документах, а не о безопасности файла.

Прячут опасное действие внутри следующего шага

На первом шаге ничего подозрительного может не быть. Например, сотруднику присылают таблицу с расчетами, а после открытия она просит нажать «Включить содержимое». Опасность появляется не в момент получения письма, а на следующем шаге, когда человек уже доверяет письму и делает дополнительное действие внутри файла.

Скрывают реальный тип файла

Мошенники рассчитывают, что человек увидит знакомое название и не станет проверять детали. Например, сотруднику присылают архив «Фото с корпоратива», а внутри лежит файл IMG_2045.jpg.exe. На экране он может выглядеть как фотография, но последняя часть имени показывает, что это исполняемый файл.

Подделывают адрес и оформление письма

Мошенники могут сделать письмо похожим на внутреннюю переписку. Например, сотруднику приходит файл якобы от HR, но в адресе отправителя одна буква заменена: не hr@brand.ru, а hr@braand.ru. При беглом просмотре разница почти не заметна, особенно если тема письма и оформление выглядят привычно.

Прячут файл за облачной ссылкой

Иногда файл не прикрепляют к письму напрямую. Вместо этого сотруднику присылают ссылку якобы на документ в облаке: «Посмотрите правки в договоре». После перехода страница просит скачать файл, открыть форму или войти в аккаунт. Так опасное действие происходит уже не в письме, а на внешней странице.

Хорошее правило: если для работы с вложением нужно сделать лишний шаг — включить содержимое, распаковать архив с паролем, скачать файл с внешней страницы или войти в аккаунт, — лучше остановиться, проверить запрос по другому каналу или передать письмо в ИБ.

Включите показ расширений и оставьте защищенный просмотр

Первое, что стоит настроить, — отображение расширений файлов на рабочих устройствах. Так сотрудник увидит не только название, но и полное имя файла: например, не photo. jpg, а photo.jpg.exe.

Для офисных файлов важно оставить включенным защищенный просмотр. Если документ просит отключить защиту, разрешить редактирование или включить содержимое, это не всегда атака. Но такой запрос нельзя выполнять автоматически: сначала нужно проверить отправителя, контекст письма или передать файл в ИБ.

Также рекомендуем ограничить прием и запуск исполняемых файлов и скриптов там, где это возможно. Архивы и вложения из внешней почты стоит контролировать отдельно.

Закрепите правила проверки подозрительных файлов

В компании должен быть понятный порядок проверки подозрительных вложений. Он поможет сотрудникам узнавать небезопасный сценарий до открытия файла и не оставаться с решением один на один.

Для сотрудников правило может быть коротким: не открывать файл сразу, не запускать вложения из архива, не включать макросы и не вводить данные на внешней странице без проверки.

ИБ-команда может проверить вложение глубже: посмотреть расширение и реальный тип файла, просканировать его антивирусом, проверить ссылку или файл в разрешенном инструменте, а при необходимости запустить файл в песочнице.

Для проверки можно использовать:

• антивирус — для базовой проверки перед открытием;
• VirusTotal или корпоративный аналог — для проверки подозрительного файла или ссылки, если это разрешено политикой ИБ;
• песочницу — чтобы посмотреть, что делает файл после запуска в изолированной среде.

Важно заранее определить, какие файлы можно проверять через публичные сервисы. Если вложение содержит внутренние данные компании, его не стоит загружать во внешние инструменты без согласования с политикой ИБ. В таких случаях файл лучше проверять внутри корпоративного контура.

Сделайте сообщение в ИБ простым действием

Технические настройки снижают риск, но не закрывают его полностью. Сотрудник все равно может получить письмо, которое выглядит правдоподобно: от знакомого имени, с понятной темой и вложением по работе.

Поэтому в компании должен быть простой маршрут для таких ситуаций. Сотруднику не нужно самому решать, безопасен файл или нет. Его задача — остановиться и передать письмо в ИБ, если вложение пришло неожиданно, просит включить содержимое, лежит в архиве с паролем или ведет на внешнюю страницу.

Хорошо, если для этого есть один понятный канал: кнопка в почте, адрес для пересылки подозрительных писем или форма заявки. Важно заранее объяснить, куда отправлять письмо, что написать в сообщении и что делать после отправки.

Чем проще этот маршрут, тем выше шанс, что сотрудник им воспользуется. 

Например, через плагин Start AWR сотрудники сообщают о подозрительных письмах напрямую команде ИБ в один клик. Плагин отфильтровывает имитированные атаки и передает специалистам только реальные письма, а за репорты атак сотрудники получают дополнительные баллы в рейтинге.

Запишитесь на бесплатное демо, и мы покажем, как Start AWR помогает сделать сотрудников частью раннего обнаружения атак и ускорить передачу сигнала в команду ИБ.